Цехановська О.І.
Національний гірничий університет, Україна
Захист інформації в банківських і комерційних системах
У
сучасному світі банківська діяльність, у тому числі і комерційних банків, а також підприємницька діяльність, дедалі
частіше стає об’єктом кримінальних структур.
Заволодіння конфіденційною інформацією комерційних структур та інформацією, що
становить банківську таємницю може дати
злочинцям великі можливості для здійснення операцій по відмиванню «брудних грошей», переведення їх за кордон, та
просто її продаж на сучасному ринку інформації, тим саме принісши їм величезні
кошти.
Забезпечення безпеки інформації в банківських і
комерційних системах є невід’ємною частиною сучасного бізнесу. Саме тому у цій
роботі розглядаються умови організації безпеки бізнесу, зокрема безпека
банківської діяльності, як найбільш
розвиненого виду безпеки бізнесу в Україні.
Основними принципами забезпечення інформаційної безпеки
(надалі ІБ) банківських і комерційних систем, є:
1. постійний і всебічний аналіз інформаційної системи (надалі ІС) з метою
виявлення уразливості інформаційних активів банку та підприємства.
2. своєчасне виявлення проблем, потенційно здатних вплинути на ІБ банку та
підприємства, корегування моделей загроз і порушника.
3. розробка і впровадження заходів захисту, адекватних характеру виявлених
загроз, з урахуванням витрат на їх реалізацію і сумісності цих заходів з діючим
банківським технологічним процесом. При цьому заходи, що приймаються для
забезпечення ІБ, не повинні ускладнювати досягнення статутних цілей банку та
підприємства, а також підвищувати трудомісткість технологічних процесів обробки
інформації і створювати додаткові складності для клієнтів.
4. контроль ефективності впроваджених заходів захисту.
5. персоніфікація та розподіл ролей і відповідальності між користувачами ІС
банку чи підприємства, виходячи з принципу персональної і одноосібної
відповідальності за здійснені операції.
6. принцип «чотирьох очей», коли критичні операції та дії здійснюються або
підтверджуються мінімум двома уповноваженими особами.
7. знання банком чи підприємством своїх клієнтів і персоналу.
Основними цілями діяльності по забезпеченню ІБ є:
1. підвищення стабільності функціонування цілому;
2. досягнення адекватності заходів по захисту від реальних загроз ІБ;
3. запобігання та/або зниження збитку від інцидентів ІБ.
Основними завданнями діяльності по забезпеченню ІБ банку
та підприємства є:
1. розробка вимог по забезпеченню ІБ;
2. контроль виконання встановлених вимог по забезпеченню ІБ;
3. підвищення ефективності заходів щодо забезпечення і підтримки ІБ;
4. розробка і вдосконалення нормативно-правової бази забезпечення ІБ;
5. виявлення, оцінка і прогнозування загроз ІБ;
6. організація антивірусного захисту інформаційних активів;
7. захист інформації від НСД і витоку технічними каналами зв'язку.
Загальні вимоги по забезпеченню ІБ банку чи підприємства
формулюються для наступних сфер:
1. призначення і розподіл ролей і довіри до персоналу;
2. стадії життєвого циклу ІС;
3. захист від НСД, управління доступом і реєстрацією в ІС;
4. антивірусний захист;
5. використання ресурсів Інтернет та системи електронної пошти;
6. використання засобів криптографічного захисту інформації;
7. фізичний захист обладнання;
8. забезпечення неперервності ведення бізнесу;
9. захист банківських платіжних і інформаційних технологічних процесів.
Положення й вимоги до системи інформаційної безпеки
повинні поширюватися на всі структурні підрозділи банку чи підприємства, у яких
здійснюється автоматизована обробка інформації, що містить відомості, які
становлять банківську, комерційну, службову таємницю та персональні дані, а
також на підрозділи, що здійснюють супровід, обслуговування та забезпечення
безперервного функціонування інформаційних систем.
Угоди, внутрішні нормативні та методичні документи
повинні відповідати вимогам політики безпеки банку чи підприємства. Внутрішні
нормативні та методичні документи банку чи підприємства повинні мати відповідні
посилання політику безпеки банку чи підприємства.
Ще одним не
меншим важливим аспектом розробки системи інформаційної безпеки банку та
підприємства є побудування та підтримки актуальності моделі загроз і порушників
ІБ, яка є визначальним при розгортанні, підтримці і вдосконаленні системи
забезпечення ІБ банку та підприємства. Джерела загроз, вразливості, що
використовуються загрозами, методи і об'єкти атак, придатні для реалізації
загрози, типи можливих втрат, масштаби потенційного збитку визначаються
документом «Модель загроз і порушників Банку», що розробляється Відділом
інформаційної безпеки Управління Операційних ризиків спільно з Управлінням
інформаційних технологій.
Література:
1. Закон України «Про банки і банківську діяльність»
2. Закон України «Про захист інформації в інформаційно-телекомунікаційних
системах»
3. Закон України «Про електронні документи та електронний документообіг»
4. Міжнародний стандарт ISO/IEC 17799:2005 Information technology
Securitytechniques – Code of practice for information security management
5. Закон України «Про телекомунікації»
6. Закон України «Про електронні документи та електронний документообіг»
7. Закон України «Про інформацію»