Система захисту

     Система захисту 1С - це єдина сукупність правових і морально-етичних норм, організаційних, технологічних і програмно-технічних  засобів, направлених на протидію загроз інформації і системи у цілому, з метою зведення до мінімуму втрат  інформації.

     У фінансових установах існує два  підходи до захисту інформації:

     - Автономний - направлений на захист конкретної дільниці або частини інформаційної системи, яка як правило є найбільш вразливою або може бути джерелом зловживань.

     - Комплексний - захищає інформаційну систему в цілому, всі її складові частини, приміщення, персонал тощо.

     Важливим  елементом попередження комп'ютерних  злочинів у фінансовій діяльності стає застосування сучасних технічних засобів  захисту інформації (під захистом розуміється обмеження доступу  чи використання всієї або частини  комп'ютерної системи). У Положенні  про технічний захист інформації в Україні зазначено: технічний  захист інформації з обмеженим доступом в автоматизованих системах і  засобах обчислювальної техніки  спрямовано на запобігання порушенню  цілісності інформації з обмеженим  доступом та її просочення шляхом:

     - несанкціонованого доступу;

- приймання й аналізу побічних електромагнітних випромінювань і наводок; - використання закладних пристроїв;

     - впровадження комп'ютерних вірусів та іншого впливу.

     Технічний захист інформації з обмеженим доступом в автоматизованих системах і  засобах обчислювальної техніки, призначених  для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.

     Основними методами та засобами технічного захисту  інформації з обмеженим доступом в автоматизованих системах і  засобах обчислю­вальної техніки  є:

     - використання захищеного обладнання;

     - регламентування роботи користувачів, технічного персоналу,

програмних  засобів, елементів баз даних  і носіїв інформації з обмеженим

доступом (розмежування доступу);

• регламентування архітектури автоматизованих систем і засобів

обчислювальної  техніки;

• інженерно-технічне оснащення споруд і комунікацій, призначених для

експлуатації  автоматизованих систем і засобів  обчислювальної техніки;

• пошук, виявлення і блокування закладних пристроїв.

     До  основних засобів захисту інформації можна віднести такі:

     - фізичні засоби,

     - апаратні засоби,

     - програмні засоби,

     - апаратно-програмні засоби,

     - криптографічні,

     - організаційні методи.

     Фізичні засоби захисту - це засоби, необхідні  для зовнішнього захисту засобів  обчислювальної техніки, тераторіїта об'єктів на базі ПК, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються.

     Найпростіший  і надійний спосіб захисту інформації від загроз несанкціонованого доступу (НСД) - режим автономного використання ПК одним користувачем у спеціально виділеному приміщенні при відсутності  сторонніх осіб. У цьому випадку  роль замкненого контуру захисту  виконує виділене приміщення, а фізичний захист - вікна, стіни, підлога, стеля, двері. Якщо стіни, стеля, підлога і двері міцні, підлога не має люків, які з'єднуються з іншими приміщеннями, вікна і двері обладнані охоронною сигналізацією, то стійкість захисту буде визначатись технічними характеристиками охоронної сигналізації при відсутності користувача в неробочий час.

     У робочий час, коли ПК працює, можливий витік інформації каналами побічного  електромагнітного випромінювання. Для усунення такої загрози здійснюються спеціальні дослідження щодо апаратих засобів та їх випромінювання, основним змістом яких є атестування та категорування засобів і об'єктів електронно-обчислювальної техніки (EOT) з видачею відповідного дозволу на експлуатацію. Крім того, двері приміщення повинні бути обладнані механічним або електромеханічним замком. У деяких випадках, коли відсутня охоронна сигналізація, на період тривалої відсутності користувача ПК для підвищення безпеки доцільно системний блок і машинні носії інформації зберігати в сейфі. Використання в деяких ЕОМ у системі вводу-виводу BIOS апаратного паролю, що блокує завантаження і роботу ПК, не зовсім надійно забезпечує захист від загроз НСД, оскільки при відсутності на корпусі системного блоку механічного замка та самого власника-користувача апаратна частка BIOS-носія паролю може бути замінена на іншу таку ж, оскільки вузли BIOS уніфіковані, але вже з відомим значенням паролю. Саме тому механічний замок, що блокує вмикання і завантаження ПК, найбільш ефективний захід у цьому випадку.

     Спектр  сучасних фізичних засобів захисту  дуже широкий. До цієї групи засобів  захисту належать також різні  засоби екранування робочих приміщень  та каналів передачі даних.

     Апаратні  засоби захисту - це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні  блоки електронних систем обробки  і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній  зв 'язку тощо.

     Основні функції апаратних засобів захисту:

     - заборона несанкціонованого (неавторизованого) зовнішнього

доступу віддаленого користувача;

• заборона несанкціонованого (неавторизованого) внутрішнього

доступу до баз даних в результаті випадкових чи умисних дій

персоналу;

• захист цілісності програмного забезпечення.

     Ці  функції реалізуються шляхом:

     - ідентифікації суб'єктів (користувачів, обслуговуючого персоналу) і об'єктів (ресурсів) системи;

     - аутентифікації суб'єкта за наданим ним ідентифікатором;

     - перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;

     - реєстрації (протоколювання) при звертаннях до заборонених ресурсів;

     - реєстрації спроб несанкціонованого доступу.

     Реалізація  цих функцій здійснюється за допомогою  застосування різних технічних пристроїв  спеціального призначення.

     До  них, зокрема, належать:

     - джерела безперебійного живлення апаратури, а також: пристрої стабілізації, що оберігають від стрибкоподібних перепадів напруги і пікових навантажень у мережі електроживлення;

     - пристрої екранування апаратури, ліній зв’язку та приміщень, в яких знаходиться комп 'ютерна техніка;

     - пристрої ідентифікації і фіксації терміналів і користувачів приспробах несанкціонованого доступу до комп 'ютерної мережі;

     - засоби захисту портів комп 'ютерної техніки тощо.

     Засоби  захисту портів виконують декілька захисних функцій, а саме:

     - "звірка коду ". Комп'ютер захисту порту звіряє код санкціонованих користувачів з кодом у запиті;

     - "камуфляж". Деякі засоби захисту портів камуфлюють існування портів на лінії телефонного зв'язку шляхом синтезування людського голосу, який відповідає на виклик абонента;

     - "дзвінок назустріч". У пам'яті засобу захисту портів зберігаються не тільки коди доступу, але й ідентифікаційні номери телефонів;

     - ведення автоматичного "електронного журналу" доступу в комп'ютерну систему з фіксацією основних дій користувача.

     Програмні засоби захисту необхідні для  виконання логічних і інтелектуальних  функцій захисту, які вмонтовані до складу програмного забезпечення системи.

     З допомогою програмних засобів захисту  реалізуються наступні задачі безпеки:

     - контроль завантаження та входу в систему за допомогою

системи паролів;

     - розмежування і контроль прав доступу до системних ресурсів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних тощо;

     - захист файлів від вірусів;

     - автоматичний контроль за роботою користувачів шляхом протоколювання їх дій.

     Апаратно-програмні  засоби захисту - це засоби, які основані на 11   синтезі програмних та апаратних  засобів.

     Ці  засоби широко використовуються при  аутентифікації користувачів автоматизованих банківських систем. Аутентифікація - це перевірка ідентифікатора користувача перед допуском його до ресурсів системи. Аутентифікація - це ідентифікація користувача в системі з допомогою його імені або псевдоніма, що приймає участь в реєстраційній процедурі та пароля доступу, що відомий лише користувачу. Пароль - це код (набір символів), що забезпечує доступ до систем, файлів, апаратних засобів, тощо. Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найпоширенішим в автоматизованих банківських системах є використання старт-карт, які містять паролі та ключі користувачів.

     Організаційні заходи захисту засобів комп'ютерної  інформації складають сукупність заходів  щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.

     Досвід  зарубіжних країн свідчить про те, що найефективнішим захистом інформаційних  систем є введення до штату організації  посади фахівця з комп'ютерної  безпеки або створення спеціальних  служб, як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність  такого відділу (служби) в банківській  структурі, за оцінками зарубіжних фахівців, удвічі знижує ймовірність вчинення злочинів у сфері використання комп'ютерних  технологій.

     Згідно  законодавства України, у державних  установах та організаціях можуть створюватись підрозділи, служби, які організують  роботу, пов'язану із захистом інформації, підтримкою рівня захисту інформації в автоматизованих системах і  несуть відповідальність за ефективність захисту інформації. Зазначимо, що ця норма за характером не є обов'язковою, а рекомендованою. З її змісту в  поєднанні з іншими нормами Закону "Про захист інформації в автоматизованих  системах" витікає, що захист інформації в автоматизованих системах є  обов'язковою функцією, проте необов'язково під цю функцію може створюватися окрема функціональна організаційна  структура. Ця функція може бути складовою  іншої організаційної структури, тобто  здійснюватися у поєднанні з  іншими функціями.

     Однак в банківських установах створення  спеціальних структур для захисту  інформації, фінансової безпеки є  обов'язковим. В них мають бути створені спеціальні відділи комп'ютерної  безпеки в рамках діючих служб  економічної безпеки та фізичного  захисту, діяльністю яких має керувати один із спеціально призначених для  цих цілей заступник начальника служби безпеки, який має у своєму розпорядженні відповідні людські, фінансові і технічні ресурси  для вирішення поставлених завдань.

     До  функціональних обов'язків таких  осіб (структурних підрозділів) має  входити здійснення, передусім, таких  організаційних заходів:

     - забезпечення підтримки з боку керівництва конкретної організації вимог захисту засобів комп 'ютерної техніки;

     - розробка комплексного плану захисту інформації;

     - визначення пріоритетних напрямів захисту інформації з урахуванням специфіки діяльності організації;

     - складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;

     - визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компетенції шляхом укладення відповідних договорів між співробітником та адміністрацією;

     - розробка, впровадження і контроль за виконанням різного роду інструкцій, правил та наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з секретними (конфіденційними) даними тощо;

     - розробка ефективних заходів боротьби з порушниками захисту засобів комп 'ютерної техніки.