logo search
141053

5. Защита информации в эис

Безопасность ИСзащищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения информации, модификации или разрушения ее компонент.

Угроза безопасности информациисобытие или действие, которое может привести к искажению, несанкционированному использованию или разрушению информационных ресурсов системы, а также программных и аппаратных средств.

Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

Методы и средства обеспечения безопасности информации (в том числе, используемые в банковской деятельности):

1. Физическое преграждение пути к защищаемой информации (к аппаратуре, посетителям).

2. Управление доступом информации:

3. Механизм шифрования.

4. Регламентация, т.е. создание таких условий автоматизации, обработки, хранения и передачи информации, при которых нормой стандарта по защите выполняется в наибольшей мере.

5. Принуждение – метод защиты, при котором пользователь и персонал ИС вынуждены соблюдать правила обработки и передачи информации под угрозой ответственности.

6. Морально-этические средства защиты информации, включающие нормы поведения, складывающиеся в компании по мере развития ИС.