Совершенствование инфокоммуникационного сопровождения банковской деятельности (стр. 7 из 25)

Обнаружение их включает по­стоянный мониторинг систем, причем иногда для этого привлекаются внешние фирмы. Для реагирования на проблемы безопасности бан­ки создают силы быстрого реагирования, которые оценивают чрезвычайные происше­ствия и обеспечивают скоординированную ре­акцию.

Вопросы безопасности в данной сфере ус­ложняются тем, что банк не может существо­вать в вакууме. Он может иметь несколько се­тей банкоматов, ряд старых сетей и систем, сеть для связи между отделениями и офисами, волоконно-оптические каналы для связи с удаленными центрами, веб-сайт, а также сис­темы, соединяющие все это воедино. Любая из перечисленных систем может быть уязви­ма. Дополнительные риски создают неадекват­ные правила защиты, к тому же нельзя забывать и о человеческом факторе (известно, что боль­шинство проблем в области безопасности со­здают именно сотрудники компании) [13].

Организация информационной безопасности начинается с политики информационной безопасности – внутреннего документа, содержащего в себе основные принципы такой безопасности банка, используемые защитные механизмы и правила их эксплуатации.

Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на рис. 1.6.

Результатом этих работ становится рабочая система информационной безопасности, регламентируемая документом «Политика информационной безопасности» [18].

Рис. 1.6 – Схема организации информационной безопасности

Вообще для обеспечения и совершенствования информационной безопасности целесообразно разработать единую концепцию обеспечения защиты и безопасности информации, которая должна базироваться на комплексной реализации определенных мер (приложение 4) [33].

Система обеспечения защиты и безопасности банковской информации состоит из трех основных направлений, они представлены на рис. 1.7.

Рис. 1.7 - Направления системы обеспечения защиты и безопасности банковской информации

Следует отметить, что в каждой пользовательской точке участвуют как методы защиты от несанкционированного доступа, так и контроль. Хранение информации должно осуществляться на отдельно стоящих специализированных серверах, разграниченных по функциональному назначению и изолированных от доступа к ним всех пользователей.

Доступ в помещение, где находятся серверы банка, коммуникационная аппаратура для связи, оптический кроссы, специализированное отдельно стоящее оборудование, выделенные каналы связи, ограничивается кодовым замком, что позволит исключить возможность проникновения посторонних лиц и перекроет доступ к физическим носителям, сетевым коммуникациям.

С целью предотвращения несанкционированного проникновения внутрь системных блоков, все корпуса рабочих станций закрываются и опечатываются специальными маркерами.

Для идентификации пользователя необходимо использовать парольную защиту, предоставляющую персональные права на доступ к информации банка. Каждому пользователю оформляется карта доступа - минимум возможностей и прав для работы в АБС.

Для защиты от вирусных атак, преднамеренного заражения компьютеров различного рода вирусами, банк обеспечивается антивирусными программами с постоянно обновляемой базой. Доступ в Интернет должен постоянно контролироваться на программном уровне при помощи специализированных программ. Защита баз данных от технических сбоев осуществляется путем ежедневного резервного копирования информации Банка на специальном сервере, с последующим архивированием необходимой информации.

Для обмена информации банк обеспечивается различными каналами связи с соответствующими степенями защиты, шифрования информации.

Системы связи должны состоять из офисной мини-АТС, телефонных коммуникаций и соответствовать следующим требованиям: находиться в защищенном от посторонних лиц месте, программирование и настройка соединений должны производиться с соблюдением норм конфиденциальности, протоколы переговоров постоянно должны контролироваться на предмет несанкционированных телефонных контактов.

Инструкции по информационной безопасности: о резервном копировании информации, по организации парольной защиты, о порядке действий в нештатных ситуациях, по организации антивирусной защиты, об администраторах информационной безопасности (АИБ) разрабатываются и утверждаются единым пакетом в форме отдельных внутрибанковских документов [51].

Основу соблюдения режима доступа к банковской информации составляют следующие способы обеспечения защищенности банковской информации от несанкционированного доступа и неправомерного использования: разграничение и контроль прав доступа к информации; учет входящей и исходящей информации; криптографирование входящих и исходящих потоков информации. Система разграничения доступа предназначена для предоставления каждому сотруднику и должностному лицу банка только тех данных и прав, которые ему необходимы для работы и ограждения информации от несанкционированного доступа.

Для защиты информации от несанкционированного доступа применяется система паролей и разграничения доступа к автоматизированной банковской системе на основе средств, заложенных в используемые операционные системы и аппаратные средства.

Сотрудник или должностное лицо банка получает доступ к информации после регистрации в системе и ввода пароля. Регистрация делается с помощью стандартных средств операционной системы и базы данных, что обеспечивает достаточную надежность за счет шифрования паролей и их централизованной проверки.

После регистрации в системе сотрудник или должностное лицо Банка работают с помощью специализированного программного обеспечения, позволяющего им выполнять только допустимый набор действий.

Учет входящей и исходящей документированной информации, позволяет разграничивать конфиденциальную информацию от иной банковской информации. Информация, заявленная отправителем или получателем как конфиденциальная, учитывается отдельно от иной банковской информации.

Криптографирование входящих и исходящих потоков информации является дополнительным способом обеспечения защищенности информации от несанкционированного доступа [51].

Преступные посягательства на порядок функционирования банка включены в гл. 23 УК РФ «Преступления против службы в коммерче­ских и иных организациях». Статьей 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» УК РФ № 63-ФЗ от 13 .06.1996 года (в ред. ФЗ от 07.08.2001 № 121-ФЗ) установлены штрафные санкции при нарушениях связанных с собиранием, разглашением, похищением информации содержащую банковскую тайну. Собирание такой информации, путем похищения документов, подкупа или угроз, и другим незаконным способом наказывается штрафом в размере до 80 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев либо лишением свободы на срок до 2 лет [2].

Информационные ресурсы банка формируются путем создания, сбо­ра и приобретения документированной информации о фактах, собы­тиях и обстоятельствах, имеющих отношение к кредитно-финансовой сфере. В целях создания оптимальных условий для удовлетворения ин­формационных потребностей своих структурных подразделений, кли­ентов и корреспондентов, а также органов государственной власти банк приобретает и использует информационные системы, или органи­зационно упорядоченные массивы документов, информационные тех­нологии и средства их обеспечения, или средства вычислительной тех­ники и связи, обеспечивающие обработку, хранение и передачу ин­формации.

В соответствии с ФЗ «Об информации, инфор­матизации и защите информации» № 24-ФЗ от 20.02.1995 г. (в ред. ФЗ от 10.01.2003 № 15-ФЗ) документы банка, его информаци­онные системы, а также средства обеспечения их деятельности явля­ются составной частью имущества банка и объектом его права собст­венности. Этот Федеральный закон регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации [4].

Согласно ст. 13.12 Кодекса РФ «Об административных правонарушениях» № 195-ФЗ от 30.12.2001 г. (в ред. от 03.07.2006 № 97-ФЗ) нарушение правил защиты информации использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от 200 до 300 МРОТ с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой [3].

Постановление Правительства РФ № 290 от 30.04.2002 г. «О лицензировании деятельности по технической защите конфиденциальной информации» (в ред. Постановлений Правительства РФ от 17.12.2004 № 807) определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по технической защите конфиденциальной информации [1].