Ключевым этапом для построения надежной информационной системы является выработка политики безопасности.

Под политикой безопасности следует понимать совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. С практической точки зрения политику безопасности целесообразно создавать, учитывая специфику российского банковского сектора экономики.

Коммерческий банк, как сугубо экономическое рыночное предприятие, ориентируется прежде всего на получение прибыли при условии снижения различных рисков. Одним из популярных во всем мире решений этой проблемы служит автоматизация труда работников, которая в наше время осуществляется в основном за счет применения вычислительной техники и средств телекоммуникаций. Эффективно используемые вычислительная техника и средства телекоммуникаций позволяют снижать общие расходы и одновременно позволяют создавать качественно новые услуги.

Любой банк или предприятие в большинстве стран мира может связаться с партнером посредством компьютерных сетей и решить свои финансовые, торговые или иные вопросы, оперативно обмениваясь электронными посланиями или документами. Для этого нет необходимости в больших командировочных или иных накладных расходах.

Бурная информатизация банков, развитие тенденций распределенной обработки данных на базе современных средств вычислительной техники, создание информационно-телекоммуникационных систем различного назначения и необходимость обмена информации между ними определили работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем, в том числе и в части безопасности информации.

Это особенно актуально для так называемых открытых систем общего пользования, обрабатывающих конфиденциальную информацию.

Термин "открытый" подразумевает, что все устройства и процессы системы (вычислительной сети) взаимодействуют в соответствии с некоторым набором стандартов и потому открыты для взаимодействия с другими системами (вычислительными сетями). Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях всевозможных коммерческих банков или иных организаций, которые не имеют единого хозяина или собственника. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

Традиционное понятие безопасности информации включает в себя оценку трех ее характеристик: доступности, целостности и конфиденциальности.

· Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена.

· Под целостностью информации понимается свойство ее существования в неискаженном виде.

· Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.

Но такой взгляд на проблему несколько сужен. Не следует забывать о понятии собственности информационных ресурсов. Собственность на что-либо подразумевает права владения, пользования и распоряжения, а также возможность эффективно осуществлять эти права в реальной жизни. Ресурсы информационной системы и сама информация как ресурс являются чьей-либо собственностью. Поэтому следует говорить о безопасности АБС как об обеспечении реализации прав собственника в отношении ресурсов этой системы. Сама же реализация прав собственника состоит в возможности эффективного управления ресурсами и, как части управления, контроля над их использованием теми лицами, которых собственник допустил к использованию ресурсов.

Так исторически сложилось, что в нашей стране проблемы безопасности информационных технологий изучались и своевременно решались только для защиты государственной тайны в военных или правительственных автоматизированных системах. Весьма специфичные проблемы банковского сектора экономики не нашли соответствующих решений ввиду отсутствия автоматизации этого сектора. В настоящее время это существенно мешает развитию безопасных информационных технологий в отечественной банковской системе, которая интегрируется с мировой системой.

Защита информации в банковской автоматизированной системе имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Помимо упомянутых ранее отношений собственности, из них можно отметить следующие:

· приоритет экономических, рыночных факторов, т. е. для банковской автоматизированной системы весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. д.;

· использование открытых систем и открытого проектирования, которое заключается в создании подсистемы защиты информации из средств, широко доступных на рынке;

· юридическая значимость банковской информации, которая приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности собственности в нашей стране, особенно при взаимодействии автоматизированных систем различных юридических лиц.

Юридическую значимость информации можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу документов или информационных процессов в соответствии с правовым режимом информационных ресурсов, установленным законодательством.

Последнее, например, актуально при необходимости обеспечения строгого учета любых информационных услуг, что является экономической основой работы всякой информационной системы и служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами системы.

Помимо этого часто должна обеспечиваться строгая нотаризация (юридически значимый учет и регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.

Рассмотрим также другие особенности защиты информации автоматизированных банковских систем.

С расширением географии деятельности банка, развитием взаимодействия электронных сетей, осуществлением совместных работ с другими юридическими лицами через Интернет возрастает риск или вероятность финансовых потерь. В качестве примера можно привести операционный риск - риск того, что потери могут возникнуть из-за ошибок или пропусков в обработке электронных документов и расчетах. Этот риск включает риск возможного мошенничества, коммуникационный и организационный риски.

Другой вид риска - риск контроля - связан с техникой внутренних отчетов и внешним аудитом.

Управление рисками как область знаний находится на стыке различных отраслей знаний, требует использования методов математического моделирования, прогнозирования, применения элементов финансового и стратегического планирования.

Управление рисками обычно включает следующие направления деятельности:

· идентификацию угроз;

· анализ и оценку рисков;

· кризисное управление (ликвидация последствий возникающих убытков, выработка механизмов выживания);

· систему страховых превентивных мероприятий (минимизация и предупреждение риска).

Страхование рисков банков является логичным и вполне разумным специфичным элементом в системе информационной безопасности, позволяющим банкам не только предотвращать нарушения, но и, что самое важное, возмещать убытки, вызванные ими. В основе банковского страхования лежат обязательства по страховому покрытию банков, известные в мире как Bankers Blanket Bond (BBB), первоначально разработанные Американской ассоциацией гарантов для американских банков. Страховщиками, занимающими лидирующее положение в этом особом виде страхования, являются андерайтеры Ллойда в Лондоне. В процессе своего развития пакет по комплексному страхованию банков совершенствуется и дополняется в соответствии с потребностями клиентов, и в настоящее время он обеспечивает и страховое покрытие электронных и компьютерных нарушений.

Страхование от компьютерных нарушений стало стандартным видом страхования, приобретаемым банками, финансовыми компаниями, страховыми компаниями и крупными транснациональными коммерческими компаниями, осуществляющими переводы своих денежных средств, а также несущими ответственность за сохранность средств своих клиентов при клиринговых и депозитных операциях.

Неоднородность сферы деятельности различных коммерческих банков делает объективно необходимым конкретизацию стратегий кризисного управления, побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей. Анализ рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться. Для этого надо определить все, чем оцениваются риски, и ранжировать их по уровню важности. Этот процесс включает принятие экономичных решений о применении необходимых методов и средств защиты, так как расходы, выделяемые на защиту, не должны превышать стоимости защищаемого объекта. Следует рассмотреть два важных и специфичных элемента анализа риска:

· определение ценности и классификация информационных ресурсов;

· выявление угроз информации.

Определение ценности и классификация информационных ресурсов может проводиться только в условиях информационной системы конкретной АБС с применением стоимостного критерия, так как рациональный уровень информационной безопасности выбирается из соображений экономической целесообразности. Под ценностью информации понимается максимальный эффект, который может быть получен при ее использовании на рассматриваемом интервале времени. Помимо ценности и важности информации целесообразно рассматривать необходимое время существования ее выбранной категории ограничения доступности (грифа). Необходимо также учитывать специфику процессов использования информации, расход имеющихся ресурсов.

При определении ценности информации предлагается исходить из ее относительности, поскольку ценность информации рассчитывается для конкретных условий, характеристик потребляющих ее систем. В зависимости от преследуемых целей она может выражаться через деньги, количество и качество получаемой продукции, затраты ресурсов и другие показатели.

Расчет ценности информации в общем случае осуществляется, исходя из конечных эффектов решения системой прикладных задач на заданном интервале времени с защищаемой информацией и без нее, расходов ресурсов системы на достижение этих эффектов. При этом предполагается, что система функционирует оптимально.

В ряде случаев ценность информации может быть определена как минимум затрат на ее восстановление. В других условиях она может быть рассчитана как разность между достигаемыми конечными эффектами системы при наличии и отсутствии защищаемой информации. На практике часто вводят пороговые значения денежной ценности информации, что позволяет существенно упростить классификацию информации.

Ценность информации может быть как положительной, так и отрицательной величиной. Информация с отрицательной ценностью подлежит уничтожению. Наиболее важным (ценным) объектом защиты в АБС является электронный платежный документ, его информация или данные. Информация, обрабатываемая в АБС, не составляет государственную тайну и ее владельцами являются коммерческие банки или их клиенты. Напомним, что документ - учетная единица, исполняющая функцию формализованного доказательного описания проведенной операции (транзакции).

В случае возможных коллизий с электронным платежным документом для разбирательства споров между участниками расчетов в автоматизированной платежной системе приходится прибегать к услугам арбитров (третейских судов).

Для электронного платежного документа приоритетным является обеспечение целостности или неизменности информации по сравнению с ее конфиденциальностью или секретностью, которые наиболее важны в военных или правительственных системах. Также весьма важно в АБС обеспечить оперативную и своевременную доступность к электронному платежному документу вне зависимости от негативных случайных или преднамеренных воздействий на систему или обрабатываемую информацию.

Совокупность перечисленных особенностей защиты информации в АБС приводит к эффекту снижения безопасности банка при использовании традиционных решений, предназначенных для военных или правительственных систем.

Исходя из вышеизложенного, целесообразно предложить направление кардинального решения рассматриваемой проблемы. Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий (ИТ) для общего использования, названные Common Criteria (CC) или "Общие Критерии (ОК) Оценки Безопасности Информационных Технологий".

Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. ОК позволяют провести сравнение результатов независимых оценок информационной безопасности. Осуществляется это путем выдвижения и обеспечения множества общих требований для функций безопасности средств и систем ИТ, а также для гарантий, применяемых к ним в процессе оценки информационной безопасности и соответствующих допустимых рисков. В ОК проведена классификация широкого набора функциональных требований и требований гарантированности, определены структуры их группирования и принципы целевого использования.

Главные преимущества Общих Критериев – полнота требований информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Общие Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки) для исследования свойств безопасности средства или системы ИТ, называемых в ОК объектами оценки. Данный стандарт может быть весьма полезен в качестве руководства при разработке средств и систем с функциями безопасности ИТ, а также при приобретении коммерческих продуктов и систем с такими функциями. Следует отметить, что ОК могут быть применимы к другим аспектам безопасности ИТ, отличным от указанных. Данный стандарт сконцентрирован на угрозах, проистекающих из действий человека, злоумышленных или иных, но он может быть применим и в случае угроз, не вызванных действиями человека.

Принципиально важной чертой ОК является появление новых для подобного рода документов понятий – профиль защиты. Профиль защиты содержит набор типовых функциональных требований и компонентов требований гарантированности, включенных в соответствующий уровень гарантии оценки. Профиль защиты предназначен для широкого использования и определяет совокупность типовых требований безопасности к определенному классу объектов оценки, которые являются необходимыми и эффективными для достижения поставленных целей.

Не нашли, что искали? Воспользуйтесь поиском по сайту: