1.Информационная безопасность банка - это защита от угроз разглашения или утери информации, имеющей коммерческую или иную ценность;
2.Безопасность персонала банка – это защита от любых угроз персоналу;
3.Имущественная безопасность банка – это защита от любых угроз денежным средствам, ценным бумагам, товарно-материальным ценностям и другим элементам активов.
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относится:
1.Персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);
2.Финансовые средства, валюта, драгоценности;
3.Информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
4.Средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
5.Материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
6.Технические средства и системы охраны, защиты материальных и информационных ресурсов.
Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную возможную уязвимость с точки зрения существующего материального или морального ущерба. Исходя из этого, они должны быть классифицированными по уровням уязвимости или опасности, степени риска.
Наибольшую опасность представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.
В процессе выявления, прогнозирования и анализа потенциальных угроз интересам банка необходимо учитывать существующие внешние и внутренние условия, влияющие на их опасность более объективно. Таковыми являются:
-невыполнение законодательных актов, правовой нигилизм, отсутствия ряда законов по жизненно важным вопросом;
-нестабильная политическая, социально-экономическая, обстановка и обострение криминогенной ситуации;
-снижение моральной, производственной и психологической ответственности граждан;
- отсутствие грамотных специалистов в области безопасности.
Наиболее уязвимые категории являются следующие:
а) Угроза персонала и сотрудникам банка:
-похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
-убийства, сопровождаемые насилием, издевательствами и пытками;
-психологический террор, угрозы, запугивание, шантаж, вымогательство;
-нападение с целью завладения денежными средствами, ценностями и документами.
б) Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
-взрывов;
-обстрелов из огнестрельного оружия;
-минирования, в том числе с применением дистанционного управления;
-поджогов;
-нападения, вторжения, захватов, пикетирования, блокирования;
-повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:
-технологические аварии, пожары.
в) Угрозы финансовым ресурсам проявляются в виде:
-невозврата кредитных ссуд;
-мошенничества со счетами и вкладами клиентов, а также со средствами Банка;
-подложных платежных документов и пластиковых карт;
-хищения финансовых средств из касс и инкассаторских машин;
-резкое изменение экономической ситуации в стране;
-банкротства деловых партнеров банка.
г) Угроза информационным ресурсам проявляются в виде:
-разглашения конфиденциальной информации;
-утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;
-несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;
-разрушения или несанкционированной модификации информации;
-ведение «информационной войны» против банка наносящий существенный вред его деловой репутации;
-блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.
Обобщая и анализируя, можно выделить следующие основные составляющие проблемы безопасности:
1.Правовая защита.
2.Организационная защита.
3.Инженерно-техническая защита.
4.Страховая защита.
2.Концепция
информационной безопасности банка
2.1.Общие положения
Это Концепция разработана в соответствии с требованиями законодательства Российской Федерации и Стандарта Банка России СТО БР ИББС-1.0-2006. Концепция представляет собой систему взглядов на проблемы информационной безопасности банка и пути их решения в виде систематизированного изложения целей, принципов, задач и способов достижения качественной информационной безопасности. Концепция является методологической основной практических мер по обеспечению его информационной безопасности.
В Концепции используются следующие основные понятие:
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Конфиденциальность – это свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющий доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней.
Целостность – это сохранение данных в том виде, в каком они были созданы
Доступность – состояние информации, при котором субъекты, имеющие права доступа определенных лиц, могут реализовывать их беспрепятственно (ознакомится, документировать, модифицировать или уничтожить).
Коммерческая тайна – это информация, имеющая действительную или потенциальную коммерческую ценность, в силу её неизвестности третьем лицам. К ней нет свободного доступа на законном основания Банка, как обладать такой информации, принимает меры к охране ее конфиденциальности.
Носители информации, обладающей коммерческой тайной можно назвать следующие:
-автоматизированные системы и телекоммуникационные сети различного назначения, в которых информация обрабатывается, передаются и хранится;
-сотрудники, имеющий доступ к информации;
-материальный носитель;
-документированная информация - это фиксация информации на материальном носителе, т.е. процесс создания документа. В случае, если этот процесс регламентируется, возникают официальные документы;
-доступ к коммерческой тайне – это процедура оформление доступа сотрудника (или сотрудников) к сведениям, составляющим коммерческую тайну;
-доступ к сведениям, составляющим коммерческую тайну - санкционированное полномочным должностным лицом ознакомление сотрудников со сведеньями, составляющими коммерческую тайну;
-гриф конфиденциальности – реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся на их носителе, проставляемых на самом носителе и (или) в сопроводительной документации к нему;
-перечень сведений, составляющих коммерческую тайну – это совокупность сведений, в соответствии с которыми сведения относятся к коммерческой тайне Банка и охраняются на основаниях и в порядке, установленных федеральным законодательством;
-утечка информации – результат несанкционированного ознакомления с нею неопределенного круга лиц;
- разглашение коммерческой тайны - умышленное разглашение коммерческой тайны без согласия ее владельца лицом, которому коммерческая тайна известна в связи с профессиональной или служебной деятельностью, совершенное из корыстных или иных личных побуждений и причинившее крупный ущерб хозяйствующему субъекту;
-идентификация – присвоение пользователю и объекту доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
-аутентификация - проверка подлинности предъявленного пользователем идентификатора.
2.2.Цели и задачи
Главной целью системы безопасности является обеспечение устойчивого функционирования Банка и предотвращение угроз его безопасности, защита его законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.
Другими целями системы безопасности являются:
-формирование более целостного представления о системе безопасности Банка и взаимосвязь различных элементов этой системы, а так же определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;
-определение путей реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности.
Задачами системы безопасности являются:
-прогнозирование, и своевременное выявление и устранение угроз безопасности персоналу и ресурсам Банка;
- прогнозирование причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и росту;
-обеспечение конституционных прав граждан по сохранению их личной тайны и конфиденциальности персональных их данных.
-минимизировать ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате чрезвычайных кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращение и устранению.
2.3.Принципы организации и функционирования системы информационной безопасности
Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:
1.Комплексность:
-обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
-обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
-способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования Банка.
2.Обоснованность. Используемые возможности и средства защиты должны быть реализованы на современном и качественном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам защиты.
3. Совершенствование. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
4.Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
5. Централизация управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением деятельностью системы безопасности.
6. Взаимодействие и координация. Этот принцип означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
7. Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
8.Непрерывность. Принцип постоянного поддержание всей системы защиты в актуальном состояния и совершенствование её в соответствии с изменяющимися условиями функционирования банка.
9. Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности Банка, его функциональных и обслуживающих подразделений.
2.4.Правовое обеспечение информационной безопасности
Правовая форма защиты информации – это защита информации склонно на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.