Совершенствование инфокоммуникационного сопровождения банковской деятельностиРефераты >> Банковское дело >> Совершенствование инфокоммуникационного сопровождения банковской деятельности
1.3. Порядок обеспечения защиты и безопасности банковской информации
Информационная безопасность банка - это защищенность информации, которой располагает банк (банковской тайны, тайны вкладов, банковских операций и пр.) от несанкционированного доступа, разрушения, модификации, раскрытия третьим лицам и задержек при поступлении [37].
Другими словами, безопасность информации (данных) банка – это техническая, программная и физическая защита информации (данных) от внутренней и внешней опасности. Защита информации (данных) банка – это деятельность по обеспечению безопасности информации (данных) [46].
Защите подлежит информация, содержащаяся в объектах защиты и относящаяся к одной из категорий конфиденциальности информации. Объектами защиты в платежной системе являются: документированная информация; информационные ресурсы, технологии и системы; права пользователей на получение безопасных информационных услуг.
Исходными условиями создания полноценной системы банковской безопасности должны быть четкие представления о ее сущности, структуре целей обеспечения безопасности, о вытекающих из этих целей практических задачах, о видах банковских угроз и их источниках, а также о мерах противодействия [27].
Проблема безопасности для банка распадается на три компонента: предотвращение, обнаружение и реагирование (рис. 1.5).
Рис. 1.5 – Компоненты проблем безопасности в банковской сфере
Для предотвращения хакерских атак на веб-сайтах используются проверенные технологии: безопасные соединения, технологии шифрования и виртуальные частные сети. Кроме того, рассматривается возможность более активного применения биометрических технологий, использующих уникальные характеристики человеческого организма, включая отпечатки пальцев, радужную оболочку глаза и фонетические особенности голоса. Предотвращение атак на компьютерную сеть предусматривает их имитацию для поиска уязвимых мест и проверки средств защиты.
Обнаружение их включает постоянный мониторинг систем, причем иногда для этого привлекаются внешние фирмы. Для реагирования на проблемы безопасности банки создают силы быстрого реагирования, которые оценивают чрезвычайные происшествия и обеспечивают скоординированную реакцию.
Вопросы безопасности в данной сфере усложняются тем, что банк не может существовать в вакууме. Он может иметь несколько сетей банкоматов, ряд старых сетей и систем, сеть для связи между отделениями и офисами, волоконно-оптические каналы для связи с удаленными центрами, веб-сайт, а также системы, соединяющие все это воедино. Любая из перечисленных систем может быть уязвима. Дополнительные риски создают неадекватные правила защиты, к тому же нельзя забывать и о человеческом факторе (известно, что большинство проблем в области безопасности создают именно сотрудники компании) [13].
Организация информационной безопасности начинается с политики информационной безопасности – внутреннего документа, содержащего в себе основные принципы такой безопасности банка, используемые защитные механизмы и правила их эксплуатации.
Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на рис. 1.6.
Результатом этих работ становится рабочая система информационной безопасности, регламентируемая документом «Политика информационной безопасности» [18].
Рис. 1.6 – Схема организации информационной безопасности
Вообще для обеспечения и совершенствования информационной безопасности целесообразно разработать единую концепцию обеспечения защиты и безопасности информации, которая должна базироваться на комплексной реализации определенных мер (приложение 4) [33].
Система обеспечения защиты и безопасности банковской информации состоит из трех основных направлений, они представлены на рис. 1.7.
Рис. 1.7 - Направления системы обеспечения защиты и безопасности банковской информации
Следует отметить, что в каждой пользовательской точке участвуют как методы защиты от несанкционированного доступа, так и контроль. Хранение информации должно осуществляться на отдельно стоящих специализированных серверах, разграниченных по функциональному назначению и изолированных от доступа к ним всех пользователей.
Доступ в помещение, где находятся серверы банка, коммуникационная аппаратура для связи, оптический кроссы, специализированное отдельно стоящее оборудование, выделенные каналы связи, ограничивается кодовым замком, что позволит исключить возможность проникновения посторонних лиц и перекроет доступ к физическим носителям, сетевым коммуникациям.
С целью предотвращения несанкционированного проникновения внутрь системных блоков, все корпуса рабочих станций закрываются и опечатываются специальными маркерами.
Для идентификации пользователя необходимо использовать парольную защиту, предоставляющую персональные права на доступ к информации банка. Каждому пользователю оформляется карта доступа - минимум возможностей и прав для работы в АБС.
Для защиты от вирусных атак, преднамеренного заражения компьютеров различного рода вирусами, банк обеспечивается антивирусными программами с постоянно обновляемой базой. Доступ в Интернет должен постоянно контролироваться на программном уровне при помощи специализированных программ. Защита баз данных от технических сбоев осуществляется путем ежедневного резервного копирования информации Банка на специальном сервере, с последующим архивированием необходимой информации.
Для обмена информации банк обеспечивается различными каналами связи с соответствующими степенями защиты, шифрования информации.
Системы связи должны состоять из офисной мини-АТС, телефонных коммуникаций и соответствовать следующим требованиям: находиться в защищенном от посторонних лиц месте, программирование и настройка соединений должны производиться с соблюдением норм конфиденциальности, протоколы переговоров постоянно должны контролироваться на предмет несанкционированных телефонных контактов.
Инструкции по информационной безопасности: о резервном копировании информации, по организации парольной защиты, о порядке действий в нештатных ситуациях, по организации антивирусной защиты, об администраторах информационной безопасности (АИБ) разрабатываются и утверждаются единым пакетом в форме отдельных внутрибанковских документов [51].
Основу соблюдения режима доступа к банковской информации составляют следующие способы обеспечения защищенности банковской информации от несанкционированного доступа и неправомерного использования: разграничение и контроль прав доступа к информации; учет входящей и исходящей информации; криптографирование входящих и исходящих потоков информации. Система разграничения доступа предназначена для предоставления каждому сотруднику и должностному лицу банка только тех данных и прав, которые ему необходимы для работы и ограждения информации от несанкционированного доступа.