3.2 Рекомендації та принципи забезпечення інформаційної безпеки

Банківська безпека – один з основних елементів менеджменту, має багатофункціональний та комплексний характер.

Основними принципами забезпечення інформаційної безпеки банківських систем є:

1. Постійний і всебічний аналіз інформаційної системи з метою виявлення уразливості інформаційних активів банку та підприємства.

2. Своєчасне виявлення проблем, потенційно здатних вплинути на інформаційну безпеку банку та підприємства, корегування моделей загроз і порушника.

3. Розробка і впровадження заходів захисту, адекватних характеру виявлених загроз, з урахуванням витрат на їх реалізацію і сумісності цих заходів з діючим банківським технологічним процесом. При цьому заходи, що приймаються для забезпечення інформаційної безпеки, не повинні ускладнювати досягнення статутних цілей банку та підприємства, а також підвищувати трудомісткість технологічних процесів обробки інформації і створювати додаткові складності для клієнтів.

4. Контроль ефективності впроваджених заходів захисту.

5. Персоніфікація та розподіл ролей і відповідальності між користувачами інформаційної системи банку чи підприємства, виходячи з принципу персональної і одноосібної відповідальності за здійснені операції.

6. Принцип «чотирьох очей», коли критичні операції та дії здійснюються або підтверджуються мінімум двома уповноваженими особами.

7. Знання банком чи підприємством своїх клієнтів і персоналу [13].

Виходячи з вищесказаного можна розробити деякі рекомендації:

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі управління безпекою банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.

2. Необхідна участь співробітників управління безпекою на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпекою повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається

3. Ставитися особливо обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам розробленим програмістами самого банку.

Одна з систем, що забезпечує захист інформації - це DLP (Data Loss Prevention) – система та інші засоби, що захищають від витоків, перекривають або контролюють ті чи інші канали, по яким інформація може покинути інформаційну систему, такі як мережеві з'єднання по різних протоколах, відчужувані носії інформації, мобільні комп'ютери, принтери і т.д.

Сьогодні банки використовують спеціальні програмні комплекси зі сканування рівня інформаційної захищеності комп’ютерних мереж. Серед таких комплексів виступають спеціалізована мова Vulnerabіlіty Descrіptіon Language, Іnternet SafeSuіt (Іnternet Securіty Systems) та ін.

Для контролю за виходом банківської інформації через «зломи» інформаційних мереж комп’ютерними злочинцями використовують відповідне програмне забезпечення.

Нині на ринку представлена достатня кількість програмного забезпечення, що відноситься до категорії засобів пошуку «злому» мереж.[15]Це:

1. Internet Security Scanner (фірма Internet Security Systems).

2. NetRecon (фірма Axent).

3. NetProbe (фірма Qualix).

4. Ballista (фірма Secure Networks).

5. NetGuard (фірма Network Guardians).

6. NetSonar (фірма WheelGroup).

ВИСНОВКИ

В сучасному суспільстві, де найважливішим ресурсом будь-якої компанії цілком обґрунтовано є інформація, закономірно встає питання про створення управлінської системи, яка б забезпечила її збереження.

Грошово-кредитна система України перебуває в стані постійного розвитку. Одночасно з розширенням набору операцій і сфер діяльності постійно розвивається і сектор інформаційного ринку, удосконалюється технічне забезпечення, застосовуються сучасні інформаційні технології, широко використовуються як зарубіжні, так і вітчизняні засоби інформатизації. З одного боку, ці процеси значно спрощують банківську діяльність, підвищують швидкість і якість обслуговування клієнтів. З іншого ж - створюють передумови для різкого зростання кількості фінансових злочинів.

Стратегія інформаційної безпеки банків дуже сильно відрізняється від аналогічних стратегій інших компаній та організацій. Це зумовлено насамперед специфічним характером загроз, а також публічною діяльністю банків, які змушені робити доступ до рахунків досить легким з метою зручності для клієнтів.

Інформаційна безпека банку повинна враховувати наступні специфічні фактори:

1. Збережена і оброблювана в банківських системах інформація являє собою реальні гроші.

2. Інформація в банківських системах зачіпає інтереси великої кількості людей та організацій - клієнтів банку.

3. Конкурентоспроможність банку залежить від того, наскільки клієнтові зручно працювати з банком, а також наскільки широкий спектр надаваних послуг, включаючи послуги, пов'язані з віддаленим доступом.

4. Інформаційна безпека банку (на відміну від більшості компаній) повинна забезпечувати високу надійність роботи комп'ютерних систем навіть у разі нештатних ситуацій, оскільки банк несе відповідальність не тільки за свої кошти, але й за гроші клієнтів.

5. Банк зберігає важливу інформацію про своїх клієнтів, що розширює коло потенційних зловмисників, зацікавлених у крадіжці або псування такої інформації.[]

Для побудови дієвої системи інформаційного захисту банків України зокрема необхідно, в першу чергу, провести повну інвентаризацію інформаційної структури банків, що забезпечить керівників банку розгорнутою інформацією про те, які інформаційні технології використовуються в їхніх банках і як вони взаємодіють. На цій основі для застосування системи управління інформаційною безпекою необхідно класифікувати інформацію і визначити те, у яких програмно-технічних комплексах обробляється конфіденційна інформація, що вимагає захисту. Необхідна участь співробітників управління безпеки на етапі вибору-придбання - розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що купується.

Далі необхідно аналізувати загрози інформаційної інфраструктури банків та ідентифікувати ризики, пов'язані з інформаційними технологіями. Надзвичайно важливо визначити правильні підходи до оцінки ризиків. Існує кілька методологій їх оцінки, частина яких спирається на висновки експертів. Після здійснення оцінки ризиків необхідно оцінити варіанти їх обробки, а на цій основі вже розробляти політику інформаційної безпеки банку .

Потрібно відноситися суто обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам, надійність яких підтверджена успішним використанням у світовій фінансовій практиці.

Для здійснення контролю за IT-ризиками в банківській системі України НБУ необхідно створити підрозділ банківського контролю з висококваліфікованих IT-фахівців. Це, поза сумнівом, буде сприяти стабільній роботі банківської системи України в цілому.

Таким чином, організація захисту банківських систем є цілий комплекс заходів, які повинні враховувати як загальні концепції, але й специфічні особливості.

Основний висновок, який можна зробити з аналізу розвитку банківської галузі, полягає в тому, що автоматизація та комп'ютеризація банківської діяльності (і грошового обігу в цілому) продовжує зростати.

У зв'язку з цим слід очікувати подальший динамічний розвиток засобів інформаційної безпеки банків, оскільки їх значення постійно зростає.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Аналітичні дані інформаційної безпеки //www.infowatch.ru

2. Закон України «Про банки і банківську діяльність» від 17.01.2001 //Відомості Верховної Ради України. – 2001. – № 4.

3.Закон України «Про інформацію» // Ст. 30 «Інформація з обмеженим доступом».

4. Закон України «Про державну таємницю» // Відомості Верховної Ради (ВВР), 1994, № 16, ст.93 (із змінами та доповненнями).

5. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» // Відомості Верховної Ради (ВВР), 1994, № 31, ст.286 (із змінами та доповненнями).

6.Закон України «Про захист інформації в автоматизованих системах» // Відомості Верховної Ради (ВВР), 1994, № 31, ст.286 (із змінами та доповненнями).

7.Зубок М. І. Безпека банківської діяльності: навч. посіб. / М. І. Зубок.— К. : КНЕУ, 2002. — 190 с.

8.Ивченко, И. Комплексная система антивирусной защиты информационной системы НБУ [Текст]/И. Ивченко, И. Гуска // Вестник НБУ. – 2004. – июль. – С. 38-41.

9.Клименко, В. Внутренние угрозы информационной безопасности организации [Текст] / В. Клименко // Вестник НБУ. – 2008. – май. – С. 62-63.

10.Козаченко І. П. Загальні принципи захисту інформації в банківських автоматизованих системах / І. П. Козаченко, В. О. Голубєв // http://bezpeka.com/.

11.Матеріали «Центру дослідження комп’ютерної злочинності» //www.crimeresearch.org.

12.Лесик, Д. Информационная безопасность банковской деятельности: требования международных стандартов [Текст] /Д. Лесик, И. Ивченко// Вестник НБУ. – 2005. – сентябрь. – С. 25-27.

13.Никифорак Д. Й. Виявлення злочинів у банківській системі України/ Д. Й. Никифорак, О. І. Костенко // www.naiau.kiev.ua

14.Потій О.В., Горбенко Ю.І. Визначення та обґрунтування суті політики інформаційної безпеки // http://www.security.ukrnet.net

15.Широков, Л.А. Информатизация банковской деятельности [Текст]: Учебное пособие. / Л.А. Широков. - Москва: МГИУ, 2003. – 160 с.