Что такое информационная безопасность?
Информационная безопасность банковской структуры — это состояние защищенности абсолютно всех ее информационных активов от потенциальных информационных угроз как извне, так и снаружи.
От уровня информационной безопасности банка во многом зависят его репутация и общий уровень конкурентоспособности на рынке. Достаточный уровень обеспечения информационной безопасности банковской структуры в значительной мере позволяет минимизировать потенциальные риски утечки данных и сведений.
Основной целью как внешних злоумышленников, так и внутренних, называемых инсайдерами, которые довольно часто атакуют различного рода информационные системы финансового учреждения, в результате чего получают доступ и контроль над информационными активами банковской структуры, является осуществление незаконных финансовых операций или компрометация финансовых учреждений, например, по заказу недобросовестных конкурентов.
Основные аспекты информационной безопасности кредитных организаций
Основным документом, который предопределяет в значительной мере комплекс приоритетов, основных принципов и способов достижения стратегических и тактических целей обеспечения защищенности электронных информационных активов банковских структур в сложившихся условиях наличия потенциальных угроз, которые наиболее характерны и являются существенными для крупных (системно - значимых) банковских институтов, является политика банковской структуры в сфере информационной безопасности такой структуры.
Подобная политика, в первую очередь, направлена на защиту финансовой устойчивости банковской структуры посредством обеспечения надёжного, непрерывного и безопасного функционирования и эффективной работы платёжной, операционной, аналитической, информационной, организационно-распорядительной и других систем банка.
Политика банковской структуры представляет собой взаимосвязанную многоуровневую системную задачу, в состав которой входят различного рода объекты защиты и цели защиты, характер угроз, методы их минимизации. Так, одним из наиболее важных принципов, который закладывается в политику информационной безопасности, можно назвать обеспечение защиты электронных информационных ресурсов банка, в т.ч. электронных ресурсов, которые находятся в его ведении, исходя из их ценности. Именно ценность того или иного электронного информационного ресурса и предопределяет принципы и приоритеты их защиты.
Для минимизации рисков информационной безопасности в политику в обязательном порядке должны быть включены принципы осуществления мониторинга, внутреннего контроля и аудита, анализа применяемых методов и средств и возникающих угроз.
Таким образом, подобный документ отражает наиболее важные методологические подходы, которые позволяют сотрудникам службы информационной безопасности, а также другим прочим специалистам банковских структур устанавливать наиболее важные объекты защиты, а также формулировать принципы и направления работ, контролировать их исполнение, внедрять необходимые меры по защите электронных информационных активов банковской структуры.
Стоит отметить, что информационная безопасность банковских структур, функционирующих на территории РФ, базируется на действующих нормативных и законодательных актах, Доктрине информационной безопасности РФ, которая утверждается Президентом, различного рода нормативно-методической документации в сфере информационной безопасности, например, документах Центрального Банка РФ, а также рекомендациях Банка международных расчетов по общим принципам функционирования системно-значимых платежных систем.
На сегодняшний день наиболее важными целями работы по обеспечению информационной безопасности в банковских структурах являются:
- предупреждение и минимизация риска возникновения угроз электронным информационным активам банковских структур и финансовых учреждений;
- в значительной мере снижение уровня уязвимости электронных информационных активов банковских структур и финансовых учреждений;
- обеспечение минимизации ущерба и периода восстановления в результате последствий атак угроз.
Стоит отметить, что банковским структурам и финансовым учреждениям в обязательном порядке необходимо строго следовать рекомендациям мировых стандартов, а также рекомендаций, выданных Комитета по платежным и расчетным системам, среди которых можно выделить:
- снижение до наиболее приемлемого уровня потенциальных разрушений, которые могут быть вызваны актами терроризма, природными и техногенными катастрофами, стихийными бедствиями и неблагоприятными природными явлениями и т.д.;
- уменьшение уровня зависимости от монополизации программных, технических инструментов, расходных материалов и услуг;
- осуществление на постоянной основе анализа возможных причин и последствий нарушения существующих принципов непрерывности и безопасности банковских и финансовых операций;
- разработка и внедрение в действие планов действий на случай чрезвычайных обстоятельств для обеспечения уверенности в том, что существующие бизнес - процессы будут восстановлены в рамках определенного времени для надлежащего выполнения соответствующего функционала;
- обеспечение наличия всех необходимых инструментов и методов для снижения рисков, ограничения последствий разрушительных воздействий и своевременного возобновления деятельности;
- учет величины потенциального ущерба от реализации рисков нарушения информационной безопасности при планировании расходов на обеспечение информационной безопасности.