Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будут много больше чем $20.000. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.

2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может изменится состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуется проводить ежегодно.

Важный момент в ежегодном исследовании — учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.

3. Отсутствие научной базы. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, однако их применение не всегда корректно.

В процессе проведения анализа риска должна быть сформирована основа для определения необходимых мер защиты. В частности, следует определить, что именно относится к АСОИБ (оборудование, программы, данные, персонал и т.д.) и что нуждается в защите.

Далее необходимо составить список возможных на ваш взгляд способов реализации угроз работе системы, роль и место средств защиты для предотвращения кризисных ситуаций,

В этом разделе плана фиксируется порядок формирования и обработки данных в защищаемой АСОИБ. Как отмечалось выше, наиболее сложным этапом анализа риска является определение частоты появления возможных угроз системе. Поскольку использование различных методов оценки может влиять на точность результатов, все они должны быть отражены в данном пункте плана.

Наконец, этот пункт должен содержать сведения о действиях средств защиты в случае возникновения непредусмотренных ситуаций, которые могут возникнуть при вводе в действие новой техники, программ, данных или из-за ошибок в планировании. При этом необходимо также предусмотреть, каким образом существующая система защиты может быть адаптирована к возникающим новым ситуациям.

Таким образом, составление плана защиты — сложный и трудоемкий процесс, требующий значительных исследований и затрат. В то же время чрезмерное увлечение сбором и анализом данных об АСОИБ и ее неформальных спецификаций может чересчур оттянуть и усложнить практическую реализацию мер по защите. Т.е. план должен строится на глубоком анализе ситуации, но в то же время оставаться в рамках здравого смысла, не погружаясь в излишнюю формализацию и бюрократизацию.

Построение защиты банковских автоматизированных систем.

Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:

· организационную структуру банка;

· объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);

· количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка — число банковских операций в день, является основой для определения параметров системы);

· количество и функциональные обязанности персонала;

· количество и характер клиентов;

· график суточной нагрузки.

Защита АСОИБ должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и АСОИБ в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

На сегодняшний день защита АСОИБ — это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).

Главное при защите АСОИБ специалистами (естественно после уверенности в их компетенции в данном вопросе) — наличие здравого смысла у администрации системы. Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АСОИБ и не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации, гибкость управления системой защиты и т.д., без чего применение системы защиты становится трудным делом. Построение системы защиты — это процесс поиска компромисса между уровнем защищенности АСОИБ и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.

Для обеспечения непрерывной защиты информации в АСОИБ целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Один из самых важных прикладных аспектов теории защиты — защита сети. При этом, с одной стороны, сеть должна восприниматься как единая система и, следовательно, ее защита также должна строиться по единому плану. С другой стороны, каждый узел сети должен быть защищен индивидуально.

Защита конкретной сети должна строиться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т.д.

Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защита компьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бывает необходим и «экзотический» вид защиты — от электромагнитного излучения или защита каналов связи.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.

Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенный момент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные) [9, с.28].