К.т.н.
Панаско О.М., к.т.н. Олійник Г.Т., Черниш С.В.
Черкаський
державний технологічний університет
Інформаційні ризики в банківській
діяльності
В наш час особливої ваги набула
інформація, а її виробництво та обіг стали однією із основних ланок розвитку
економіки. Використання інформації забезпечує підприємствам і банківським
установам отримання вигоди та прибутку. Ефективність інформації є вирішальним
чинником у боротьбі за підвищення рентабельності, а також адаптації банку до
більш складного конкурентного оточення. Внаслідок цього на сьогоднішній день
актуальною є проблема забезпечення інформаційної безпеки банківських установ.
У своїй діяльності українські
банки можуть мати справу з різноманітними ризиками, вагому роль серед яких
відіграють інформаційні ризики. На думку багатьох фахівців вони можуть бути
спричинені відмовою банківських установ від впровадження новітніх технологій
та якісних інформаційних систем.
Для терміну «інформаційні ризики»
можна навести декілька тлумачень. Насамперед, це ризик втрати, несанкціонованої
зміни інформації через збої у функціонуванні інформаційних систем. З іншого
боку це збитки, що виникають через неправильну організацію або навмисне
порушення інформаційних потоків та систем організації. Зазначене визначення
інформаційних ризиків є широким та виправданим, включаючи при цьому
інформаційні технології, роботу служби безпеки та інше.
В даній роботі зосереджена увага
на інформаційних ризиках, які виникають внаслідок впливу людей та зовнішніх
факторів на інформаційні системи, і пов’язані із застосуванням банками
інформаційних технологій та систем (ІТ-ризики). Метою цієї статті є формування
рекомендацій для мінімізації інформаційних ризиків для забезпечення безпеки
банківської діяльності.
Процес мінімізації інформаційних
ризиків вимагає комплексного підходу та
проведення аналізу ризиків. В результаті
визначаються уразливі місця системи, сутність та рівень загроз, а також
припустимий рівень загроз. Це дає змогу сформувати комплекс заходів, що
дозволяє знизити ризики до припустимого рівня. Слід зазначити, що технології
аналізу ризиків в Україні в даний час розвинуті слабко. В першу чергу це
питання є актуальним для банківських установ, оскільки саме вони зобов’язані
серйозно піклуватися про безпеку своїх інформаційних ресурсів. Банківські
установи повинні вживати відповідних заходів, диференціюючи їх відповідно до
певних загроз.
Досягти поставленої мети можна на
декількох рівнях, насамперед, на організаційному. В банківських установах особлива
увага повинна приділятись розробці та виконанню інструкцій персоналу,
присвячених інформаційній безпеці та фізичного захисту. З іншого боку слід зазначити
програмно-технічний рівень захисту від інформаційних ризиків. Він обумовлений
застосуванням апробованих та сертифікованих рішень, а також стандартного набору
контрзаходів, зокрема, антивірусного захисту, парольного захисту, резервного
копіювання, застосування міжмережевих екранів, шифрування даних та інших
заходів.
У загальному випадку при розгляді
оцінки ризиків доцільно звернути увагу на Міжнародний стандарт «Інформаційні
технології – Методи захисту – Системи менеджменту інформаційної безпеки -
Вимоги» (ISO/IEC 27001: 2005), розроблений Міжнародною
організацією по стандартизації (ISO) та
Міжнародною електротехнічною комісією (IEC) на основі британського стандарту BS 7700-2:2002. В стандарті, що має загальний
характер, встановлюються вимоги з розробки, впровадження та функціонування
системи управління інформаційною безпекою в аспекті існуючих бізнес-ризиків.
У випадку підвищених вимог у сфері
інформаційної безпеки, зокрема банківської сфери, використовується повний варіант аналізу ризиків. На відміну від
базового варіанту виробляється оцінка цінності ресурсів, характеристик ризиків
і вразливості.
При аналізі ризиків для базового
рівня кінцевим результатом є типове проектне рішення. Існує ряд стандартів і специфікацій, в яких розглядається ряд
типових найбільш імовірних загроз, який є мінімальним. До них відносяться збої
устаткування, віруси, несанкціонований доступ.
Для нейтралізації цих загроз обов’язково повинні бути вжиті контрзаходи
незалежно від ймовірності їх виникнення та здійснення та вразливості ресурсів.
Для повного варіанту аналізу
ризиків вимоги у сфері інформаційної безпеки підвищуються. Зазвичай поруч з
оцінкою цінності ресурсів, визначенням характеристик ризиків та вразливостей
ресурсів, проводиться аналіз вартості та ефективності декількох варіантів
захисту. Програмні засоби, що дозволяють провести повний аналіз ризиків,
зазвичай будуються з використанням структурних методів системного аналізу та
проектування.
Аналіз ризиків містить у собі
ідентифікацію та обчислення рівнів ризиків на основі оцінок, що належать
ресурсам, загрозам і вразливості ресурсів. Він проводиться в три етапи. В ході
першого етапу проводиться аналіз та ідентифікація ресурсів системи з метою визначення їх цінності. Внаслідок
цього визначаються межі системи, проводиться ідентифікація ресурсів
(устаткування, дані, програмне забезпечення), будується модель з погляду
інформаційної безпеки та визначаються цінності ресурсів.
При визначенні меж досліджуваної
системи доцільно визначати як
конфігурацію системи, так і коло відповідальних за програмні та фізичні
ресурси осіб, користувачів системи та характер її використання.
При ідентифікації ресурсів
визначаються фізичні, програмні та інформаційні ресурси, що містяться всередині
меж системи. В результаті формується модель інформаційної системи з погляду
інформаційної безпеки. Для кожного інформаційного процесу, що має самостійне
значення з погляду користувача, будується дерево зв’язків використовуваних
ресурсів. Ця модель дозволяє виділити критичні елементи. У тому випадку, якщо
цінності ресурсів є низькими, можна використовувати базовий варіант захисту, що
дає можливість після ідентифікації ресурсів та побудови інформаційної моделі
відразу перейти до етапу вибору контрзаходів.
На другому етапі доцільно
розглянути все, що відноситься до ідентифікації та оцінки рівнів загроз для
груп ресурсів та їх вразливості. Наприкінці другого етапу банк одержує
ідентифіковані та оцінені рівні ризиків для своєї банківської системи. Для
цього оцінюється залежність користувальницьких сервісів від визначених груп
ресурсів. Одночасно оцінюється існуючий рівень загроз і вразливостей, а також обчислюються
рівні ризиків. Групування загроз розробляється з погляду загроз і вразливостей.
На третьому етапі відбувається
пошук адекватних контрзаходів, що максимально відповідають вимогам банку.
Наприкінці етапу визначаються варіанти модифікації системи для відхилення від
ризику. При цьому здійснюється вибір спеціальних заходів протидії, які ведуть
до зниження ризиків, що залишилися, до необхідного та припустимого рівня. На
цьому етапі генеруються рекомендації загального плану, конкретні рекомендації та
приклади того, як організовується захист у даній ситуації. На цій стадії
можливо провести порівняльний аналіз ефективності різних варіантів захисту.
Обов’язковою вимогою забезпечення
інформаційної безпеки в аспекті інформаційних ризиків та їх мінімізації в
банківських установах є її неперервність. Доцільно проводити аналіз інформаційних ризиків, а також
розроблювати та оновлювати плани по їх мінімізації з визначеною періодичністю.
Це в деякій мірі буде сприяти мінімізації інформаційних ризиків в банківських
установах.
В заключення слід
зауважити, що інформаційні ризики та процес їх мінімізації суттєво залежать від
аналізу ризиків, правильного його
проведення та використання. В цілому ж робота по забезпеченню інформаційної
безпеки в банківських установах повинна бути комплексною та виваженою.
Література
1.
ISO/IEC 27001:2005 «Інформаційні технології - Методи захисту
– Системи менеджменту інформаційної безпеки – Вимоги».
2.
Захист інформації у банківській діяльності / Браіловський
М.М., Лазарєв Г.П., Хорошко В.О. – К.: ТОВ «ПоліграфКонсалтінг», 2004. – 216 с.