Обеспечение информационной безопасности банка




Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения (гриф ХХХ 2) включают в себя:

информацию, составляющую банковскую тайну, разглашение ко торой способно нанести стратегический ущерб интересам клиентов банка (стратегия маркетинга, новые научные и технологические разработки, финансовые резервы и места их хранения, используемые схемы налогового планирования и т.п.);

- закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибылях;

- информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно-финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);

- любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;

- прикладные методы защиты информации банка (коды, пароли, программы).

Строго конфиденциальные сведения (гриф ХХ) включают в себя: - все прочие конфиденциальные сведения о клиентах банка;

- информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

- информацию о сотрудниках банка, содержащуюся в индивидуальных досье.

Конфиденциальные сведения (гриф Х) включают в себя:

- базы данных по направлениям деятельности кредитно-финансовой организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;

- сведения о заработной плате и индивидуальных социальных па кетах сотрудников банка, а также составе резерва на выдвижение;

- внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрибанковского менеджмента.

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Результатом этой работы является внутренний (строго конфиденциальный) документ - Перечень сведений, составляющих банковскую и коммерческую тайну. Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений. По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы - клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов:

- объединенных в закрытые локальные сети;

- используемых работниками банка - носителями особо секретных сведений;

- подключенных к локальным сетям и доступных для использования клиентами банка, а также другими лицами, не являющимися его сотрудниками.

Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите:

- зал заседания Правления и Совета директоров;

- кабинеты высших руководителей и ведущих экспертов;

- хранилище банка;

- офисы службы программного обеспечения;

- офисы службы безопасности;

- помещения, в которых обычно осуществляется неформальное общение сотрудников банка (туалетные и курительные комнаты, буфеты, столовая);

- комнаты для переговоров и т.п.

Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к раз личным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле:

- носители абсолютно конфиденциальной информации (допуск А);

- носители строго конфиденциальной информации (допуск В);

- носители конфиденциальной информации (допуск С);

- группа повышенного риска (молодые специалисты и недавно нанятые сотрудники).

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше Перечня, следовательно - обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы: К методам программно-математического характера относятся:

- программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;

- программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

- программы, автоматически кодирующие (шифрующие) информацию;

- программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

- программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

К методам технического характера относятся:

- использование экранированных помещений для проведения конфиденциальных переговоров;

- использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройства ми автоматического уничтожения ее при попытке несанкционированного проникновения);

- использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

- использование защищенных каналов телефонной связи;

- использование средств подавления устройств перехвата информации;

- использование средств автоматического кодирования (шифровки) устной и письменной информации.

К методам организационного характера относятся:

- мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

- мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее);

- мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

- мероприятия по контролю над соблюдением установленных правил информационной безопасности;

- мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:

Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:

- принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;

- подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных под рядчиков);

- подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;

- подходы к выбору методов пресечения выявленных угроз;

- подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);

- критерии оценки эффективности защиты конфиденциальной информации;

Разработку внутренней нормативной базы в составе:

- общих для всего банка регламентов (например, Положение о правилах обеспечения информационной безопасности, Правила проведения конфиденциальных переговоров, Правила работы с закрытыми базами данных, Перечень сведений, составляющих банковскую и коммерческую тайну и т.п.),

- внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области;

- правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

- для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно-технической защиты;

- для проведения соответствующих организационных мероприятий;

- службе безопасности для осуществления специальных профилактических и контрольных мероприятий.

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

- службы безопасности банка;

- руководства структурных подразделений.

Выводы

1.Специфика уставной деятельности кредитно-финансовых организаций, прежде всего - наличие у них разноплановой конфиденциальной информации и высоколиквидных активов, предполагает необходимость значительно большего внимания к проблеме обеспечения собственной безопасности, чем для предприятий большинства других отраслей.

2.Основным фактором, определяющим дополнительные требования к эффективности системы обеспечения собственной безопасности, является автоматическое перенесение потерь банка от реализованных угроз на его клиентов и связанный с этим ущерб имиджу, следовательно - конкурентным позициям.

3.Основным требованием к системе обеспечения собственной безопасности банка является комплексный подход к организации защиты от всех возможных угроз, исключающий наличие незащищенных или плохо защищенных объектов.

4.Основным принципом организации системы безопасности банка является принцип разумной достаточности, предполагающий соразмерность затрат на защиту конкретного объекта степени размерам потерь от реализованных в его адрес угроз.

5.При формировании перечня используемых методов защиты от возможных угроз безопасности банка однозначный приоритет должны иметь методы профилактического характера (и лишь затем - пресекающего и карающего).

6.В процессе организации и последующего управления деятельностью службы безопасности необходимо уделять особое внимание вопросу рационального ограничения ее полномочий. В случае их превышения банк может подвергнуться разнообразным санкциям со стороны государства (от прямого уголовного преследования за нарушение Уголовного Кодекса РФ до необходимости компенсации морального ущерба сотрудникам банка, чьи конституционные права оказались нарушенными действиями рассматриваемой службы).

7.Выбор варианта стратегии обеспечения собственной безопасности определяется, в первую очередь, двумя факторами - избранным рынком (большая потенциальная рентабельность - большая вероятность угроз) и степенью агрессивности конкурентной стратегии.

8. Приоритетным объектом защиты в рамках системы является конфиденциальная информация, имеющаяся в распоряжении банка. В свою очередь, приоритет в системе информационной безопасности банка должна иметь конфиденциальная информация, составляющая банковскую тайну, что вытекает из статуса кредитно-финансовой организации как особо доверенного лица для своей клиентуры.

9.Развитие информатики и связанное с этим широкое распространение компьютерных технологий в банковском деле определило расширение перечня возможных угроз как информационной, так и имущественной безопасности кредитно-финансовых организаций. В современных условиях защита банка от несанкционированного проникновения в его компьютерные сети (для последующего вмешательства в финансовые операции или перехвата информации) стала приоритетной задачей службы безопасности.

10. Главной особенностью организации системы безопасности российских банков является необходимость большего внимание к защите от угроз со стороны собственных сотрудников. Основными причинами низкого уровня лояльности банковских служащих выступают, с одной стороны, специфический трудовой менталитет россиян и, с другой стороны, недостаточное внимание к проблемам персонального менеджмента со стороны руководства многих отечественных банков. В этой связи, важнейшей задачей по профилактике подобных угроз определяется формирование в трудовом коллективе кредитно-финансовой организации корпоративного духа, предполагающего наличие уважения и доверия со стороны сотрудников к своему работодателю.

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-06-12 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: