Информационная безопасность банка реферат

Обновлено: 08.07.2024

Целью настоящей курсовой работы является анализ обеспечения финансовой безопасности банков. Для достижения поставленной цели в работе решены следующие задачи:
раскрыты функции и механизм управления безопасностью банков;
рассмотрены системы и методы анализа безопасности банков;
разработаны предложения по совершенствованию системы управления безопасностью

Содержание
Прикрепленные файлы: 1 файл

4 защита банковской информации-стратегическая задача банка..docx

Назначение и правовая защита системы безопасности…………………….. 15-16

Цели и задачи системы безопасности…………………………………. 15-16

2.2 Правовые основы системы безопасности………………………………..16- 19

Управление безопасностью банка……………………………………………19-20

Политика государства относительно безопасности банковской информации…………………………………………………… ………………20-23

5.Анализ проблем и пути развития банковской системы……… …………..23-24

7.Организационные основы стратегии защиты банковской информации…26-27

7.1.Актуальность Исследования… ………………………………………. 26-27

7.2.Цель и Задачи Исследования ……………………………………………27-28

8.Практические задачи, условия и результаты реформирования банковской сектора…………………………………………………………… …………. 29

8.1.В сфере законодательства…… ………………………………………….29-30

8.2.В сфере банковского регулирования и надзора………………… ……..30-31

8.3. В сфере налогообложения………………… ……………………………….31

9. Стратегия обеспечения безопасности банка……………………………… ..31

9.1. Общее понятие стратегии и основы ее формирования……………… .31-32

9.2.Основные объекты защиты:…… …………………………………………. 32

9.3. Внутренние угрозы со стороны собственного персонала……………. 32

9.4.Внешние угрозы со стороны конкурентов и злоумышленников……..32-34

10.нужно по двум фронтам: за клиента и за банк………………………… ….34

11. Структура стратегического планирования ……………………………34-35

11.1. Основные компоненты стратегического планирования … ……………35

Банковская деятельность всегда связана с риском, возможной утечкой конфиденциальной информации, наличием внутренних и внешних угроз. Появление в России активно действующих структур экономической разведки, международной организованной преступности, повсеместное применение жестких методов воздействия на банковские структуры определяют актуальность рассматриваемой проблемы на ближайшую перспективу. Поэтому обеспечение безопасности банка законодательно вменяется в обязанность государства, учредителей банка и его исполнительных органов. Жукова Е.Ф., "Банковский менеджмент: учебник для студентов вузов, обучающихся по экономическим специальностям" - М.: Юнити-Дана, 2009г. - 303с.

В условиях кризиса экономика подвержена большей опасности, чем когда-либо. Увеличивается количество корыстных преступлений и злоупотреблений во всех сферах жизнедеятельности общества, в том числе и банковской - где сосредоточены огромные потоки денежных средств всех слоев населения - от самых состоятельных, до пенсионеров, от крупных финансовых корпораций, до бюджетных организаций. И, поскольку эта сфера является стратегической, то на ее защиту направляются все силы государства и крупных финансовых структур, ведь нарушение ее безопасности может привести к катастрофическим последствиям.

Концепция безопасности коммерческого банка (кредитной организации) представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции.

Обеспечение безопасности является неотъемлемой составной частью деятельности коммерческого банка (кредитной организации). Состояние защищенности представляет собой умение и способность кредитной организации надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка.

В данном вопросе важное значение имеет комплексный подход к анализу проблемы обеспечения финансовой безопасности банковской деятельности и использование его в банковской практике.

Значимость и актуальность темы предопределили выбор направления исследования, цели и задачи работы.

Целью настоящей курсовой работы является анализ обеспечения финансовой безопасности банков. Для достижения поставленной цели в работе решены следующие задачи:

раскрыты функции и механизм управления безопасностью банков;

рассмотрены системы и методы анализа безопасности банков;

разработаны предложения по совершенствованию системы управления безопасностью

Стратегическое планирование пришло на смену долгосрочному. Его

преимуществом явилось то, что пространство деятельности организации, предприятия

стало более объемным, так как наряду с элементами внутренней среды, на которых

основываются традиционные формы планирования стратегическое планирование

включает в себя следующие аспекты: экономические, политические и социальные

факторы, потребности покупателей, действия конкурентов, научно-технологические

изменения и т.д. Долгосрочные цели предприятий в стратегическом планировании уже не

являются отображением условий текущей деятельности отдельных предприятий, а

оказываются результатом анализа изменений в его внешней и внутренней среде.

Концепция стратегического планирования позволяет выработать комплекс методов и

средств, обеспечивающих адаптацию предприятий к быстроменяющимся условиям, дает

возможность своевременно на них реагировать.

В процессе развития стратегического планирования создано большое число

методов и моделей стратегического анализа, формальных способов решения задач.

Однако в 80-х годах формальные методы стратегического планирования показали свою

ограниченность в новых условиях. Основными причинами этого стали

1. Теоретические и нормативно- правовые основы защиты банковской

Обеспечение безопасности деятельности любой организации реализуется посредством системы, под который принято понимать комплекс мер и средств, направленных на выявление, отражение и ликвидацию различных видов угроз деятельности организации. При этом каждый объект защиты будет иметь свою специфику, которая должна найти свое отражение в системе защиты.

1. анализ состава объекта и выделения элементов, требующих обеспечения их безопасности;
2. определение возможных угроз выделенным элементам, оценка вероятности их появления и формирование перечня требований по защите (спецификация защиты);
3. выбор и разработка адекватных угрозам мер с средств защиты элементов (по спецификации) и формирования системы защиты объекта.


Рассмотрим основные понятия этого подхода к защите.

Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, входящих в состав практически любого объекта и требующих обеспечения их безопасности:

• люди – персонал и посетители объекта;
• материальные ценности, имущество и оборудование;
• информация – критичная, конфиденциальная, а также информация частных лиц.


Каждый из выделенных элементов имеет свои особенности, которые необходимо учесть при определении возможных угроз.

Существенным моментом при оценке угроз и выборе приоритетов в системе защиты является анализ практики деятельности различных коммерческих организаций –банков, магазинов, крупных офисов, результаты которых берут за основу при подготовке современных нормативов защиты, в том числе, государственных нормативно-правовых актов. Так, например, западноевропейские фирмы – производители оборудования для систем банковской защиты придерживаются единых критериев оценки угроз, согласно которым, например, для сейфовых комнат- хранилищ (главных ЭВМ, серверов) приоритеты направлений защиты следующие:

• защита от чрезвычайных обстоятельств, приводящих к человеческим жертвам и значительному ущербу материальным ценностям, таких как пожары, аварии, стихийные бедствия, военные действия, терроризм;
• несанкционированное проникновение в хранилище ценностей как с целью кражи ценностей, так и с целью кражи информации;
• несанкционированный доступ (НСД) к информации из компьютерного банка данных.


Степень влияния этих угроз на элементы объекта различна. Так, чрезвычайные обстоятельства (стихийные бедствия и т.п.) опасны для всех элементов объекта. Но угроза несанкционированного проникновения может возникнуть только в отношении материальных ценностей (сейфовых комнат, например) или информации. Угроза несанкционированного доступа к информации относится непосредственно к конфиденциальной и критической информации предприятия и лишь косвенно угрожает материальным ценностям и людям.
По результатам анализа возможных угроз элементам объекта формируются требования к защите или спецификации защиты элементов.
Полная спецификация защиты объекта формируется из частных спецификаций защиты элементов путем объединения функционально однородных требований по обеспечению защиты.

Порядок создания системы защиты

Составленные частные спецификации и полная спецификация являются основой для разработки системы защиты объекты. Процесс разработки удобно представить в виде последовательности этапов:

Этап 1. Каждой из составленных спецификаций должен быть поставлен в соответствие необходимый набор функций защиты. Под функцией защиты понимается совокупность однородных в функциональном отношении мероприятий, целенаправленное осуществление которых решает конкретную задачу защиты.
Перечень основных функций защиты:

• охрана,
• контроль,
• обнаружение,
• отражение,
• ликвидация.


Этап 2. Для установленного набора функций выбираются соответствующие методы их реализации.
Классификация существующих методов защиты:

• организационно- правовые,
• инженерно- технические,
• информационно-технические.


Этап 3. Указанным методам защиты соответствует перечень (набор) средств конкретного их осуществления. Реализуется или разработка средств защиты наиболее полно удовлетворяющих установленным на этапе 1 требованиям и реализующих выбранные на этапе 2 методы защиты.
Под средством защиты понимаются такие устройства, программы, мероприятия или нормы, которые будучи приведенными в действие, позволяют решать задачи защиты.

Этап 4. И наконец последний этап – объединение разработанных или выбранных средств защиты в подчиненную общему управлению систему.

[2. Современные средства защиты организации]

В соответствии с методами защиты выделяют три основные группы средств защиты:

• Организационно - правовые,
• Инженерно - технические,
• информационно - технологические.


По первым двум группам к настоящему времени сложилась стройная система взглядов по организации, созданию и использованию указанных средств защиты применительно к объектам государственного назначения.

Информационно-технологические средств защиты предназначены для обеспечения безопасности информации в процессах сбора, передачи, приема, обработки и хранения. Проблема защиты информации является далеко не новой: существует достаточно стройная система защиты применительно к традиционным технологиям циркуляции и обработки информации.

Доступ и нарушение информации, циркулирующей в компьютерной системе, могут существенно снизить эффективность функционирования, а в некоторых случаях привести к срыву выполнения задания. Для решения задачи защиты от НСД необходимо рассмотрение способов возможного воздействия злоумышленника на аппаратные средства автоматизации, математическое (программное) обеспечение, данные и системы обмена данными.

Несанкционированный доступ в компьютерные системы

Компьютерная система (КС) представляет собой совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные выше компоненты.
Под безопасностью компьютерной системы понимается отсутствие (устранение) условий, предоставляющих потенциальную возможность нанесения ущерба КС.

Известны четыре типа условий (угроз) для КС:

• npepывание: при прерывании компонент системы утрачивается (например, в результате похищения), становится недоступным (например, в результате блокировки - физической или логической) либо теряет работоспособность;
• перехват: некоторая третья неавторизованная сторона (злоумышленник) получает доступ к компоненту. Примерами перехвата являются незаконное копирование программ и данных, неавторизованное чтение данных из линии связи КС и т.д.;
• модификаций: некоторая третья неавторизованная сторона не только получает доступ к компоненту, но и манипулирует с ним. Например, модификациями являются несанкционированное изменение данных в базах данных или вообще в файлах компьютерной системы, изменение алгоритмов используемых программ с целью выполнения некоторой дополнительной незаконной обработки;
• подделка: злоумышленник может добавить некоторый фальшивый процесс в систему дли выполнения нужных ему, но не учитываемых системой, действий либо подложные записи в файлы системы или других пользователей.

  • Для учеников 1-11 классов и дошкольников
  • Бесплатные сертификаты учителям и участникам

Информационная безопасность банков

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2, с.16]:

· Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Преступления в банковской сфере также имеют свои особенности [2. с. 16]:
• Многие преступления, совершенные в финансовой сфере остаются
неизвестными для широкой публики в связи с тем. что руководители банков
не хотят тревожить своих акционеров, боятся подвергнуть свою
организацию новым атакам, опасаются подпортить свою репутацию
надежного хранилища средств и. как следствие, потерять клиентов.

• Большинство компьютерных преступлений — мелкие. Ущерб от них -лежит
в интервале от S 10.000 до S 50.000.

• Успешные компьютерные преступления, как правило, требуют большого
количества банковских операций (до нескольких сотен). Однако крупные
суммы могут пересылаться и всего за несколько транзакций.

• Большинство злоумышленников — клерки. Хотя высший персонал банка
также может совершать преступления и нанести банку гораздо больший
ущерб — такого рода случаи единичны.

• Компьютерные преступления не всегда высокотехнологичны. Достаточно
подделки данных, изменения параметров среды АСОИБ и т.д.. а эти
действия доступны и обслуживающему персоналу.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

• Как правило АСОИБ обрабатывают большой поток постоянно поступающих
запросов в реальном масштабе времени, каждый из которых не требует для
обработки многочисленных ресурсов, но все вместе они могут быть
обработаны только высокопроизводительной системой;

• В АСОИБ хранится и обрабатывается конфиденциальная информация, не
предназначенная для широкой публики. Ее подделка или утечка могут
привести к серьезным (для банка или его клиентов) последствиям. Поэтому
АСОИБ обречены оставаться относительно закрытыми, работать под
управлением специфического программного обеспечения и уделять большое
внимание обеспечению своей безопасности; _

• Другой особенностью АСОИБ является повышенные требования к
надежности аппаратного и программного обеспечения. В силу этого многие
современные АСОИБ тяготеют к так называемой отказоустойчивой
архитектуре компьютеров, позволяющей осуществлять непрерывную
обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:|

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций [2]:

· Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.

· Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

· В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

· В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах [2, с.21]:

• Следующая по важности для финансовых организаций проблема — это
управление доступом пользователей к хранимой и обрабатываемой
информации. Здесь широко используются различные программные системы
управления доступом, которые иногда могут заменять и антивирусные
программные средства. В основном используются приобретенные
программные средства управления доступом. Причем в финансовых
организациях особое внимание уделяют такому управлению пользователей
именно в сети. Однако сертифицированные средства управления доступом
встречаются крайне редко (3%). Это можно объяснить тем. что с
сертифицированными программными средствами трудно работать и они
крайне дороги в эксплуатации. Это объясняется тем. что параметры
сертификации разрабатывались с учетом требований, предъявляемым к
военным системам.

• Большое внимание в финансовых организациях уделяется физической
защите помещений, в которых расположены компьютеры (около 40%). Это
означает, что защита ЭВМ от доступа посторонних лиц решается не только с
помощью программных средств, но и организационно-технических (охрана,
кодовые замки и т.д.).

• Шифрование локальной информации применяют чуть более 20%
финансовых организаций. Причинами этого являются сложность
распространения ключей, жесткие требования к быстро действию системы, а
также необходимость оперативного восстановления информации при сбоях
и отказах оборудования.

• Значительно меньшее внимание в финансовых организациях уделяется
защите телефонных линий связи (4%) и использованию ЭВМ.
разработанных с учетом требования стандарта Tempest (защита от утечки
информации по каналам электромагнитных излучений и наводок). В
государственных организациях решению проблемы противодействия
получению информации с использованием электромагнитных излучений и
наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.

Человеческий фактор в обеспечении информационной безопасности.

Можно выделять четыре основные причины нарушений по вине человеческого фактора: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение — очень квалифицирован и опасен. Проникновение — опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение — наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновении может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы — более жесткая и самая жесткая вместе с постоянным контролем — от проникновении. Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов — это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая — психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [3].


В современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней. Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка. Для совершения кражи и взлома банковской системы злоумышленнику вовсе не обязательно врываться в банк. Осуществить взлом пользователь сети может со своего персонального компьютера, поэтому проблема вопроса информационной безопасности в банках стоит достаточно остро.

Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций. Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы.

Последовательность мер по защите этих данных можно представить таким образом:

Оценка и разработка конфиденциальной информации;

Оборудование объекта для осуществления защиты;

Контроль эффективности принятых мер.

Банк может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надежной системой защиты. Выбирая конкретную форму защиты, необходимо учитывать все возможные способы взлома и утечки данных. Грамотный и профессиональный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка и беспрерывное функционирование финансовых систем. Разработка комплекса защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд определенных действий:

Контроль обмена данных и строгая их регламентация;

Подготовка сотрудников банка и соблюдение ими требований безопасности;

Строгий учет каналов и серверов;

Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту. Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований. Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка, подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.

Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке.

Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно. Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом.

Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля. Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:

Своевременное установление и обнаружение проблем;

Возможность прогнозирования развития;

Актуальность и эффективность предпринятых мер.

Также необходимо особо подчеркнуть важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качественного и аккуратного выполнения требований, предъявляемых службой безопасности.

Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка. По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным. Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.

Кроме внутреннего фактора, существует также техническая угроза информационной безопасности, как банков, так и предприятий. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями. Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации, ЭЦП и представляющих техническую угрозу утечки.

Компьютерные системы – это необходимое средство для осуществления работы банка, однако одновременно это и одно из самых уязвимых мест предполагаемой технической утечки.

Опасность и угрозу для программного обеспечения могут представлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды. Самым известным способом решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, успешно справляющиеся с данной проблемой.

Защитить банковскую информацию от внутренних и внешних утечек поможет грамотный специалист в этой области и программное обеспечение, позволяющее отслеживать и блокировать передачу информации на съемные носители (например – флешки).

Важным направлением защиты также является своевременное распознавание и ограничение утечек различного вида.

В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку если информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными. Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.

Список использованных источников

Гост

ГОСТ

Информационная безопасность в банковском секторе

Информационная безопасность финансового учреждения — это состояние защищенности всех информационных активов (сведений и данных различного рода) банковской структуры от внешних и внутренних угроз.

Информационная безопасность банка является важнейшим аспектом его деятельности, т.к. именно от уровня информационной безопасности банка зависят его репутация, престиж и уровень конкурентоспособности на рынке банковских услуг. Стоит отметить, что высокий уровень информационной защищенности банковской структуры благотворно влияет на минимизацию рисков.

Среди характерных особенностей информационных систем финансового учреждения можно выделить следующие:

  • хранение и обработка огромного количества сведений о финансовом состоянии и деятельности как частных лиц, так и экономических субъектов;
  • наличие инструментов совершения банковских операций, которые могут приводить к различным финансовым последствиям.

Угрозы информации в финансовом учреждении

Угроза подразумевает под собой потенциально возможное событие, которое может привести к нанесению ущерба интересам банковской структуры или ее клиентов.

Во внешней среде финансовой структуры можно выделить следующие виды угроз:

  • нарушение физической целостности элементов сведений, т.е. их уничтожение, разрушение;
  • нарушение логической целостности элементов сведений, т.е. уничтожение или разрушение логических связей;
  • модификация содержания, например, изменение блоков сведений, внешнее навязывание недостоверных данных;
  • нарушение конфиденциальности информации, т.е. разрушение защиты, умышленное уменьшение уровня защищенности данных;
  • нарушение прав собственности на сведения (несанкционированное копирование, использование).

Готовые работы на аналогичную тему

Стоит отметить, что использование материалов возможно только при указании гиперссылки.

На сегодняшний день можно выделить два вида происхождения угроз:

  • умышленного происхождения, среди которых выделяют: хищение носителей данных, несанкционированное подключение к коммуникационным каналам, перехват электромагнитных излучений, разглашение конфиденциальных сведений, копирование информации и т.д.;
  • естественного происхождения, среди которых выделяют чрезвычайные происшествия (например, возгорания, пожары, аварии, террористические акты), стихийные бедствия (цунами, ураганы, смерчи, землетрясения), ошибки в ходе обработки сведений и т.д.

На сегодняшний день можно выделить внутренние (предотвращение и минимизация угроз, которые исходят изнутри) и внешние (предотвращение и минимизация угроз, которые исходят извне) средства защиты данных.

Среди источников внешних угроз выделяют:

  • естественные системы;
  • искусственные системы;
  • абстрактные системы;
  • описательные системы.

Стоит отметить, что на сегодняшний день наибольшими возможностями для нанесения ущерба банковской структуре обладают ее сотрудники.

Источниками внутренних угроз системы являются ее подсистемы и элементы:

  • персонал (люди);
  • технические устройства и информационные системы;
  • технологические схемы обработки;
  • используемые в системах обработки информации, алгоритмы, программное обеспечение.

Методы минимизации и предотвращения информационных угроз

Среди основных правил минимизации информационных угроз можно выделить следующие:

Правило № 1. Доступ работников к информационным системам и документации финансового учреждения должен быть строго разграничен в зависимости от конфиденциальности сведений, содержащихся в документе;

Правило № 2. Банковская структура в обязательном порядке должна осуществлять контроль за предоставлением доступа к сведениям и обеспечивать защиту наиболее незащищенных информационных систем.

Правило № 3. Информационные системы, которые непосредственно влияют на работу финансового учреждения, должны функционировать непрерывно, даже при наступление чрезвычайной ситуации.

Для обеспечения необходимой защиты от информационных угроз и контроля безопасности финансового учреждения могут быть проведены можно следующие мероприятия.

  • определение сотрудников, ответственных за информационную безопасность;
  • формирование нормативной внутренней документации, в которой подробным образом должны быть описаны действия сотрудников финансового учреждения, направленные на предотвращение и минимизацию информационных рисков, обеспечение резервных мощностей для функционирования в случае наступления кризисных ситуаций;
  • разработка стандартов информационных систем в рамках банковской структуры, то есть организация перехода к единым отчетным формам, а также единым методикам расчета коэффициентов, которые могут применяться во всем программном обеспечении финансового учреждения;
  • классификация информации по уровню конфиденциальности и разграничение права доступа к такой информации.
  • внедрение инструментов контроля, которые позволяли бы отслеживать состояние всех корпоративных информационных систем финансового учреждения: при этом в случае несанкционированного доступа подобная система в обязательном порядке долга запрещать вход и одновременно с этим сигнализировать о потенциальной опасности.

Помимо вышеперечисленного в финансовом учреждении должны быть утверждены нормативные документы с описание действий финансового учреждения по выходу из сложившегося кризиса.


В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).

Далее мы рассмотрим:

  • роль обеспечения безопасности в жизни коммерческой организации;
  • место службы информационной безопасности в структуре менеджмента организации;
  • практические аспекты обеспечения безопасности;
  • применение теории управления рисками в ИБ;
  • основные угрозы и потенциальный ущерб от их реализации;
  • состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.

Роль обеспечения безопасности в жизни коммерческой организации


В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации. Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это.

Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов. При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы.

Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз. Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер.

Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности. Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации:

— Безопасность не должна мешать бизнесу.
— Но за безопасность надо платить, а за ее отсутствие расплачиваться.

Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.

Место службы информационной безопасности в структуре менеджмента организации


Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ).

Причины создания СИБ могут быть разными. Выделим две основные:

  1. Cтрах.
    Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
  2. Обеспечение соответствия законодательным требованиям.
    Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.

Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать.

Для решения этой проблемы СИБ может действовать двумя способами:

  1. Показать экономическую значимость
    Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
  2. Заниматься внутренним PR-ом
    Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Практические аспекты обеспечения безопасности


Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:

Управление рисками (risk management)


Информационная безопасность — это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …). Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.

В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб).

Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер.

Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание. Научное определение риска можно получить в ГОСТ Р 51897-2011

Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.

Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору.

Основные угрозы и оценка потенциального ущерба от их реализации


Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации.

Таблица 2.

Угроза Максимальный возможный ущерб
1 Прекращение (длительная остановка) деятельности Отзыв лицензии на банковскую деятельность
2 Кража денежных средств В размере остатка денежных средств на счетах
3 Нарушение обязательных требований к деятельности, установленных действующим законодательством и договорами с Банком России Отзыв лицензии на банковскую деятельность

Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:

  • реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
  • проведение расчетов с клиентами.

Обязательные требования к системе ИБ безналичных платежей


При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер.

Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:

  • внедрение передовых практик по управлению IT и инфраструктурой;
  • создание комплексной системы защиты информации.

Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать.

Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России.

Документы, устанавливающие требования

Наказание за невыполнение

    . Стандарт и комплекс сопутствующих документов имеет силу только в случае его добровольного принятия кредитной организацией. . Стандарт будет действовать, только если в платежных документах передаются полные не маскированные номера платежных карт (PAN).
  1. Корпоративная политика информационной безопасности. Требования актуальны для больших банковских групп, где единая политика ИБ устанавливается в отношении всех банков группы и где каждый банк должен разрабатывать на ее базе внутренние документы.

Здесь есть важный нюанс: требования, задаваемые в нормативных документах, как правило, не содержат жесткой конкретики. В них указывается то, как система безопасности должна выглядеть, из каких средств состоять и какими тактическими характеристиками обладать. Исключением будут требования, исходящие из эксплуатационной документации на применяемые средства защиты информации, например, на СКЗИ СКАД Сигнатуру.

Рассмотрим, например, фрагмент требований Приказа ФСТЭК № 21


Таблица 4.

Как мы видим, требования АВЗ.1 и АВЗ.2 говорят о том, что антивирусная защита должна быть. То, как конкретно ее настраивать, на каких узлах сети устанавливать, эти требования не регламентируют (Письмо Банка России от 24.03.2014 N 49-Т рекомендует банкам иметь на АРМах, на серверах и на шлюзах антивирусы различных производителей).

Аналогичным образом обстоят дела и с сегментацией вычислительной сети – требование ЗИС.17. Документ только предписывает необходимость использования этой практики для защиты, но не говорит, как организация должна это делать.

То, как конкретно настраиваются средства защиты информации, и реализуются защитные механизмы, узнают из частного технического задания на систему защиты информации, сформированного по результатам моделирования угроз информационной безопасности.

Таким образом, комплексная система информационной безопасности должна представлять собой набор защитных бизнес-процессов (в англоязычной литературе – controls), построенных с учетом исполнения обязательных требований, актуальных угроз и практики обеспечения ИБ.

Читайте также: