Информационная безопасность в банковском секторе
Информационная безопасность финансового учреждения — это состояние защищенности всех информационных активов (сведений и данных различного рода) банковской структуры от внешних и внутренних угроз.
Информационная безопасность банка является важнейшим аспектом его деятельности, т.к. именно от уровня информационной безопасности банка зависят его репутация, престиж и уровень конкурентоспособности на рынке банковских услуг. Стоит отметить, что высокий уровень информационной защищенности банковской структуры благотворно влияет на минимизацию рисков.
Среди характерных особенностей информационных систем финансового учреждения можно выделить следующие:
- хранение и обработка огромного количества сведений о финансовом состоянии и деятельности как частных лиц, так и экономических субъектов;
- наличие инструментов совершения банковских операций, которые могут приводить к различным финансовым последствиям.
Угрозы информации в финансовом учреждении
Угроза подразумевает под собой потенциально возможное событие, которое может привести к нанесению ущерба интересам банковской структуры или ее клиентов.
Во внешней среде финансовой структуры можно выделить следующие виды угроз:
- нарушение физической целостности элементов сведений, т.е. их уничтожение, разрушение;
- нарушение логической целостности элементов сведений, т.е. уничтожение или разрушение логических связей;
- модификация содержания, например, изменение блоков сведений, внешнее навязывание недостоверных данных;
- нарушение конфиденциальности информации, т.е. разрушение защиты, умышленное уменьшение уровня защищенности данных;
- нарушение прав собственности на сведения (несанкционированное копирование, использование).
Стоит отметить, что использование материалов возможно только при указании гиперссылки.
На сегодняшний день можно выделить два вида происхождения угроз:
- умышленного происхождения, среди которых выделяют: хищение носителей данных, несанкционированное подключение к коммуникационным каналам, перехват электромагнитных излучений, разглашение конфиденциальных сведений, копирование информации и т.д.;
- естественного происхождения, среди которых выделяют чрезвычайные происшествия (например, возгорания, пожары, аварии, террористические акты), стихийные бедствия (цунами, ураганы, смерчи, землетрясения), ошибки в ходе обработки сведений и т.д.
На сегодняшний день можно выделить внутренние (предотвращение и минимизация угроз, которые исходят изнутри) и внешние (предотвращение и минимизация угроз, которые исходят извне) средства защиты данных.
Среди источников внешних угроз выделяют:
- естественные системы;
- искусственные системы;
- абстрактные системы;
- описательные системы.
Стоит отметить, что на сегодняшний день наибольшими возможностями для нанесения ущерба банковской структуре обладают ее сотрудники.
Источниками внутренних угроз системы являются ее подсистемы и элементы:
- персонал (люди);
- технические устройства и информационные системы;
- технологические схемы обработки;
- используемые в системах обработки информации, алгоритмы, программное обеспечение.
Методы минимизации и предотвращения информационных угроз
Среди основных правил минимизации информационных угроз можно выделить следующие:
Правило № 1. Доступ работников к информационным системам и документации финансового учреждения должен быть строго разграничен в зависимости от конфиденциальности сведений, содержащихся в документе;
Правило № 2. Банковская структура в обязательном порядке должна осуществлять контроль за предоставлением доступа к сведениям и обеспечивать защиту наиболее незащищенных информационных систем.
Правило № 3. Информационные системы, которые непосредственно влияют на работу финансового учреждения, должны функционировать непрерывно, даже при наступление чрезвычайной ситуации.
Для обеспечения необходимой защиты от информационных угроз и контроля безопасности финансового учреждения могут быть проведены можно следующие мероприятия.
- определение сотрудников, ответственных за информационную безопасность;
- формирование нормативной внутренней документации, в которой подробным образом должны быть описаны действия сотрудников финансового учреждения, направленные на предотвращение и минимизацию информационных рисков, обеспечение резервных мощностей для функционирования в случае наступления кризисных ситуаций;
- разработка стандартов информационных систем в рамках банковской структуры, то есть организация перехода к единым отчетным формам, а также единым методикам расчета коэффициентов, которые могут применяться во всем программном обеспечении финансового учреждения;
- классификация информации по уровню конфиденциальности и разграничение права доступа к такой информации.
- внедрение инструментов контроля, которые позволяли бы отслеживать состояние всех корпоративных информационных систем финансового учреждения: при этом в случае несанкционированного доступа подобная система в обязательном порядке долга запрещать вход и одновременно с этим сигнализировать о потенциальной опасности.
Помимо вышеперечисленного в финансовом учреждении должны быть утверждены нормативные документы с описание действий финансового учреждения по выходу из сложившегося кризиса.
Для этого следует:
- проработать сценарии проникновения посторонних лиц или лиц, не имеющих необходимого доступа, работников финансового учреждения в корпоративную информационную сеть;
- разработать варианты решения возникающих проблем, которые связаны с кадрами, в том числе уход из банка ключевых работников, например, сформировать, утвердить и ознакомить персонал с планом преемственности управления;
- подготовить резервные информационные мощности (серверы, компьютеры), а также резервные коммуникационные каналы.