Реферат: Проблемы информационной безопасности банков

Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.

Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.

Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации. [1, с.60]

Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска — это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более «интеллектуальные» системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

·    электронные платежи и расчеты в точке продажи;

·    клиентские терминалы, осуществляющие прямую связь с банком;

·    домашнее банковское обслуживание с помощью персонального компьютера или телефона;

·    обмен электронными данными в сети с расширенным набором услуг;

·    технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.

Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.

Угрозы информационной безопасности банка со стороны персонала.

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, — ее необходимый элемент, а с другой — он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах про­тив коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высо­кой степени осведомленности преступников относите­льно режима дня и динамики деятельности предприни­мателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с пред­ельной точностью по времени и месту перехватывали на трассе.

Заблаговременно были изучены основные и запас­ные маршруты перемещения коммерсантов. Преступ­ники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и но­мерных знаках личных и служебных автомашин, сосе­дях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор инфор­мации. Представляется возможным выделить следу­ющие основные методы, которые используются зло­умышленниками в настоящее время для добывания сведений о коммерческих структурах:

·    наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

·    проведение опросов, интервьюирования, анкетиро­вания, «направленных» бесед и т.п.;

·    хищение, скрытое копирование, подделка каких-ли­бо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществ­лять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

·    перехват информации на различных частотных ка­налах внутренней и внешней радио- и телевизионной связи коммерческих структур;

·    получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные ком­пьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

·    добывание информации о коммерческих структурах посредством применения системы аналитических ме­тодов (структурный анализ, финансовый анализ, ана­лиз себестоимости продукции, анализ научно-техничес­ких образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материаль­ных фондов и т.п.).

При всем многообразии и несомненных достоинст­вах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих струк­тур в качестве источников внутренней информации рас­сматривается как наиболее надежный, быстрый и эффек­тивных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопро­сам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, ко­торые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источ­ники сегодня все более активно и настойчиво использу­ются для оказания выгодного криминальным структу­рам, а также конкурентам влияния на стратегию и так­тику поведения руководителей соответствующих ком­мерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экс­портно-импортных квот, землеотвода и т.д. [4, с.268]

При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту -доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group [2] 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений — внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно.

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение — очень квалифицирован и опасен. Проникновение — опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение — наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновении может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы — более жесткая и самая жесткая вместе с постоянным контролем — от проникновении. Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов — это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая — психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [3].

1. Наибольший риск:

- системный контролер;

- администратор безопасности.

2. Повышенный риск:

- оператор системы;

- оператор ввода и подготовки данных;

- менеджер обработки;

- системный программист.

3. Средний риск:

- инженер системы;

- менеджер программного обеспечения.

4. Ограниченный риск:

- прикладной программист;

- инженер или оператор по связи;

- администратор баз данных;

- инженер по оборудованию;

- оператор периферийного оборудования;

- библиотекарь системных магнитных носителей;

- пользователь-программист;

- пользователь-операционист.

5. Низкий риск:

- инженер по периферийному оборудованию;

- библиотекарь магнитных носителей пользователей;

- пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

Кадровая политика с точки зрения информационной безопасности.

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим представляется целесообразным и необходимым в це­лях повышения экономической безопасности этих объектов уделять больше внимания подбору и изуче­ния кадров, проверке любой информации, указыва­ющей на их сомнительное поведение и компромети­рующие связи. При этом необходимо также в обяза­тельном порядке проводить значительную разъясни­тельно-воспитательную работу, систематические инст­руктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах необходимо четко очерчивать персональ­ные функциональные обязанности всех категорий со­трудников коммерческих предприятий и на основе  существующего российского законодательства во внутрен­них приказах и распоряжениях определять их ответст­венность за любые виды нарушений, связанных с раз­глашением или утечкой информации, составляющей коммерческую тайну.

Кроме того, в этой связи целесообразно отметить, что ведущие московские коммерческие банки все шире вводят в своих служебных документах гриф «конфиде­нциально» и распространяют различного рода надбав­ки к окладам для соответствующих категорий своего персонала.

Как свидетельствуют многочисленные опросы и проведённые беседы, в настоящее время многие ру­ководители ведущих московских коммерческих струк­тур все более глубоко осознают роль и место своих сотрудников в создании и поддержании общей систе­мы экономической безопасности. Такое понимание этой проблемы ведет к настойчивому внедрению про­цедур тщательного подбора и расстановки персонала.

Так, постепенно приобретают все большую значи­мость рекомендательные письма, научные методы проверки на профпригодность и различного рода те­стирования, осуществляемые кадровыми подразделе­ниями, сотрудниками служб безопасности и группами психологической поддержки, которые созданы в ряде коммерческих структур либо привлекаются в качестве сторонних экспертов.

Несмотря, однако, на некоторые положительные примеры, в целом приходится, к сожалению, констати­ровать тот факт, что руководители подавляющего бо­льшинства коммерческих организаций все же еще не в полной мере осознали необходимость организации комплексной защиты своих структур от уголовных и экономических преступлений и в этой связи потреб­ность постоянного совершенствования процесса под­бора и расстановки кадров.

Как свидетельствует современный опыт, безопа­сность экономической деятельности любой коммер­ческой структуры во многом зависит от того, в какой степени квалификация ее сотрудников, их морально-нравственные качества соответствуют решаемым задачам.

Если объективно оценивать существующие сегодня процедуры отбора кадров, то окажется, что во многих банках и фирмах акцент, к сожалению, делается пре­жде всего на выяснении лишь уровня профессиональ­ной подготовки кандидатов на работу, который опре­деляется зачастую по традиционно-формальным при­знакам: образование; разряд; стаж работы по специальности.

При таком подходе очевидно, что кадровые подра­зделения исходят из все более устаревающей концеп­ции ограниченной материально-финансовой ответст­венности отдельных работников за конечные резуль­таты своей деятельности и сохранность конфиденци­альной информации.

В современных же коммерческих банках при весьма ограниченной численности сотрудников, все более ча­стом совмещении рядовыми исполнителями различ­ных участков работы и стремительно увеличивающих­ся потоках информации и управленческих команд, каж­дый сотрудник во все возрастающей степени становит­ся носителем конфиденциальных сведений, которые могут представлять интерес как для конкурентов, так и криминальных сообществ.

В таких условиях весьма существенно повышаются и изменяются требования к личным и деловым качест­вам сотрудников и, следовательно, к кандидатам на работу. Данное обстоятельство побуждает руководи­телей коммерческих структур все чаще обращаться к методам и процедурам научной психологии, с помо­щью которых можно достаточно быстро, надежно и всесторонне оценивать возможного кандидата и со­ставлять его психологический портрет.

Конечно, было бы ошибкой полагать, что психоло­гический отбор полностью заменяет прежние, достато­чно надежные кадровые процедуры. В этой связи под­черкнем, что только при умелом сочетании психологи­ческих и традиционных кадровых подходов можно с высокой степенью достоверности прогнозировать по­ведение сотрудников в различных, в том числе экст­ремальных, ситуациях.

В настоящее время ведущие банковские струк­туры имеют, как правило, строго разработанные и ут­вержденные руководством организационные структу­ры и функции управления для каждого подразделения. Наибольшей популярностью пользуются методики со­ставления оргсхем или организационных чертежей, на которых графически изображается каждое рабочее ме­сто, прописываются должностные обязанности и опре­деляются информационные потоки для отдельного ис­полнителя.

При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для вы­полнения функций на своем рабочем месте. Внутрен­ними распоряжениями также определяются требова­ния к деловым и личным качествам сотрудников и обусловливаются режимы сохранения или коммерчес­кой тайны.

Кроме того, для большей конкретизации этих про­цедур на каждое рабочее место рекомендуется состав­лять профессиограмму, т.е. перечень личностных ка­честв, которыми в идеале должен обладать потенциаль­ный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабо­чее место они составляются.

Однако обязательными атрибутами подобных до­кументов являются разделы, отражающие профессио­нально значимые качества (психологические характери­стики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, кото­рые делают невозможным зачисление кандидата на кон­кретную должность). В некоторых случаях необходимо не только указывать профессионально значимые каче­ства, но и оценивать степень их выраженности, т.е. сформированности.

После разработки схем управления и составления профессиограмм можно приступать к собеседованиям и применять разнообразные процедуры отбора кан­дидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно, как правило, изуче­ние значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответст­вующая должность. Во втором случае из ограничен­ного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в на­ибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14