logo search
ISE

34 Безопасность аис в банках

В настоящее время свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АБС необходимо уделять пристальное внимание обеспечению ее безопасности.

Безопасность информации напрямую влияет на уровень рентабельности, ибо потери, связанные с ее нарушением, могут свести на нет все достижения эффективного управления. При этом, как правило, чем более совершенна система управления банком, тем опаснее утечки информации.

Современные АБС - это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью.

Причины нарушений в информационной системе организации - это, как правило, либо ошибочные действия пользователей, либо умышленные атаки на систему. В последнем случае целью злоумышленника может быть получение информации, выполнение каких-либо действий, разрушение системы или её части.

Можно выделить следующие принципы, определяющие политику контроля:

- дополнительный визуальный контроль документов на большие суммы (сверх некоторого заранее установленного уровня);

- группировка документов в пачки не более чем по 30-40 штук;

- параллельный независимый ввод ключевых реквизитов всех (или хотя бы внешних) платежных документов.

По сведениям Национального центра данных о преступности, связанной с ЭВМ (Лос-Анджелес, США), компьютерные правонарушения наиболее часто совершаются программистами, студентами и операторами ввода исходных данных.

Информационная безопасность банка должна учитывать следующие специфические факторы:

• Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

• Информация в банковских системах затрагивает интересы большого количества физических и юридических лиц - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами.

• Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом.

• Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

Под безопасностью АБС будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее.

Безопасность АБС достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Помимо обеспечения безопасности работы с персональными компьютерами, необходимо разработать более широкую, комплексную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах банка. Она может включать следующие основные этапы реализации:

• защита информации от несанкционированного доступа;

• защита информации в системах связи;

• защита юридической значимости электронных документов;

• защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;

• защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

• защита от несанкционированного копирования и распространения программ и ценной компьютерной информации. Для каждого направления определяются основные цели и задачи.

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

• службы общекорпоративного уровня - 1-й уровень иерархии;

• службы подразделений или филиалов - 2-й уровень иерархии;

• службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Защита АБС должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

• анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

• реализация системы защиты на основе результатов анализа риска;

• постоянный контроль за работой системы защиты и АБС в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.