Система защиты информации в банковских системах (Теоретические положения информационной безопасности в банковских системах)

Содержание:

Введение

Стремительное развитие информационных технологий, расширение глобальной информационной среды, широкое применение средств обмена информацией, комплексная компьютеризация всех сфер жизнедеятельности обусловливают актуальность исследования вопросов безопасности информационной инфраструктуры.

Обеспечение эффективной защиты информации является чрезвычайно актуальным и для учреждений банковской сферы, где ежедневно обрабатывается большой объем информации различного уровня конфиденциальности. Эта информация в большинстве случаев и выступает объектом действий конкурентов, и обусловливает обострение вопросов защиты информации от ее незаконного использования и несанкционированного доступа к ней. В современном информационном обществе защита персональных данных клиентов банка - это крайне важная необходимость для успешного функционирования банка в конкурентной среде и работы с клиентами. Поэтому для успешного решения этой задачи банкам нужно всегда быть в курсе последних новинок защиты (как технических, так и законодательных) своих данных и персональных данных своих клиентов, поскольку в последнее время атаки на банки для захвата баз данных становятся все более опасными.

В настоящее время в банках и банковской сфере ведущее место в защите уделяется поддержанию на должном уровне, оптимизации и непрерывном улучшении системы управления защитой персональных данных клиентов банка. Банковская информация, в том числе персональные данные клиентов банка, является основным объектом оперирования, поэтому она требует надлежащей защиты на законодательном, технологическом и управленческом уровнях.

1. Теоретические положения информационной безопасности в банковских системах

Многочисленные исследования информационной безопасности в банковских системах представлены в работах ученых и специалистов: Малий Ю. В., Александров В. В. [1], Васильева И. А. [2], Гришина Е. А. [3], Попов С. В., Шамкин В. Н. [4], Кузнецова О. В. [5], Ерохин В. В. [6], Кашутина И. А., Пчелинцева Е. М. [7] и многие другие. Тем не менее вопрос разработки эффективной системы обеспечения банковской информационной безопасности еще требуют дальнейшего изучения.

В процессе исследования важное место занимает раскрытие содержания исследуемых категорий. Под информационной безопасностью банка будем понимать состояние информационной инфраструктуры банка, при котором обеспечиваются условия стабильного функционирования, максимизации прибыли, оптимального использования ресурсов банка, а также обеспечивается защищенность клиентов, сотрудников и руководства банка от внешних и внутренних угроз.

Основными характеристиками информационной безопасности банковских систем выступают:

- объектами безопасности являются: информация о персонале (руководство, ответственные исполнители, сотрудники) информация о технологиях, которые используются банком; информационные ресурсы (информация о деятельности и финансовом состоянии клиента, которая стала известна банку в процессе обслуживания; информация по всем операциям банка и финансовая отчетность банка; конфиденциальные электронные сети банка);

- главной целью системы информационной безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита от противоправных посягательств, разглашение, потери, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечение производственной деятельности, включая и средства информатизации;

- к основным задачам, которые должна решать информационная безопасность банка, относятся: обеспечение доступа руководства банка к конфиденциальной рыночной информации; предотвращение утечки и разрушение конфиденциальной банковской информации; обеспечение распространения во внешней среде выгодной для банка «конфиденциальной» информации.

Отдельно остановимся на вопросе предупреждения, выявления и минимизации угроз системы банковской информационной безопасности. Последние по своей сути представляют собой совокупность внутренних и внешних условий, которые направлены на нарушение нормальных условий функционирования информационной инфраструктуры банка и могут нанести ущерб интересам его владельцев, сотрудникам и клиентам.

Обобщая исследования различных ученых экономистов можно выделить следующие виды угроз информационной безопасности в банковских учреждениях: противоправный сбор информации и ее использования; нарушение технологии и правил обработки информации; внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия разработку и распространение программ, нарушающих нормальное функционирование информационно-телекоммуникационных систем банковских учреждений; несанкционированный доступ к информации, содержащейся в банковских учреждениях и базах данных банка; перехват информации, которая циркулирует в средствах и системах связи и вычислительной технике, с помощью технических средств негласного снятия информации, несанкционированного доступа к информации и преднамеренных технических воздействий на них в процессе обработки и хранения; подслушивание с использованием технических средств конфиденциальных переговоров, ведущихся в служебных помещениях [8-9].

Все угрозы можно сгруппировать следующим образом:

1) случайные угрозы: ошибки, а также события, не зависящие от человека (природные явления или вызванные деятельностью человека).

2) умышленные угрозы: могут реализоваться участниками процесса обработки информации (копирование и кража программного обеспечения; несанкционированный ввод данных; изменение или уничтожение данных на носителях; кража информации; несанкционированное использование ресурсов компьютеров; несанкционированное использование банковских автоматизированных систем; несанкционированный доступ к информации высокого уровня секретности; уничтожение информации);

3) искажение информации: изменение ее содержания, нарушение ее целостности, в том числе и частичное уничтожение.

Сосредоточим внимание на формулировке основных шагов построения эффективной системы информационной безопасности банка, способной своевременно реагировать на непредвиденные изменения внешней среды и обеспечивать устойчивое функционирования самого банка.

Система обеспечения информационной безопасности банковских учреждений должна представлять собой комплекс организационных, технических, программных средств и мероприятий, предназначенных для сбора, классификации, анализа, оценки, защиты и распространения актуальной информации для обеспечения защиты ресурсов банка с наиболее оптимальной реализацией его интересов.

Нельзя не согласиться с тезисом [8, с.37], что «общим критерием информационной безопасности в банковских учреждениях является информационная безопасность на рынке банковских услуг, который наблюдается в его стабильном финансовом и экономическом развитии, конкурентоспособности на рынке банковских услуг».

Целью мероприятий по обеспечению информационной безопасности является сокращение возможных экономических и моральных убытков банковского учреждения, связанных с повреждением или неправомерным использованием информационных ресурсов, а именно:

- защитить информацию с ограниченным доступом от несанкционированного распространения, использования и нарушения ее конфиденциальности (секретности);

- обеспечить целостность и доступность информации, которая обрабатывается, сохраняется, в системах и компьютерных сетях банковского учреждения;

- противодействовать распространению недостоверной, заранее ложной информации о банковском учреждении, осуществлению негативных информационных воздействий на ее руководство.

2. Механизмы управления безопасностью банковских информационных систем на основе облачных технологий

При исследовании вопросов безопасности банковских информационных систем возникает перечень нештатных рисков и вызовов перемещения в облако, которые значительно снижают эффективность традиционных механизмов защиты.

В частности, что облачная среда исключает концепцию защиты от угроз путем установления периметра безопасности.

Периметровая защита - это совокупность физических и программных политик безопасности, которая обеспечивает защиту от удаленной злоумышленной деятельности на условном периметре. Традиционно считается, что любая связь с системами или организациями за пределами организации дает возможность для неавторизованных лиц (персонала или процессов) получить доступ или вмешаться в информационные процессы.

По этому статическим подходом к защите устанавливаются условные границы, в пределах которых развернуты политики безопасности для защиты информационных систем. В модели облачных вычислений периметр становится нечетким, сводя на нет эффективность этой концепции защиты [10].

Учитывая вышесказанное для обеспечения эффективной авторизации и как следствие конфиденциальности, целостности и доступности банковских информационных систем (далее ИС), ИС на основе облачных технологий, следует использовать другие механизмы защиты, в частности - механизмы единой авторизации в информационных системах с поддержкой федеративных сценариев. Кроме повышения уровня безопасности облачных сервисов эти инновационные технологии также позволяют повысить эффективность банковских операционных процессов.

Учитывая то, что установление физического периметра безопасности в условиях развертывания банковской ИС на облачной инфраструктуре невозможно, следует применять другие механизмы защиты. При таких обстоятельствах, в пределах облака, мы предлагаем определить доверенную третью сторону (далее ДТС). Для обеспечения доверия и внедрение политики использования криптографии, обеспечение конфиденциальности, целостности и подлинности данных и связей, нужно решить конкретные риски и сделать безопасными уязвимые места.

В этом контексте механизмы SSO являются незаменимыми, поскольку они обеспечивают средства сильной аутентификации на различных физических ресурсах. В среде SSO пользователю не нужно повторно вводить пароли для доступа к ресурсам по сети. Вместо этого пользователь авторизуется, когда использует пароль, смарт-карту или другой механизм аутентификации и тем самым получает доступ к нескольким ресурсов на различных устройствах. Объем доверия к ДТС определяется потребностями о предоставлении сервисов безопасности, которые всецело охватывают процессы служб безопасности, масштабируются и работают на основе стандартов в разных доменах, географических районах и учитывают специфику банковского сектора.

В основе концепции SSO лежит принцип «Пользователь вводит пароль только один раз за сессию», который применен при разработке протокола Kerberos учеными Массачусетского технологического института в 80-х годах прошлого века. Kerberos - это встроенный протокол аутентификации Active Directory, используемый сетями Windows. Таким образом, пользователи имеют доступ ко всем сервисам, на которые они авторизованы, без необходимости заново вводить пароль во время сессии. Это свойство также известно как SSO.

Для обеспечения конфиденциальности, целостности и подлинности SSO опирается на инфраструктуру ключей, ДТС и службы каталога учетных записей пользователей.

SSO интегрирован с Windows. Эти службы позволяют подключаться к нескольким приложениям в сети, которые используют общий механизм аутентификации. Они запрашивают и подтверждают учетную запись пользователя после входа в сеть и используют эти учетные данные, чтобы определить действия, которые пользователь может выполнять на основе предоставленных прав. Например, если программы интегрируются с помощью Kerberos, после того, как система прошла проверку подлинности учетных данных, пользователь может получить доступ к любому ресурсу в сети, интегрированного с Kerberos.

Серверное SSO внутренней сети. Эти службы позволяют интегрировать неоднородные программные приложения и системы в корпоративную среду. Эти программные приложения и системы могут не использовать общую аутентификацию. Каждое программное приложение имеет свой собственный каталог учетных данных пользователей. Например, Windows использует службу каталога Active Directory для аутентификации пользователей, а менфрейм-компьютеры используют инструмент контроля доступа к ресурсам (от англ. Resource Access Control Facility IBM (RACF) для аутентификации тех же пользователей. В пределах предприятия корпоративная шина данных интегрирует программные приложения «фронт-эндов» (от англ, front-end) и «бэк-эндов» (от англ, back-end).

Корпоративный SSO позволяет пользователям предприятия подсоединяться как к приложениям «фронт-энда», так и «бэк-энда», используя только один набор учетных данных. Это дает возможность при инициации как с Windows Single Sign-on (в котором первоначальный запрос выполняется из среды домена Windows), так и Host Initiated Single Sign-On (в котором первоначальный запрос осуществляется из среды, не связанного с Windows ) получить доступ к ресурсу в домене Windows.

Синхронизация паролей упрощает администрирование базы данных SSO и сохраняет пароли в синхронизации через каталоги пользователей. Это можно сделать с помощью адаптеров синхронизации паролей, которые можно настроить и управлять с помощью инструментов синхронизации паролей.

3. Особенности защиты информации в банковских информационных системах

В условиях реформирования российской экономики значение и роль банковского сектора в обеспечении экономической стабилизации и безопасности страны неуклонно растет.

Необходимым условием построения и функционирования банковской системы является всестороннее обеспечение безопасности во всех сферах банковской деятельности, важной составляющей которой является безопасность экономической информации.

В течение прошлых лет банковская система пережила значительные изменения, обусловленные глобализацией финансовых рынков, развитием информационных технологий, расширением ассортимента банковских услуг, внедрением инновационных технологий в управлении банками.

Это, в свою очередь, еще больше обострило ситуацию с обеспечением надежной защиты информации.

Вопросы, связанные с защитой экономической информации банков, в последнее время приобретают особую актуальность, поскольку банки являются наиболее уязвимыми к такому виду угроз, как наличие утечки информации. Все это вызывает необходимость пересмотра подходов к обеспечению безопасности информации банка и предусматривает необходимость создания соответствующих систем ее защиты.

Банковская безопасность - один из основных элементов менеджмента, имеет многофункциональный и комплексный характер.

Основными принципами обеспечения информационной безопасности банковских систем, являются:

1. Постоянный и всесторонний анализ информационной системы с целью выявления уязвимости информационных активов банка и предприятия.

2. Своевременное выявление проблем, потенциально способных повлиять на информационную безопасность банка и предприятия, корректировка моделей угроз и нарушителя.

3. Разработка и внедрение мер защиты, адекватных характеру выявленных угроз, с учетом затрат на их реализацию и совместимости этих мероприятий с действующим банковским технологическим процессом. При этом меры, принимаемые для обеспечения информационной безопасности, не должны затруднять достижение уставных целей банка и предприятия, а также повышать трудоемкость технологических процессов обработки информации и создавать дополнительные сложности для клиентов.

4. Контроль эффективности внедренных мер защиты.

5. Персонификация и распределение ролей и ответственности между пользователями информационной системы банка или предприятия, исходя из принципа персональной и единоличной ответственности за операции.

6. Принцип «четырех глаз», когда критические операции и действия осуществляются или подтверждаются минимум двумя уполномоченными лицами.

7. Знание банком или предприятием своих клиентов и персонала.

Наиболее опасными угрозами внутренней информационной безопасности являются:

- кража оборудования;

- саботаж;

- мошенничество;

- искажение информации;

- сбои в информационной системе;

- потеря информации;

- нарушение конфиденциальности информации и другие.

Самой опасной угрозой является нарушение конфиденциальности информации и утечка информации, поскольку банки опасаются этого по двум причинам. Во-первых, каждая утечка конфиденциальной информации и персональных данных банка подрывает его репутацию, так как в глазах его партнеров, инвесторов и клиентов банк приобретает имидж организации, не в состоянии навести порядок в своих собственных стенах. В результате происходит отток инвестиций и миграция клиентов к конкурентам.

Во-вторых, инциденты такого рода могут привести к потере конкурентоспособности банка, если, например, интеллектуальная собственность или база клиентов попадут к конкурентам.

Итак, следствием утечки конфиденциальной информации является потеря клиентов, ухудшение имиджа, снижение конкурентоспособности и прямые финансовые убытки банков. С проблемой утечки информации можно бороться, но победить ее полностью невозможно, поскольку ни аппаратные, ни технические средства не могут обеспечить необходимой защиты, потому техника бессильна против изощренного ума человека.

Одна из систем, которая обеспечивает защиту информации является DLP (Data Loss Prevention) - система и другие средства, защищающие от оттока, перекрывают или контролируют те или иные каналы, по которым информация может покинуть информационную систему, такие как сетевые соединения по разным протоколам, отчуждаемые носители информации, мобильные компьютеры, принтеры и т.д.

Не всегда у банков хватает средств и умений перекрыть все возможные каналы. Те носители, которые остаются без должного контроля, являются проводниками соответствующей доли случайных утечек.

В отношении умышленных утечек ситуация значительно хуже. Внутренние злоумышленники, зная, какие именно каналы контролируются, пытаются их обойти и послать конфиденциальные данные по свободному, незащищенному каналу. Поэтому на вероятность умышленных утечек слабо влияет неполное перекрытие параметра информационной системы. Чтобы эффективно противодействовать как случайным, так и умышленным утечкам, DLP-система (при поддержке организационных мероприятий), разумеется, должна охватывать все без исключения каналы (носители).

По оценкам аналитиков InfoWatch [11], внедрение шифрования мобильных носителей будет продолжаться, но очень медленно. Все, что можно было ввести «добровольно», уже сделано. Дальнейшее распространение шифрования возможно лишь за счет административного ресурса - сначала на корпоративном и отраслевом уровнях, затем, возможно, на государственном. Однако число используемых мобильных носителей (ноутбуков и флэш-накопителей) постоянно растет. За счет этого доля «мобильных» утечек может снова вырасти.

Касательно бумажного документооборота, то проконтролировать его еще сложнее, чем электронный.

После выхода письма с принтера следить за ним можно лишь «вручную», с помощью людей и организационных процедур. Программно-технические методы защиты, которые дешевле и привычнее, перестают работать. В условиях относительной дешевизны технических решений и относительной дороговизны рабочей силы не удивительно, что на Западе контроль за бумажными носителями слабее контроля за компьютерной информацией. К тому же, многие несовершенные средства защиты от утечек (назвать их полноценными DLP- системами мы не можем) не контролируют такой канал, как отправка на печать. В этом случае конфиденциальная информация легко выходит из-под контроля. Типичной «бумажной» утечкой является сбой при автоматической распечатке листов, адресованных большому числу клиентов. Как известно, адрес на письме или на конверте печатается тоже автоматически, часто и конверты заклеивает автомат. Небольшое смещение - и адресаты в письме и на конверте (в адресе) перестают совпадать, письма с чужими персональными данными идут посторонним людям. Чтобы снизить число «бумажных» утечек, необходимы два мероприятия. Во-первых, нужна DLP-система, которая блокирует отправку на печать недозволенной информации и проверяет соответствие почтового адреса и адресата. Во-вторых, необходим комплекс организационных мероприятий по учету движения бумажных документов с конфиденциальной информацией. Меры эти достаточно дорогие (особенно на фоне низкой стоимости принтеров), поэтому число инцидентов с бумажными носителями будет снижаться очень медленно - в основном за счет отказа от использования бумаги вообще.

Итак, основные проблемы защиты банковских информационных систем от угроз обусловлены их недостаточным вниманием к собственной безопасности экономической информации. Реализация указанных мероприятий позволит минимизировать риски утечки конфиденциальных данных. Не потерять доверие клиентов и не превратиться в очередной объект статистики инцидентов в сфере информационной безопасности.

4. Повышение эффективности банковской системы управления защитой персональных данных клиентов

Проблемой защиты персональных данных за рубежом начали заниматься во второй половине XX века. В это время быстро развивались технологии обмена информацией, что давало возможность бизнесу стремительно развиваться. Но это одновременно увеличило количество злоупотреблений в коммерческой деятельности (в частности банковской), прежде всего путем незаконного использования персональных данных клиентов. Информация о клиентах имеет большую ценность, поэтому сегодня ее стоимость чрезвычайно высока.

На сегодняшний день персональные данные проникли в различные сферы как жизнь и бизнес, так вопросом при их защите надо заниматься не только для удовлетворения законных требований, но и для собственной безопасности.

Сейчас организованная преступность активно и настойчиво пытается проникнуть в наиболее прибыльные сферы деятельности коммерческих структур. Поэтому проникновение в коммерческие банки является особенно желанной целью преступных группировок, ведь подчинение их преступникам может дать большие возможности для осуществления значительных махинаций, отмывания "грязных денег", перевод их за границу и других действий, которые приносили бы преступным элементам огромные доходы. В то же время условия конкурентной борьбы делают неравномерным развитие предпринимательской деятельности, в том числе и в банковской сфере. Это, в свою очередь, создает необходимость постоянного поиска путей совершенствования производства и технологий хранения их в тайне.

Поиск рынков, борьба за клиентов и нейтрализация конкурентов требуют всесторонней информации. При таких условиях эффективная деятельность банка может быть реализована принятием как пассивных мер безопасности, связанных с различными видами защиты, так и активных действий сил безопасности, прежде всего, направленных на создание благоприятного информационного пространства для работы банка.

Обеспечение информационной безопасности системы банка предполагает выполнение следующих задач: информационно-аналитическое сопровождение принятия решений руководством банка; противодействие попыткам несанкционированного сбора информации с ограниченным доступом, которая является собственностью банка, его клиентов или партнеров. Информационно-аналитическое сопровождение принятия решений руководством банка осуществляется путем сбора и аналитической обработки информации о состоянии и возможных перспективах деятельности субъектов банковского рынка.

Целью этой деятельности является исключение возможности неожиданного появления неблагоприятных факторов и угроз деятельности банка и обеспечения принятия управленческих решений, способных минимизировать последствия негативного влияния сферы деятельности банка. Противодействие попыткам несанкционированного сбора информации с ограниченным доступом в банке предусматривает выполнение мероприятий по предупреждению неправомерного получения информации банка спецслужбами, конкурентами и злоумышленниками с использованием технических средств или через работников банка. Меры противодействия несанкционированному сбору информации в банке направляются на:

• разработку соответствующей нормативной базы, регулирующей режим и порядок доступа, хранения и использования информации банка;
• контроль соблюдения мер информационной безопасности работниками банка;
• защиту информации в средствах и сетях ее передачи и обработки.

Защита информации банка с ограниченным доступом осуществляется всем персоналом банка в соответствии со служебными обязанностями. Разработка нормативной базы защиты информации в банке и контроль соблюдения информационной безопасности работниками банка осуществляет подразделение безопасности. Меры защиты информации в средствах и сетях ее передачи и обработки предусматривают использование аппаратных, программных и криптографических средств защиты.

Аппаратные средства защиты применяются для решения следующих задач:

• препятствование визуальному наблюдению и дистанционному подслушиванию;
• нейтрализация паразитных электромагнитных излучений и наводок;
• выявление технических средств подслушивания и магнитной записи, несанкционированно используемых в помещениях банка;
• защита передаваемой средствами связи и содержащейся в системах автоматизированной обработки данных.

Программные средства защиты представляют собой специальные программы, включенные в состав программного обеспечения компьютеров и информационных систем, реализующих функции защиты конфиденциальной информации от неправомерных действий - несанкционированного доступа, копирования или разрушения.

Для защиты от несанкционированного доступа с помощью программных средств осуществляется:

• идентификация объектов и субъектов;
• разграничение доступа к информационным ресурсам;
• контроль и регистрация действий с информацией и программами.

Защита информации от копирования обеспечивается выполнением следующих функций:

• идентификация среды, из которой запускается программа копирования;
• аутентификация среды, из которой запущена программа копирования;
• реакция на запуск из несанкционированной среды;
• регистрация санкционированного копирования;
• противодействие изучению алгоритмов работы системы.

Если рассматривать защиту персональных данных со стороны применения программно-технических средств защиты, то можно выделить специализированные системы мониторинга событий информационной безопасности.

Одним из примеров подобных систем является продукт ArcSight ESM. ArcSight СМ - это ведущая платформа на рынке для мониторинга корпоративных угроз и рисков безопасности, занимает одну из лидирующих позиций в данной области.

Этот продукт пригодится:

• службе информационного контроля и аудита (когда необходимо получить удовлетворительную оценку аудита);
• службе информационной безопасности (когда необходимо определить кто хочет получить доступ к информации, и у этого лица имеются соответствующие полномочия);
• службе ИТ (когда инфраструктура должна соответствовать требованиям утвержденной политики и необходимо быстро реагировать на новые угрозы).

Решение ArcSight ESM предоставляет широкий спектр функций, которые обеспечивают быстрый и удобный доступ к необходимой информации. Настраиваемые панели управления с прекрасной графикой обеспечивают бизнес и технический обзор информации, необходимой конкретным сотрудникам банка.

Консоль ESM обеспечивает единый обзор текущего уровня безопасности компании и предоставляет информацию о выявленных атаках и бизнес - рисках. Имеющиеся сетевые и географические карты позволяют пользователям выявить угрозы, которые находятся в их компетенции. Решение ArcSight ESM предоставляет комплексные технические, операционные и трендовые отчеты, в которых содержится информация о текущем уровне безопасности. Эти отчеты полностью удовлетворяют требованиям к подготовке контрольной отчетности. Система подготовки отчетов упрощает задачу подготовки отчетности на уровне бизнеса благодаря наличию стандартных и пользовательских шаблонов для отчетов о соответствии требованиям регуляторов, отчетов о бизнес-рисках и параметрах пользователей.

Сегодня также есть еще одна очень интересная услуга в области защиты информации - тест на проникновение. Тест на проникновение (penetration test или сокращенно pentest) - это практичный способ показать, насколько защищена компания от посягательств на ее конфиденциальные данные и других угроз для информации. За рубежом также часто встречается термин этический хакинг (ethical hacking) [12].

Итак, обеспечение информационной безопасности банка - это сложная система мероприятий по обеспечению необходимого уровня информированности руководства и персонала банка, а также внешней среды, эффективной защиты всех видов информации от внешних и внутренних угроз, которая достигается организацией сбора информации о внутренней и внешней среде банка, проведением информационно-аналитического исследования клиентов, партнеров и конкурентов, информационного аудита и информационного мониторинга в банке, аналитической обработкой информации; организацией системы информационного обеспечения принятия решений руководством банка; определением категорий банковской информации и выработкой соответствующих мер его защиты; соблюдением соответствующих режимов деятельности банка; выполнением всеми работниками банка норм и правил работы с информацией; своевременным выявлением проб и возможных каналов утечки информации и их нейтрализации.

В банке целесообразно разработать такой документ по безопасности, как "Политика информационной безопасности банка". Политика информационной безопасности банковского учреждения представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач информационной защиты банковского дела от противоправных действий.

Под информационной безопасностью банка понимается состояние защищенности информации о владельцах, руководстве, клиентах банка, технологий и информационных ресурсов банка от внутренних и внешних угроз. Обеспечение информационной безопасности системы является неотъемлемой составной частью деятельности банка. Состояние информационной безопасности банка представляет собой умение и способность банка противостоять любым попыткам нанести ущерб законным интересам банка.

Заключение

В заключении отметим, что обеспечение информационной безопасности систем банковских учреждений является насущной и актуальной проблемой их функционирования и развития, ведь несет в себе потенциал сохранения и эффективного использования финансовых, материальных и информационных ресурсов банков, своевременного выявления и нейтрализации реальных и потенциальных угроз, а также формирование условий реализации банками своих стратегических интересов.

В условиях диджитализации, увеличения мобильности и массового перехода конечных пользователей от настольных компьютеров и ноутбуков к мобильным устройствам, банковским учреждениям необходимо адаптироваться в соответствии с этими вызововами. Критически необходима своевременная адаптация политик и средств защиты от угроз безопасности IT.

В данной работе аргументировано, что при таких условиях периметровая защита является неэффективной и должна быть заменена современными механизмами SSO. Наибольшей экономической эффективности внедрения таких решений можно достичь за счет использования облачных технологий IDaaS (от англ. Identity as а Service, IDaaS). При такой модели развертывания программное обеспечение управления доступом и учетными записями пользователей используется как облачный сервис. То есть в полной мере применяются все возможности облачных технологий - экономия капитальных инвестиций, максимальная эффективность использования ресурсов, гибкая масштабируемость аппаратных мощностей согласно потребностям.

Защита персональных данных клиентов банка - это довольно трудоемкая и рутинная задача, направленная на полное исключение несанкционированного доступа к персональным данным клиентов банка. Реализовать эту защиту в полной мере возможно только комплексно, то есть банк должен принять соответствующие правовые, организационные, технические мероприятия, чтобы организовать и обеспечить надежную защиту персональных данных от различного рода злоумышленников и конкурентов.

Обеспечение безопасности персональных данных достигается:

1. Определением угроз безопасности персональным данным при их обработке и дальнейшем использовании и хранении.

2. Применением организационных и технических мероприятий по обеспечению безопасности персональных данных.

3. Оценкой эффективности принятых мер по обеспечению безопасности персональных данных.

4. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер безопасности.

5. Контролем по принятым мерам по обеспечению безопасности персональных данных и уровнем защищенности.

Поэтому на сегодняшний день все больше и больше банков приходят к пониманию того, что в соответствии с требованиями международных стандартов, а также правильно разработанная и построенная система защиты персональных данных позволяют не только создать надежную информационную структуру, но и обеспечить надежное функционирование организации. Итак, если применять специализированные системы мониторинга событий информационной безопасности и использовать нетрадиционный аудит информационной безопасности - тест на проникновение, то можно с уверенностью сказать, что именно подобный вариант контроля за событиями в информационной среде банка по сохранению персональных данных и защите от несанкционированного доступа является наиболее эффективным на сегодняшний день.

Список использованной литературы

1. Малий Ю. В., Александров В. В. Рекомендации по проведению анализа и оценки рисков нарушения безопасности информации в банковской сфере //Вестник Белгородского университета кооперации, экономики и права. – 2015. – №. 1. – С. 195-198.
2. Васильева И. А. Актуальные тенденции развития систем интернет-банкинга //Экономика и современный менеджмент: теория и практика. – 2015. – №. 46. – С. 6-12.
3. Гришина Е. А. Биометрические технологии в российских банках: мечты или реальность //Наука и общество. – 2015. – №. 3. – С. 17-21.
4. Попов С. В., Шамкин В. Н. Методика оперативной оценки показателей надежности средств защиты информации в системе мониторинга инцидентов информационной безопасности банка //Научный альманах. – 2015. – №. 9. – С. 795.
5. Кузнецова О. В. Защита конфиденциальной информации в организации на примере коммерческого банка //Новые технологии-нефтегазовому региону. – 2016. – С. 48-50.
6. Ерохин В. В. Защита программного обеспечения и верификация информации в информационно-телекоммуникационных системах банка. – 2015.
7. Кашутина И. А., Пчелинцева Е. М. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО КАНАЛАМ СОТОВОЙ СВЯЗИ В БАНКЕ //Евразийский союз ученых. – 2015. – №. 3-4. – С. 65-66.
8. Белоусова К.И. Обеспечение информационной безопасности - реализация стратегии банковского учреждения / К.И. Белоусова, Я.И. Белоусов // Вестник ГУИКТ. - 2015. - С.33-38.
9. Марущак А.И. Информационная безопасность банковского учреждения: структура и система обеспечения / А.И. Марущак // Противодействие преступлениям, которые совершаются с использованием компьютерных сетей [Текст]: тезисы докладов Международной научно-практической конференции (г.. Севастополь, 1-2 октября 2010 года) / Суммы: ДВНЗ «УАБС НБУ», 2016. - С.21-24.
10. Zissis, D. & Lckkas, D. (2012). Addressing cloud computing security issues. Future Generation Computer Systems. No. 28, pp. 583-592.
11. Электронный ресурс "Аналитические данные информационной безопасности", режим доступа: www.infowatch.ru, дата обращения: 20.03.2019
12. Smith H., Morrison H. Ethical Hacking: A Comprehensive Beginners Guide to Learn and Master Ethical Hacking. – CreateSpace Independent Publishing Platform, 2018.