Классификация угроз информационной безопасности. Подходы к защите информации в автоматизированных системах банков. Отличительные особенности систем, построенных по принципу клиент-сервер. Безопасность электронных платежей. Противодействие "сборке мусора".
Аннотация к работе
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности учреждений кредитно-финансовой сферы многократно возросло. Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Исходя из этого, целью данной дипломной работы стали анализ современного состояния информационной безопасности в учреждениях кредитно-финансовой сферы и, в частности, безопасности автоматизированных систем обработки информации банков, а также систематизация существующих методов их обеспечения.банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации. Поэтому системы обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности. К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах. Вариант 3: концепция «пассивной обороны», предполагающая приоритетную ориентацию банка на защиту со стороны государства в лице правоохранительных органов, что позволяет резко ограничить функции собственной службы безопасности, сохранив в ее распоряжении лишь минимально необходимую номенклатуру методов профилактики и отражения потенциальных угроз (вариант характерен для банков, реализующих наступательную конкурентную стратегию).Иными словами под безопасностью системы понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Внешняя безопасность включает защиту АСОИБ от стихийных бедствий (пожар, наводнение и т.п.) и от проникновения злоумышленников извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Учитывая то обстоятельство, что основным предназначением АСОИБ является переработка (сбор, хранение, обработка и выдача) информации, то проблема обеспечения безопасности информации является для АСОИБ центральной в ряду проблем защиты средств вычислительной техники от стихийных бедствий и хищений, проблем подбора и подготовки кадров, организации управления, обеспечения живучести АСОИБ, надежности их технических средств и программного обеспечения и других. В обоих случаях степень риска определяет уровень и масштаб применяемых средств защиты. Основные этапы построения системы защиты заключаются в следующем: Анализ-> Разработка системы защиты (планирование)-> Реализация системы защиты-> Сопровождение системы защиты.В этом разделе должен быть определен набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в АСОИБ. Политика безопасности - набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Субъект - активный компонент системы, который может явиться причиной потока информации от объекта к субъекту или изменения состояния системы. Для поддержки политики безопасности и собственной защиты ДВБ должна обеспечить защиту субъектов (процессов) системы и защиту объектов системы в оперативной памяти и на внешних носителях. Эти функции являются частным случаем перечисленных выше: при входе в систему и вводе имени пользователя осуществляется идентификация, при вводе пароля - аутентификация и, если пользователь с данными именем и паролем зарегистрирован в системе, ему разрешается доступ к определенным объектам и ресурсам (авторизация).Закон «Об информации, информатизации и защите информации» выделяет три категории информации, подлежащей защите: • информация, составляющая государственную тайну; Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство взяло ее под свой патронат и рассматривает ее защиту как одну из своих важных задач. Только Закон «Об информации, информатизации и защите информации» относит персональную информацию к категории конфиденциальной и требует ее защиты наравне с информацией, составляющей государственную тайну, од
План
План защиты обычно содержит следующие группы сведений: