Система защиты информации в банковских системах (Понятие защиты информации)

Содержание:

ВВЕДЕНИЕ

Новейшие информационные технологии и ресурсы постепенно стали необходимостью для успеха в современном мире – как для отдельных людей, так и для крупных организаций. В частности, для компаний использование автоматизированных систем может стать определяющим в успешности их деятельности – такие системы значительно повышают оперативность обработки информации, снижая трудозатраты и время выполнения рутинных операций. Кроме того, автоматизированная обработка информации повышает достоверность таких операций, позволяет во многом избежать ошибок, которые может допустить персонал. В то же время, использование информационных технологий подразумевает и совсем иной уровень ответственности – теперь система защита информации должна включать и защиту всего аппаратного и программного обеспечения компании, иначе оно может стать не только бесполезным, но и опасным.

Так, с развитием информационных технологий и с появлением различных технологических новшеств одновременно развиваются и появляются новые угрозы информационной безопасности. Причем такие угрозы могут быть как намеренные, так и случайные – здесь и ошибки персонала, и обрывы соединений, и, конечно же, киберпреступления.

Особую роль вопросы защиты корпоративной информации принимают тогда, когда речь заходит о клиентах и их средствах. Одной из сфер, которые нуждаются в 100% надежной системе защиты информации являются банковские системы. Они являются желанной мишенью для атак кибепреступников, так как содержат конфиденциальную информацию и банковские данные клиентов и организации в целом. Сегодня даже стоимость банковской информации кратно увеличилась, так что рост преступного интереса к ней не удивителен.

В связи с этим возникла особая необходимость обеспечения сохранности достоверности, целостности и общей безопасности банковской информации. Таким образом, цель данного исследования – изучение системы защиты информации в банковских системах.

Для того чтобы изучить систему защиты информации в банковских системах необходимо выполнить следующие задачи:

• кратко охарактеризовать основные понятия систем защиты информации;
• рассмотреть историю развития средств и методов защиты информации;
• проанализировать информационные угрозы в банковских системах;
• охарактеризовать особенности системы защиты информации в банковских системах;
• сделать вывод по результатам исследования.

Объектом исследования выступают банковские системы, а предметом– система защиты информации в банковских системах.

Теоретическая база исследования – труды известных авторов, изучавших и изучающих вопросы обеспечения информационной безопасности, в частности – в банковских системах. Это такие авторы как Мельников В. В., Сергеева Ю. С., Гришина Н. В. и др.

Структура работы – две главы, четыре параграфа, содержание, введение, заключение, список использованной литературы. Общий объем работы – 31 страница.

1. Понятие защиты информации

1.1. Системы защиты информации

Термин образовался от латинского слова informatio, что переводится как «разъяснение, представление, понятие». Есть и другое слово на латыни – informare, которое означает «мыслить, создавать форму, обучать, представлять».

Информация – это любые сведения, которые воспринимаются живыми организмами, электронными устройствами и другими системами, об окружающем мире, процессах, предметах и явлениях [10].

Виды информации:

Графическая. Более 30 тыс. лет назад первобытные люди начали записывать сведения о своей жизни на стенах пещер в виде изображений мамонтов, охотников, загадочных существ. Художник рисует картину и сохраняет образы на холсте. Любые фотографии, блок– схемы, чертежи – все это графический вид информации.

Акустическая. Мир вокруг наполнен звуками. Мы включаем радио и слышим прогноз погоды, вставляем наушники в уши и наслаждаемся любыми песнями. Одна мартышка что–то кричит другой – они понимают друг друга.

Текстовая. Сведения кодируются при помощи символов – букв. У разных народов свои языки и буквы, поэтому большее значение в истории человечества занимают переводчики. Они перекодируют текстовую информацию из одного набора символов в другой без потери смысла.

Это позволяет разным культурам взаимодействовать между собой, делиться опытом. С изобретением письменности у человечества появилась возможность не держать в памяти огромные массивы информации, передавая ее из уст в уста, из поколения в поколение.

Теперь можно записать все на бумаге и быть спокойным, что ничего не пропадет и не забудется. Прямо сейчас вы читаете эту статью, а ваш мозг поглощает текстовую информацию.

Числовая. При кодировке сведений также применяются цифры, а не буквы. Такая информация выражает количественные параметры объектов. Например: «68, 69, 67» – динамика изменения курса доллара к рублю.

Видеоинформация – вариант фиксации и хранения живых образов окружающей действительности. Она возникла в эпоху изобретения кино и сейчас достигла пика своего применения. Мы снимаем семейные праздники на камеру телефона, наслаждаемся фильмами в кинотеатрах, смотрим ролики на Youtube.

Тактильная. Представьте, что вы трогаете снег. Он очень холодный и руки начинает слегка ломить. Вот ощущения, которые всплывают в памяти – тактильная информация.

Органолептическая – полученная при помощи органов чувств (вкус, запах, цвет). Если мы захотим описать вкус соленых огурцов, нам придется перевести эту информацию из органолептической формы в текстовую или акустическую [2].

Некоторые из перечисленных видов информации регулярно подвергаются угрозам безопасности, следовательно, нуждаются в защите. Рассмотрим наиболее распространенные определения категорий «защита информации» и «безопасность информации»:

• 1. Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение состояния защищённости информационной среды [4].
  2. Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность [8].
  3. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе [14].
  4. Информационная безопасность – защита конфиденциальности, целостности и доступности информации.
  5. Информационная безопасность [5] – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки:
• неотказуемость или апеллируемость – невозможность отказа от авторства;
• подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность – свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность [5] – свойство, гарантирующее, что субъект или ресурс идентичны заявленным

Система защиты информации – это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении бизнес–процессов.

Основные угрозы для информационной безопасности любой компании связаны с кражей данных (например, промышленный шпионаж), использованием непроверенного программного обеспечения (например, содержащего вирусы), хакерскими атаками, получением спама (также может содержать вирусы), халатностью сотрудников. Реже утрата данных вызвана такими причинами, как сбой в работе аппаратно–программного обеспечения или кража оборудования. В результате компании несут значительные потери.

Процесс создания системы защиты информации можно разделить на три этапа:

• формирование политики предприятия в области информационной безопасности;
• выбор и внедрение технических и программных средств защиты;
• разработка и проведение ряда организационных мероприятий [1].

При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях нефтегазового комплекса.

Как правило, системы защиты информации проектируются или, по меньшей мере, предусматриваются в преддверии либо в рамках рассмотрения вопроса о проектировании сети или ИТ–инфраструктуры. Такой подход позволяет заранее выявить риски, угрозы, определить структуру, компоненты, механизмы, технологии и другие составляющие будущей системы защиты. Тем не менее, формирование системы защиты информации возможно и позже, например, в рамках модернизации существующей ИТ–инфраструктуры либо при необходимости замены системы защиты на более современную и эффективную [4].

В качестве средств защиты информации (СЗИ) используются:

Антивирусное программное обеспечение – большое семейство продуктов, предназначенных для обнаружения компьютерных вирусов, потенциально вредоносного (нежелательного) ПО, восстановления пораженных данных (зараженных, измененных), а также профилактики такого поражения. Антивирусное ПО различается по методам и технологиям защиты, функциональности, целевым платформам, объему защиты и другим параметрам. Специальные продукты создаются для веб–серверов, сайтов, информационных веб–систем и других объектов.

Межсетевые экраны – программно–аппаратные комплексы компьютерной сети, обеспечивающие в соответствии с заложенными в них алгоритмами контроль и фильтрацию сетевых пакетов, не отвечающих заданным критериям. В зависимости от особенностей сетевого экрана, он может выполнять и другие функции, как правило, ориентированные на создание дополнительной, более совершенной безопасности.

Системы защиты от несанкционированного доступа (НСД) – комплекс мер, правил, инструкций, аппаратных и программных средств, направленных на предотвращение доступа к информации лиц, которые не обладают таким правом или которым доступ запрещен. В данном случае не имеет значения, с какой целью осуществляется попытка доступа и несет ли она потенциальный вред. Система защиты может предусматривать использование различных решений, продуктов и технологий: от простого физического ограничения доступа до внедрения сложных криптографических алгоритмов обеспечения защиты и безопасности. Современные технологии позволяют не просто ограничивать, блокировать доступ, но и отслеживать подозрительную, аномальную активность, даже среди тех сотрудников, которые, в принципе, имеют доступ, но по характеру их действий можно судить о попытках обойти, нарушить установленные правила. К данным средствам относятся и криптографические системы защиты информации, чья классификация представлена на рисунке 1 [12].

Рисунок 1 Классификация криптографических систем защиты информации

DLP– системы – защита от утечек информации конфиденциального характера. Такие системы, как правило, представляют собой распределённый программно– аппаратный комплекс, включающий большое количество модулей различного функционального, управленческого, аналитического и иного назначения. Современные возможности DLP– систем очень широки, при этом обычно допускается интеграция системы со смежными продуктами и решениями, даже конкурирующими [13].

1.2. История развития средств и методов защиты информации

В настоящее время в научной литературе сформировалось два методологических направления, изучающих возникновение феномена информационная безопасность. Одна группа специалистов тесно связывает развитие информационной безопасности с информационными революциями в истории человеческой цивилизации [8]. Данный подход подразумевает, что уровень безопасности общества определен качеством и объемом информации, доступной социуму, а так же альтернативой ее непосредственного приложения.

Второй подход, предложенный в свое время В. Н. Лопатиным, предполагает, что в истории человеческой цивилизации появление категории «информационная безопасность» связано с возникновением средств информационных коммуникаций и осознанием человеком возможности нанесения ущерба собственным интересам или интересам социальной системы посредством информационного обмена. В рамках этого подхода, становление информационной безопасности с точки зрения развития технологий защиты разделяют на несколько этапов.

Первый этап определяется периодом до 1816 года, он связан с естественным стремлением человека и общества защитить информацию о каких–либо данных, обладающих уникальным значением. Второй этап применения информационно–коммуникационных технологий в процессе обеспечения информационной безопасности начинается с 1816 года, он характеризуется движением от физической защиты информации к созданию технических средств. Третий этап в создании технических методов информационной безопасности начинается с 1935 года, он связан с применением радиолокационных и гидроакустических средств. С 1946 года начинается четвертый этап решения задач информационной безопасности с помощью электронно–вычислительных машин. Пятый шаг в развитии технических средств информационной безопасности связан с созданием локальных информационных сетей в период с 1965 года. Следующий этап развития информационной безопасности (с 1973 года) характеризуется применением сверхмобильных коммуникационных механизмов, решающих высокотехнологичные задачи. Седьмой этап начинается с 1985 года прошлого столетия, он связан с развитием глобальных информационных сетей и космических разработок. Очередной этап информационной безопасности, как показывает практика, будет протекать на базе новейших информационно–коммуникационных технологий с широким спектром возможностей, осуществляемым посредством глобальной сети и космических систем[10]. Можно предположить, что данный этап потребует формирования глобальной системы информационной безопасности для решения задач человечества под эгидой международного взаимодействия.

Возникает впечатление, что описываемый подход к изучению проблемы развития информационной безопасности наиболее глубоко и точно передает историю ее становления. Представленная классификация детально отражает процесс совершенствования информационных воздействий, угроз потенциального и реального характера, который вызвал в человеческом обществе трансформацию идей информационной безопасности, развитие методов и средств обеспечения информационной защиты от возникающих опасностей.

При функционировании мирового информационного пространства информационная безопасность в полной мере может быть обеспечена только усилиями всех стран мирового сообщества, поэтому возникает потребность в формировании общемировой информационной безопасности. Система глобальной информационной безопасности отражает важный фактор перехода к устойчивому развитию [14].

На мой взгляд, необходимо определить основные направления развития информационной безопасности глобального масштаба:

• обеспечение состояния защиты глобальной информационной среды от угроз и опасностей реального и потенциального характера;
• развитие в безопасном направлении для общества, человека и биосферы информационного пространства;
• справедливое распределение благ и ресурсов глобальной информационной среды между народами и всеми мировыми государствами;
• содействие процессу перехода к устойчивому развитию формирующейся общемировой информационной среды [7].

Итак, на рубеже XX и XI века человечество шагнуло на ступень кардинальных технологических преобразований, связанных с возникновением нового ряда значительных опасностей и угроз. Пройти путь по восходящей лестнице к новой информационной цивилизации, основанной на колоссальных возможностях технологий, не сорваться вниз, способно общество с высокими нравственными идеалами и ясным пониманием всей глубины ответственности за каждый свой шаг. Сегодня информационные технологии, рассматриваемые как фактор, оказывающий огромное влияние на глобальное развитие социума и формирование информационной реальности, повлияли на сознание человека и его возможности, изменили жизнь общества, трансформировали приоритеты и ценности. Как эти высокие технологии, являясь средством осуществления жизнедеятельности человека, будут применены в будущем, зависит от общества и его выбора.

В свое время основатели концепции информационного общества справедливо отмечали, что информация и знания станут ключевым фактором развития, превосходящим по значимости все виды материального производства, энергии и услуг. В этой теории информационные технологии и телекоммуникации представлены основным агентом экономических, социальных и политических изменений в современном мире. Вместе с тем, прогнозы ближайшего будущего социального строя в сравнении с нынешними реалиями оказываются несколько утопическими. Концептуальный анализ позволил выявить относительно невысокую степень критичности исследователей к феномену информационного общества, в силу чего оказывались слабо принятыми в расчет возникающие в современном социуме новые виды опасностей и угроз [9].

В первой главе были рассмотрены основные составляющие систем защиты информации – что представляют собой категории «информация», «информационная безопасность», «система защиты информации» и др. Кроме того, была кратко охарактеризована история создания и развития средств защиты информации, а также их наиболее распространенная классификация. Данные, рассмотренные в первой главе, являются отличным материалом для дальнейшего исследования – рассмотрения информационных угроз в банковских системах и мерах, которые эти угрозы минимизируют.

2. Система защиты информации в банковских системах

2.1. Информационные угрозы в банковских системах

Угрозы преступного характера или просто преступление – это общественно опасное деяние (действие или бездействие), посягающее на личность, общество и государство, а также на иные охраняемые законом объекты. Осуществляются, как правило, с применением насилия или угроз: терроризм, взлом, ограбление банка, похищение, вымогательство, угроза взрыва.

Преступления «белых воротничков», в частности – в банковской сфере, совершаются, как правило, с помощью подделок и обмана: чековый обман, подделка и фальсификация, компьютерная преступность, воровство и кража, мошенничество и недобросовестная конкуренция [8].

Виды преступлений экономической направленности: хищения финансовых и материальных средств, мошенничество в сфере финансовой деятельности, незаконные сделки с валютными ценностями, изготовление поддельных денег и др.

Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг банков в ближайшем будущем сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.

В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:

• нестабильная политическая, социально– экономическая обстановка и обострение криминогенной ситуации;
• невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
• снижение моральной, психологической и производственно ответственности граждан [10].

На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

• ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
• модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
• разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба [11].

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.

Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда.

Исходя из этого, угрозы могут быть классифицированы по следующим причинам:

По величине принесенного ущерба:

• предельный, после которого организация может стать банкротом;
• значительный, но не приводящий к банкротству;
• незначительный, который организация за какое– то вре мя может компенсировать.

По вероятности возникновения:

• весьма вероятная угроза;
• вероятная угроза;
• маловероятная угроза.

По причинам появления:

• стихийные бедствия;
• преднамеренные действия.

По отношению к объекту:

• внутренние;
• внешние [14].

Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно– управленческого аппарата.

Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками организации при их прямом или опосредованном участии; 17% угроз совершается извне – внешние угрозы; 1% угроз совершается случайными лицами.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, при водящих к овладению конфиденциальными сведения ми. В этом случае возможны такие ситуации:

Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения.

Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов не санкционированного проникновения.

Промежуточная ситуация – это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако, одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации [3].

Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе ты, интервью, радио, телевидение). Как правило, при чиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов [8].

Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально– оптические, акустические, электромагнитные и материально– вещественные. Под каналом утечки ин формации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации [2].

Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения – стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами [8].

Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации, как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, не обходимых для обеспечения комплексной информационной безопасности.

2.2. Особенности системы защиты информации в банковских системах

Системы защиты информации в банковских системах сложны и многогранны, и для обеспечения их эффективного функционирования необходимо подходить к их построению максимально грамотно и ответственно. Так, в целях построения наиболее эффективной системы защиты информации в банковских системах, можно следовать последовательности мероприятий, предложенных ниже.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения включают в себя:

• информацию, составляющую банковскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов банка (стратегия маркетинга, новые научные и технологические разработки, финансовые резервы и места их хранения, используемые схемы налогового планирования и т.п.);
• закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибылях;
• информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно– финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);
• любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;
• прикладные методы защиты информации банка (коды, пароли, программы) [12].

Строго конфиденциальные сведения (гриф ХХ) включают в себя:

• все прочие конфиденциальные сведения о клиентах банка;
• информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;
• информацию о сотрудниках банка, содержащуюся в индивидуальных досье.

Конфиденциальные сведения (гриф Х) включают в себя:

• базы данных по направлениям деятельности кредитно–финансовой организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;
• сведения о заработной плате и индивидуальных социальных па кетах сотрудников банка, а также составе резерва на выдвижение;
• внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрибанковского менеджмента [7].

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Результатом первого этапа является внутренний (строго конфиденциальный) документ – Перечень сведений, составляющих банковскую и коммерческую тайну. Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений. По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы – клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов:

• объединенных в закрытые локальные сети;
• используемых работниками банка – носителями особо секретных сведений;
• подключенных к локальным сетям и доступных для использования клиентами банка, а также другими лицами, не являющимися его сотрудниками [4].

Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите:

• зал заседания Правления и Совета директоров;
• кабинеты высших руководителей и ведущих экспертов;
• хранилище банка;
• офисы службы программного обеспечения;
• офисы службы безопасности;
• помещения, в которых обычно осуществляется неформальное общение сотрудников банка (туалетные и курительные комнаты, буфеты, столовая);
• комнаты для переговоров и т.п. [12]

Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к различным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле:

• носители абсолютно конфиденциальной информации (допуск А);
• носители строго конфиденциальной информации (допуск В);
• носители конфиденциальной информации (допуск С);
• группа повышенного риска (молодые специалисты и недавно нанятые сотрудники) [4].

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше Перечня, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы: К методам программно–математического характера относятся:

• программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;
• программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД – дисков или дискет);
• программы, автоматически кодирующие (шифрующие) информацию;
• программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;
• программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа [5].

К методам технического характера относятся:

• использование экранированных помещений для проведения конфиденциальных переговоров;
• использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройства ми автоматического уничтожения ее при попытке несанкционированного проникновения);
• использование детекторов и иной аппаратуры для выявления устройств перехвата информации;
• использование защищенных каналов телефонной связи;
• использование средств подавления устройств перехвата информации;
• использование средств автоматического кодирования (шифровки) устной и письменной информации [5].

К методам организационного характера относятся:

• мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);
• мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее );
• мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;
• мероприятия по контролю над соблюдением установленных правил информационной безопасности;
• мероприятия при выявлении фактов утечки той или иной конфиденциальной информации [11].

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:

Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:

• принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;
• подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных под рядчиков);
• подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;
• подходы к выбору методов пресечения выявленных угроз;
• подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);
• критерии оценки эффективности защиты конфиденциальной информации [13].

Разработку внутренней нормативной базы в составе:

• общих для всего банка регламентов (например, Положение о правилах обеспечения информационной безопасности, Правила проведения конфиденциальных переговоров, Правила работы с закрытыми базами данных, Перечень сведений, составляющих банковскую и коммерческую тайну и т.п.),
• внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области; правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

• для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно– технической защиты;
• для проведения соответствующих организационных мероприятий;
• службе безопасности для осуществления специальных профилактических и контрольных мероприятий [7].

Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

• службы безопасности банка;
• руководства структурных подразделений [9].

Из рассмотренных во второй главе данных можно сделать следующие выводы:

Для создания надежной защиты банковских систем и сетей необходима концепция безопасности, основанная на комплексном подходе.

Концепция безопасности определяет цели и задачи системы безопасности; подходы к ее организации; виды угроз безопасности и ресурсы, подлежащие защите; а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно– техническую защиту.

Для поддержания работоспособности системы информационной безопасности и бесперебойного выполнения ею своих функций должен быть предусмотрен комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения системы без опасности.

Во второй главе работы были рассмотрены основные виды информационных угроз, а также план мероприятий, которые смогут противостоять таким угрозам. К обеспечению защиты информации в банковских системах необходимо подходить комплексно и с максимальным вниманием, так как от качественной организации такой системы зависит не только успех и безопасность самой организации, но и конфиденциальность и сохранность данных всех ее клиентов.

ЗАКЛЮЧЕНИЕ

В ходе выполнения работы была достигнута цель исследования: изучена система защиты информации в банковских системах.

Для изучения системы защиты информации в банковских системах, были выполнены следующие задачи:

• кратко охарактеризованы основные понятия систем защиты информации;
• рассмотрена история развития средств и методов защиты информации;
• проанализированы информационные угрозы в банковских системах;
• охарактеризованы особенности системы защиты информации в банковских системах.

Определено, что для полноценного обеспечения защиты информации в банковских системах действительно необходимо формирование сложной и многофункциональной системы, которая будет охватывать все стороны такой сложной структуры. Определено также, что система защиты информации в банковских системах обладает действительно судьбоносным значением – не только для самих банковских систем, но и для большинства клиентов банков, использующих их.

Тем не менее, время, как и технологии, не стоит на месте, и с улучшением и усложнением существующих автоматизированных систем, а также появлением новых, развиваются и новые средства обхождения самых лучших средств защиты информации. Соответственно, улучшаются и системы защиты информации. Таким образом, данное исследование может быть продолжено в рамках дальнейших совершенствований как систем защиты информации, так и информационных угроз.

СПИСОК ЛИТЕРАТУРЫ

1. Аглицкий, И. Состояние и перспективы информационного обеспечения российских банков / И. Аглицкий. – Банковские технологии, 2015
2. Алексеев, В. М. Нормативное обеспечение защиты информации от несанкционированного доступа / В. М. Алексеев. – Пенза: Изд– во Пенз. гос. ун– та, 2017
3. Алешин, Л. И. Защита информации и информационная безопасность: Курс лекций / Л. И. Алешин; Моск. гос. ун– т культуры. – М.: Моск. гос. ун– т культуры, 2014
4. Быков, В. А. Электронный бизнес и безопасность / В. А. Быков. – М.: Радио и связь, 2016
5. Васильков, А. В. Информационные системы и их безопасность / А. В. Васильков, А. А. Васильков, И. А. Васильков. – М.: Форум, 2011. – 528 c
6. Гафнер, В. В. Информационная безопасность / В. В. Гафнер. – М.: Феникс, 2017. – 336 c.
7. Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н. В. Гришина. – М.: Форум, 2015. – 240 c.
8. Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М. В. Мецатунян. – М.: Форум, 2016. – 256 c.
9. Кудряев, В. А. Защита информационных ресурсов в негосударственной сфере / В. А. Кудряев, Е. А. Степанов. – М.: Огни, 2015. – 440 c.
10. Мельников, В. В. Безопасность информации в автоматизированных системах / В. В. Мельников. – М.: Финансы и Статистика, 2014. – 368 c.
11. Романов, А. Н. Информационные системы в экономике (лекции, упражнения и задачи) / А. Н. Романов, Б. Е. Одинцов. – М.: Вузовский учебник, 2016. – 300 c.
12. Сергеева, Ю. С. Защита информации. Конспект лекций / Ю. С. Сергеева. – М.: А– Приор, 2015. – 128 c.
13. Тютюнник, А. В. Информационные технологии в банке: моногр. / А. В. Тютюнник, А. С. Шевелев. – М.: Высшая школа, 2014. – 368 c.
14. Шаньгин, В. Ф. Информационная безопасность и защита информации / В. Ф. Шаньгин. – М.: ДМК Пресс, 2014. – 702 c.