Проблемы обеспечения информационной безопасности

Проблемы обеспечения информационной безопасности

Недостатки существующих стандартов и рекомендаций

Прежде всего, примем понятие информационной безопасности — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении — у них нет возможности заказать и получить "под ключ" современную систему, имеющую сертификат безопасности.

Так сложилось, что в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой ценной.

Общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности — это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности — Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т. д. , без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.

Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, — это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ. Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

  • — идентификация и аутентификация;
  • — управление доступом;
  • — протоколирование и аудит;
  • — криптография;
  • — экранирование.

Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо меньшей степени — на потребителей.

Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

  • — как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?
  • — как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?

Как уже отмечалось, стандарты и рекомендации несут на себе "родимые пятна" разработавших их ведомств. На первом месте в «Оранжевой книге» (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность — вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место. Леонтьев В.П. Персональный компьютер, Издательство «Олма-Пресс». — М., 2004

Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера. Несмотря на отмеченные недостатки, у «Оранжевой книги» есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание «троянских коней» и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация — как правило, идентификатор (пароль) владельца процесса, — не имеющая отношения к характеру действия.

Проблемы правового обеспечения информационной безопасности (ИБ) нашли отражение в Концепции национальной безопасности, утвержденной Указом Президента РФ от 10 января 2000 г. N 24, а 9 сентября 2000 г. была утверждена Доктрина информационной безопасности РФ, в которой совершенствование правового обеспечения рассматривается как приоритетное направление государственной политики. В развитие Доктрины ИБ под эгидой Совета безопасности России подготовлен проект Концепции нормативного правового обеспечения ИБ РФ. Концепция призвана создать методологическую основу для согласованной деятельности всех субъектов законодательной инициативы в сфере совершенствования правового обеспечения ИБ.

В проекте Концепции не используется термин "Интернет", но многие из определенных в нем направлений совершенствования правового обеспечения касаются информационно-телекоммуникационных систем и сетей, информационной инфраструктуры, частью которых является Интернет. Проект Концепции не конкретизирует направления правового регулирования, поэтому в аппарате Комитета Государственной Думы по безопасности сделана попытка в развитие проекта сформулировать предложения по первоочередным законодательным инициативам в области обеспечения информационной безопасности, которые находятся в сфере ведения комитета, что предопределяет его участие в их подготовке.

Направления совершенствования правового обеспечения ИБ ориентированы на обеспечение четырех групп национальных интересов, в том числе:

Читайте также:  Космические ракеты предназначенные для полетов

национальные интересы, связанные с обеспечением прав и законных интересов человека и гражданина, реализуемых в информационной сфере (право искать, получать, передавать, производить, распространять информацию; право на неприкосновенность частной жизни; свобода СМИ; запрещение пропаганды социального, расового, национального, религиозного или языкового превосходства; защита интеллектуальной собственности);

национальные интересы, связанные с информационным обеспечением государственной политики России;

национальные интересы, связанные с развитием отечественной индустрии средств информации, телекоммуникаций и других видов связи, эффективного использования отечественных информационных ресурсов;

национальные интересы, связанные с обеспечением безопасности информационных и телекоммуникационных систем, сохранности отечественных информационных ресурсов.

Очевидно, что в такой постановке обеспечение информационной безопасности при осуществлении деятельности с использованием Интернета представляет собой глобальную комплексную проблему, требующую, в свою очередь, комплексного решения. Эта комплексность достигается несколькими путями. Прежде всего, вопросы обеспечения ИБ и вопросы регулирования деятельности с использованием Интернета затрагивают различные отрасли законодательства и сферы деятельности (помимо информационной сферы и сферы телекоммуникаций они находят отражение, например, в банковской сфере, в торговле, в сфере государственного управления и т.д.). В силу этого, в работе над законопроектами, касающимися этих проблем, целесообразно участие соответствующих профильных комитетов Государственной Думы. Учитывая "аудиторию" Интернета и его роль в формировании в России информационного общества, необходимо в рамках законотворческого процесса проводить общественную экспертизу законопроектов, максимально учитывать мнение различных групп субъектов, использующих Интернет.

Здесь велика роль общественных организаций, непосредственно связанных с деятельностью в Интернете. Если воспринимать Интернет как технологическую среду, в которой реализуются различные правоотношения, то Интернет не может быть предметом этих правоотношений, следовательно и "Закон об Интернете" не имеет права на жизнь. Однако многие аспекты использования Сети выявляют критическое отсутствие правового регулирования на фоне отсутствия государственной позиции (политики) в отношении развития деятельности с использованием Интернета, следовательно имеется потребность в формировании Основ государственной политики в области развития и использования глобальных информационных сетей, которые могут быть предметом федерального закона либо могут быть утверждены указом Президента РФ, при этом задачей законодателя будет нормативно-правовое обеспечение этой политики.

Основополагающим принципом законодательной деятельности, определенным в указанных выше концептуальных документах, является баланс интересов личности, общества и государства. Понятно, что такой баланс труднодостижим, более того, определенные Конституцией права и свободы человека и гражданина являются базовыми. Однако Конституция РФ устанавливает и ограничения этих прав в интересах других лиц (ч.З ст. 17), общества (ч.2 ст.29 и др.) и государства (ч.З ст.55, ч.1 ст.56).

Эти ограничения были проигнорированы в проекте федерального закона "О государственной политике по развитию и использованию сети "Интернет", который активно обсуждался в первой половине года, поскольку в нем декларировалась обязанность органов власти всех уровней обеспечить "недопущение ограничений деятельности в РФ операторов сети и осуществляемого посредством сети международного информационного обмена".

В целях совершенствования правового обеспечения ИБ, прежде всего, необходимо проанализировать действующее законодательство на предмет конкретизации механизмов наступления ответственности за нарушения правовых норм, устранения противоречий между действующими федеральными законами, а также между федеральным законодательством и законами субъектов РФ.

Ниже рассмотрено состояние и перспективы законодательного регулирования обеспечения ИБ при осуществлении деятельности с использованием Интернета. Очевидно, что все законопроекты, направленные на обеспечение ИБ, должны учитывать "сетевую реальность", но не всегда эта реальность определяет суть правоотношений и законодательных решений. О таких законопроектах скажу вкратце.

Для реализации первой группы интересов, связанных с обеспечением прав и законных интересов человека и гражданина, реализуемых в информационной сфере необходимо:

принять федеральный закон (ФЗ), определяющий принципы и организационные механизмы доступа к открытой информации органов государственной власти, органов местного самоуправления, общественных организаций и хозяйствующих субъектов, в том числе через Интернет. Часть проблем может снять закон "О праве доступа к информации". (Проект закона "О праве на информацию" внесен в Государственную Думу Правительством РФ в 1996 г., принят в первом чтении в 1997 г., в 1998-99 гг. был подготовлен ко второму чтению, но не представлен на рассмотрение депутатов ответственным Комитетом по информационной политике). Обеспечение права на доступ к открытой информации должно сопрягаться с установлением исчерпывающих оснований для ограничения этого права, в том числе оснований для введения режима конфиденциальности информации, т.к. правовой режим государственной тайны более-менее определен. (Соответствующие нормы логично было бы включить в законопроект "О праве доступа к информации" либо готовить самостоятельный законопроект под рабочим названием "О конфиденциальной информации");

принять ФЗ, регулирующий отношения в области сбора, хранения и распространения персональных данных, защиты личной и семейной тайны, неприкосновенности частной жизни, а также создать правовые условия для широкого использования средств криптозащиты персональной информации (в 1999 г. принят Модельный закон МПА СНГ "О персональных данных", подготовленный в Комитете по безопасности; проект ФЗ "Об информации персонального характера", внесенный в Государственную Думу 2,5 года назад также не был представлен на рассмотрение депутатов ответственным Комитетом по информационной политике, в октябре 2000 г. внесен новый вариант проекта ФЗ "Об информации персонального характера", концептуально отличающийся от первого варианта тем, что вместо независимого института Уполномоченного по правам персональных данных предлагается наделить один из федеральных органов исполнительной власти функциями контроля за использованием персональных данных другими органами власти, юридическими и физическими лицами и защиты интересов субъектов персональных данных. Это законодательное предложение идет вразрез с мировым опытом защиты прав человека и гражданина, существенно сужает возможности и эффективность защиты этих прав);

создать механизм правовой защиты коммерческой тайны, совершенствовать механизмы правовой защиты интеллектуальной собственности, прежде всего, ноу-хау (реанимировать закон "О коммерческой тайне", отклоненный Президентом в прошлом году), внести изменения и дополнения в Закон РФ "О правовой защите программ для ЭВМ и баз данных" и в ФЗ "Об авторском праве и смежных правах" (указанные изменения и дополнения готовятся Роспатентом). Это чрезвычайно важное направление законодательного регулирования, поскольку затрагивает права как субъектов, обеспечивающих работу Сети, так и права пользователей;

определить правовой статус доменных имен (ситуация с распределением и использованием доменных имен, попытки государственного регулирования на уровне подзаконных актов, представленные недавно, побуждают к подготовке либо отдельного закона, либо регулирования в рамках закона "О фирменных наименованиях", которого еще нет, либо внесения изменений и дополнений в Закон РФ "О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров");

обеспечить правовое регулирование распространения массовой информации, размещенной на сайтах Интернета, в том числе, обеспечить реализацию конституционного запрета на пропаганду или агитацию, возбуждающую социальную, расовую, национальную и религиозную вражду (внести изменения и дополнения в законы РФ "О средствах массовой информации", "О рекламе" и др.).

Читайте также:  Пишет а потом не отвечает

Для реализации второй группы интересов, связанных с информационным обеспечением государственной политики России, необходимо:

интенсифицировать формирование открытых государственных информационных ресурсов, ввести в правовое русло их использование в целях создания условий органам государственной власти для разъяснения основных направлений государственной политики, обоснования принимаемых ими решений, поддержания информационного взаимодействия общества и государства, предоставления гражданам своевременной и объективной информации по наиболее важным событиям общественной жизни. (Частично эти задачи может реализовать проект ФЗ "О праве на информацию", требуют существенных уточнений федеральные законы "О средствах массовой информации", "Об информации, информатизации и защите информации", "О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации" и др. Наряду с этим, было бы целесообразно подготовить проект ФЗ об электронных библиотеках в Интернете, направленный на формирование общедоступных государственных информационных ресурсов и обеспечение доступа к ним.)

Здесь хотелось бы обратить внимание на неоднозначное положение Доктрины ИБ, касающееся "повышения эффективности хозяйственного использования открытых государственных информационных ресурсов". Представляется, что смысл "открытых" ресурсов в их общедоступности. Здесь государство должно выступать не столько в роли "рачительного хозяина", сколько в роли защитника конституционных прав граждан.

Для реализации третьей группы интересов, связанных с развитием отечественной индустрии средств информатизации и связи, эффективным использованием отечественных информационных ресурсов необходимо:

конкретизировать в ФЗ (ФЗ "О связи", "Об информации, информатизации и защите информации" и др.) механизмы реализации государственной поддержки отечественных производителей средств информатизации и связи;

пересмотреть положения ФЗ "О связи" в части усиления защиты прав пользователей и субъектов, представляющих услуги связи и информационные услуги, в том числе, оптимизировать систему лицензирования деятельности в области связи (возможно подготовить самостоятельный закон "О лицензировании разработки, производства и распространения средств защиты информации", поскольку соответствующие нормы рассыпаны по различным нормативным правовым актам); уточнить функции органа, контролирующего лицензируемую деятельность; установить правовой статус интернет-провайдеров;

принять пакет законов (базовый и специальные законы), обеспечивающих развитие электронной коммерции (подготовлена к принятию Федеральная программа развития электронной торговли в России на 2001 — 2006 гг., предусматривающая создание нормативно-правовой базы, наряду с этим депутатами Государственной Думы внесены уже два законопроекта из этого пакета: "Об электронной торговле" и "О предоставлении электронных финансовых услуг". По-видимому, процесс на этом не остановится, поскольку налицо активная конкурентная деятельность комитетов в данном направлении. Для обеспечения комплексности правового регулирования электронной торговли необходимо указанные законопроекты рассматривать в совокупности с законопроектом "Об электронной цифровой подписи", но он еще не внесен в Государственную Думу).

Для реализации четвертой группы интересов, связанных с обеспечением безопасности информационных и телекоммуникационных систем, сохранности отечественных информационных ресурсов, необходимо:

принять ФЗ "Об электронной цифровой подписи" (ЭЦП) (Этот закон, с одной стороны, тяготеет к пакету законов по электронной торговле, но, с другой стороны, не ограничивается данной сферой, поэтому имеет самостоятельное значение. Комитетом по безопасности подготовлен проект модельного закона "Об ЭЦП", который рекомендован к рассмотрению на ближайшем заседании МПА СНГ, Правительством РФ готовится к внесению проект аналогичного ФЗ, концепции этих законов неумолимо сближаются, в то же время имеются три позиции, по которым возможны принципиальные расхождения: обязательная сертификация средств ЭЦП, лицензирование деятельности удостоверяющих центров и обязательность получения сертификата на открытый ключ ЭЦП. Указанные расхождения, а также необходимость рассмотрения проекта данного закона в пакете с законопроектами по электронной торговле (коммерции), стимулируют депутатов Государственной Думы к внесению соответствующего законопроекта);

усилить борьбу с правонарушениями, совершаемыми с использованием сети "Интернет", а также с иными правонарушениями, выявление, предупреждение и пресечение которых требует контроля информации, циркулирующей в сети. (Жизнь требует законодательной регламентации применения СОРМ на сетях электросвязи путем конкретизации положений ФЗ "О связи", внесения дополнения в ФЗ "Об ОРД", закон "Об органах ФСБ" и в Уголовно-процессуальный кодекс РФ. События последнего времени вокруг приказа № 130 Минсвязи РФ , по моему мнению, не приближают нас к обеспечению баланса интересов личности, общества и государства в данном вопросе. Во-первых, текст приказа противоречит действующему законодательству, но соответствующие положения никто не оспаривает. Во -вторых, оспаривание в Верховном Суде известного положения приказа № 130 вроде бы из лучших побуждений не привело к желаемому результату, т.к. не применение этого положения, еще не означает установление требования предъявлять оператору связи решение суда. Наконец, если все же трактовать решение Верховного Суда как указанное выше требование, то его исполнение усугубит положение как операторов связи, так и органов, осуществляющих оперативно-розыскную деятельность, поскольку приведет к необходимости обеспечить операторами связи защиту сведений, содержащихся в решении суда и составляющих государственную тайну в соответствии с Законом РФ "О государственной тайне" и Законом РФ "Об оперативно-розыскной деятельности". Остается загадкой также, почему Верховный Суд принял такое решение, абсолютизировав положения ФЗ "О связи" и проигнорировав как положения Закона РФ "Об оперативно-розыскной деятельности", так и положения ч.З ст.55 Конституции РФ, устанавливающие основания для ограничения прав граждан, в том числе права на тайну переписки);

разработать меры правовой защиты от нарушений нормального функционирования информационных систем и сетей типа "спам" (в каком законодательном акте должны быть эти нормы пока не вполне ясно);

определить цели, принципы и механизмы технической защиты информации, циркулирующей по каналам связи, в первую очередь, обеспечить правовую базу для защиты чувствительной информации от технических разведок (соответствующий законопроект готовится по поручению Президента РФ);

совершенствовать меры ответственности за правонарушения в сфере высоких технологий (внесение изменений и дополнений в Уголовный кодекс РФ, Уголовно-процессуальный кодекс РФ и Кодекс РСФСР об административных правонарушениях).

Есть и международный аспект проблемы, который особенно актуален для деятельности с использованием не знающего государственных границ Интернета, — участие России в подготовке международных актов, присоединение к действующим международным соглашениям, инициирование таких соглашений. Это уже осуществляется достаточно активно, в частности, российские специалисты участвуют в подготовке международных договоров в области выявления, предупреждения и пресечения преступлений в сфере высоких технологий. В проекте Концепции предлагается присоединиться к международному Соглашению по тарифам и услугам в области телекоммуникаций с тем, чтобы реализовывать согласованную и более эффективную тарифную политику.

В Комитете Государственной Думы по безопасности создан мощный Экспертный совет по вопросам информационной безопасности, который рассматривает как планы законопроектной работы, так и вносимые законопроекты. Кроме того, открыта личная страница на сервере Государственной Думы, где выставлено большинство законопроектов и есть возможность обратной связи. Это позволяет максимально учесть общественное мнение при подготовке и рассмотрении проектов федеральных законов.

Читайте также:  Что такое файл zip

text-align:center;line-height:normal">
ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПУТИ ИХ РЕШЕНИЯ

text-align:right;line-height:normal">
Карпунова Анастасия Александровна

text-align:right;line-height:normal">
студент 4 курса кафедры финансы, инвестиции и кредит, ОГАУ, г. Орел

text-align:right;line-height:normal">
Долгова Светлана Алексеевна

text-align:right;line-height:normal">
научный руководитель, канд. экон. наук, доцент ОГАУ, г. Орел

justify;text-indent:1.0cm;line-height:150%">
В последнее пятнадцать лет в Российской Федерации были реализованы практические меры по повышению уровня информационной безопасности банковской сферы. Скоординированными усилиями законодателей, Правительства РФ и Банка России была сформирована система нормативно-правового и организационного обеспечения банковской безопасности, а также осуществлялись практические мероприятия, которые совершенствовали меры безопасности в самих банках. Уровень банковской безопасности в современной России не соответствует объективным потребностям, и состояние защиты банков от преступных посягательств оставляет желать лучшего [1].

justify;text-indent:1.0cm;line-height:150%;background:">
Развитие и укрепление банковской системы РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [4]. Уровень информационной безопасности банковских технологических процессов, автоматизированных банковских систем, эксплуатирующихся организациями банковской системы РФ, обеспечивает необходимый и достаточный уровень информационной безопасности банковской системы, и является важнейшим условием для реализации основных целей деятельности Банка России.

justify;text-indent:1.0cm;line-height:150%;background:">
Отрицательные последствия из-за сбоев в работе отдельных банковских организаций приводят к стремительному развитию системного кризиса платежной системы России, а также наносят ущерб интересам клиентов и собственников [5]. В случае наступления инцидента информационной безопасности значительно возрастает результирующий риск и возможность нанесения ущерба организациям банковской сферы [2]. Поэтому для организаций банковской системы угрозы информационным активам, то есть угрозы информационной безопасности, представляют реальную опасность (рис. 1).

text-align:center;line-height:150%;background:">

margin-bottom:0cm;margin-left:0cm;margin-bottom:.0001pt;text-align:center;
line-height:normal;background:">
Рисунок 1. Основные угрозы информбезопасности

justify;text-indent:1.0cm;line-height:150%;background:">
Для того, чтобы противостоять угрозам и обеспечить эффективность мероприятий по ликвидации неблагоприятных последствий инцидентов информационной безопасности в организациях банковской системы необходимо обеспечить достаточный уровень информационной безопасности, и сохранять его в течение длительного времени.

justify;text-indent:1.0cm;line-height:150%;background:">
За деятельностью по обеспечению информационной безопасности, должен осуществляться постоянный контроль [6]. Работа по оценке информационной безопасности банков, а также выявление факторов и разработка мер по ликвидации негативных явлений возложена на Центральный Банк РФ.

margin-left:0cm;text-align:center;background:">
Факторы, которые должна учитывать информационная безопасность банка

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги

На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. незаконное манипулирование с такой информацией может привести к серьезным убыткам.

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка

Конфиденциальна, банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом

Клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций

Банк несет ответственность не только за свои средства, но и за деньги клиентов

5. Банк хранит важную информацию о своих клиентах

Это расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

justify;text-indent:1.0cm;line-height:150%;background:">
Контроль за информационной безопасностью осуществляется на основе Стандарта, который состоит из комплекса стандартов по обеспечению информационной безопасности банков.

justify;text-indent:1.0cm;line-height:150%;background:">
Стратегическая цель обеспечения информационной безопасности российских банков, определенная Стандартом, заключается в эксплуатации, развертывании и совершенствовании системы менеджмента информационной безопасности банка, она включает в себя процессы менеджмента информационной безопасности, которые стимулируются и управляются процессами осознания информационной безопасности [2].

justify;text-indent:1.0cm;line-height:150%;background:">
Стандарт к банкам выдвигает ряд требований как организационного, так и технического характера. Однако, учитывая риск-ориентированный подход, используемый в Стандарте, вопрос выбора конкретных мер, методов, а также аппаратных или программных средств обеспечения информационной безопасности остается за конкретной кредитной организацией [3].

justify;text-indent:1.0cm;line-height:150%;background:">
В настоящее время Стандарт состоит из следующего перечня документов, приведенного на рисунке 2.

text-align:center;line-height:150%;background:">

margin-bottom:0cm;margin-left:0cm;margin-bottom:.0001pt;text-align:center;
line-height:normal;background:">
Рисунок 2. Перечень документов, составляющих Стандарт

justify;text-indent:1.0cm;line-height:150%;background:">
Реализация основных положений Стандарта предполагает комплексный подход к его внедрению, которое должно начинаться с проведения работ по анализу рисков, включающих в себя построение моделей угроз и нарушителей информационной безопасности, идентификации активов, подлежащих защите, и оценку рисков информационной безопасности с учетом особенностей бизнеса и технологий конкретной кредитной организации. Далее, на основе точного прогноза, базирующегося на анализе и оценке рисков информационной безопасности, необходимо разработать политику информационной безопасности банка и пакет нормативных документов по вопросам информационной безопасности, в соответствии с которым банк в дальнейшем станет реализовать, эксплуатировать и совершенствовать свою систему менеджмента информационной безопасности [3].

justify;text-indent:1.0cm;line-height:150%;background:">
Стандарт рекомендует разработку следующей структуры документов по обеспечению информационной безопасности (рис. 3).

text-align:center;line-height:150%">

margin-bottom:0cm;margin-left:0cm;margin-bottom:.0001pt;text-align:center;
line-height:normal">
Рисунок 3. Структура документов по обеспечению информационной безопасности, разработка которых рекомендована Стандартом

justify;text-indent:1.0cm;line-height:150%;background:">
Важно, чтобы положения документов по обеспечению ИБ отвечали следующим требованиям [7]:

text-align:justify;text-indent:1.0cm;line-height:150%;background:">
1. Носили обязательный характер;

text-align:justify;text-indent:1.0cm;line-height:150%;background:">
2. Не противоречили друг другу;

text-align:justify;text-indent:1.0cm;line-height:150%;background:">
3. Были выполнимыми контролируемыми;

text-align:justify;text-indent:1.0cm;line-height:150%;background:">
4. Соответствовали требованиям и условиям ведения деятельности, в том числе в условиях их постоянного изменения;

justify;text-indent:1.0cm;line-height:150%;background:">
Однако, в настоящее время Стандарт носит рекомендательный характер и может применяться только на добровольной основе. И все же, несмотря на это, практика показывает, что эффективное решение вопроса обеспечения информационной безопасности в российских банках без его использования практически невозможно. Так как российский банковский сектор достиг такого уровня своего развития, когда их клиентов и партнеров волнуют не только количественные, но и качественные показатели банка, например, способность банка обеспечить безопасность и сохранить конфиденциальность обрабатываемой и доверяемой ему информации.

1.Гамза В.А. Банковская безопасность: современная ситуация // Information Security/Информационная безопасность. 2005. № 5.

2.Иванов Д. Стандарт ЦБ РФ по обеспечению информационной безопасности: этапы внедрения и основные проблемы несоответствия // ПЛАС. 2008. № 6, С. 45.

3.Ткачук И.Б. Концепция и система безопасности банка: учеб. Пособие. М.: Издатель Шумилова И.И., 2003.

4.О Центральном банке Российской Федерации (Банке России) [Электронный ресурс]: федер. Закон Рос.Федерации от 10 июля 2002 г. № 86-ФЗ. Доступ из справ.- правовой системы «Консультант плюс».

Ссылка на основную публикацию
Приложение следить за человеком по номеру телефона
Отслеживание по номеру телефона - это приложение для Android, благодаря которому вы всегда будете знать где находятся ваши родные и...
Почему телефон ночью быстро разряжается
Если телефон стал быстро разряжаться, это еще не значит, что виновата батарея. В 70% случаев пользователь сам настроил устройство таким...
Почему телефон самостоятельно перезагружается
Постоянная и не запланированная перезагрузка смартфона на Android – раздражающая ошибка. Она порождает плохое настроение и желание расстаться с гаджетом....
Приложение чтобы играть андроид игры на компьютер
Самый мощный эмулятор Android из всех Newest ReleaseВерсия 7.1.3 2020.03.04 Играйте бесплатно в любые игры для Android. Наслаждайтесь оптимизированной графикой...
Adblock detector