Проблемы информационной безопасности банков

Если менеджером банка, отделом кадров и службой безопасности все же принято решение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации, то в этом случае отрабатывается несколько вариантов сохранения в тайне коммерческих сведений (оформление официальной подписи о неразглашении данных, составляющих коммерческую тайну, либо устная «джентльменская» договоренность о сохранении увольняемым сотрудником лояльности к «своему банку или фирме»).

В этой связи необходимо подчеркнуть, что личное обращение  к чувству чести и достоинства  увольняемых лиц наиболее эффективно в отношении тех индивидуумов, которые обладают темпераментом сангвиника и флегматика, высоко оценивающих, как правило, доверие и доброжелательность.

Что касается лиц с  темпераментом холерика, то с этой категорией сотрудников рекомендуется  завершать беседу на официальной ноте. В ряде случаев объявление им принятого решения об увольнении вызывает бурную негативную реакцию, связанную с попытками спекулировать на своих истинных, а порой и мнимых профессиональных достоинствах. Поэтому с сотрудниками такого темперамента и склада характера целесообразно тщательно оговаривать и обусловливать в документах возможности наступления для них юридических последствий раскрытия коммерческой тайны.

Несколько иначе рекомендуется действовать в тех случаях, когда увольнения сотрудников происходят по инициативе самих коммерческих структур. В этих обстоятельствах не следует поспешно реализовывать принятое решение. Если увольняемое лицо располагает какими-либо сведениями, составляющими коммерческую тайну, то целесообразно предварительно и под соответствующим предлогом перевести его на другой участок работы, например в такое подразделение, в котором отсутствует подобная информация.

Кроме того, таких лиц  традиционно стремятся сохранить в структуре банка или фирмы (их дочерних предприятий, филиалов) до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения ими сведений, составляющих коммерческую тайну, либо найдены адекватные средства защиты конфиденциальных данных (технические, административные, патентные, юридические, финансовые и пр.).

Только лишь после  реализации этих мер рекомендуется приглашать на собеседование подлежащего увольнению сотрудника и объявлять конкретные причины, по которым коммерческая организация отказывается от его услуг. Желательно при этом, чтобы эти причины содержали элементы объективности, достоверности и проверяемости (перепрофилирование производства, сокращение персонала, ухудшение финансового положения, отсутствие заказчиков и пр.). При мотивации увольнения целесообразно, как правило, воздерживаться от ссылок на негативные деловые и личные качества данного сотрудника.

После объявления об увольнении рекомендуется внимательно выслушивать контрдоводы, аргументы и замечания сотрудника в отношении характера работы, стиля руководства компанией и т. п. Обычно увольняемый персонал весьма критично, остро и правдиво освещает ситуацию в коммерческих структурах, вскрывая уязвимые места, серьезные недоработки, кадровые просчеты, финансовые неурядицы и т. п.

Если подходить не предвзято и объективно к подобной критике, то эти соображения могут быть использованы в дальнейшем весьма эффективно в интересах самого банка. В ряде случаев увольняемому сотруднику вполне серьезно предлагают даже изложить письменно свои рекомендации, конечно, за соответствующее вознаграждение.

При окончательном расчете  обычно рекомендуется независимо от личностных характеристик увольняемых сотрудников брать у них подписку о неразглашении конфиденциальных сведений, ставших известными в процессе работ.

В любом случае после  увольнения сотрудников, осведомленных  о сведениях, составляющих коммерческую тайну, целесообразно через возможности службы безопасности банка или фирмы (частного детективного агентства) проводить оперативную установку по их новому месту работы и моделировать возможности утечки конфиденциальных данных.

Кроме того, в наиболее острых и конфликтных ситуациях  увольнения персонала проводятся оперативные и профилактические мероприятия по новому месту работы, жительства; также в окружении носителей коммерческих секретов.

Персонал оказывает  существенное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, расстановка и квалифицированная работа при увольнениях в значительной степени повышают устойчивость коммерческих предприятий к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов.

Регулярное изучение всех категорий персонала, понимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующих методов объединения отдельных индивидуумов в работоспособный коллектив — все это позволяет руководителям в итоге решать сложные производственные и коммерческо-финансовые задачи, в том числе связанные с обеспечением экономической безопасности.

Обобщая основные рекомендации, представляется, что программа работы с персоналом в коммерческой структуре могла бы быть сформулирована следующим образом:

- добывание в рамках  действующего российского законодательства максимального объема сведений о кандидатах на работу, тщательная проверка представленных документов как через официальные, так и оперативные возможности, в том числе службы безопасности банка или частного детективного агентства, системность в анализе информации, собранной на соответствующие кандидатуры;

- проведение комплекса  проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информации, составляющей коммерческую тайну;

- использование современных методов, в частности собеседований и тестирований, для создания психологического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах характера и прогнозировать их вероятные действия в различных экстремальных ситуациях;

- оценка с использованием  современных психологических методов разноплановых и разнопорядковых факторов, возможно препятствующих приему кандидатов на работу или их использованию на конкретных должностях;

- определение для кандидатов  на работу в коммерческих структурах некоторого испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;

- введение в практику  регулярных и неожиданных комплексных  проверок персонала, в том числе через возможности служб безопасности;

- обучение сотрудников  кадровых подразделений и служб  безопасности современным психологическим  подходам к работе с персоналом, социальным, психоаналитическим, этико-моральным методам, навыкам использования современных технических средств для фиксирования результатов интервью и собеседований, приемам проведения целевых бесед «втемную» и процедурам информационно-аналитической работы с документами кандидатов;

- выделение из числа  первых руководителей коммерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с персоналом.

Можно сделать определенный вывод о том, что российские предприниматели  во все возрастающей степени меняют свое отношение к «человеческому фактору», ставят на вооружение своих кадровых подразделений и служб безопасности современные методы работы с персоналом. Очевидно, что дальнейшее развитие в этой области связано с активным использованием значительного потенциала методов психоанализа, психологии и этики управления, конфликтологии и ряда других наук и более полного интегрирования соответствующих специалистов в коммерческие предприятия.

Глава 4. Безопасность автоматизированных систем обработки информации в банках (АСОИБ).

Угрозы безопасности автоматизированных систем.

 

Не будет преувеличением сказать, что проблема умышленных нарушений  функционирования АСОИБ различного назначения в настоящее время  является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

По данным, приведенным  в [2], в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет  рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год [3].

В настоящей главе  приводится классификация умышленных угроз безопасности АСОИБ и их краткое описание. Классификация  не является исчерпывающей. Она предназначена для того, чтобы выделить основные типы угроз и методы защиты от них.

Современная АСОИБ —  сложный механизм, состоящий из большого количества компонентов различной  степени автономности, связанных  между собой и обменивающихся данными. Практически каждый из них может выйти из строя или подвергнуться внешнему воздействию.

Под угрозой безопасности понимается потенциально возможное  воздействие на АСОИ, которое может  прямо или косвенно нанести урон пользователям или владельцам АСОИБ.

Приводимая ниже классификация  охватывает только умышленные угрозы безопасности АСОИБ, оставляя в стороне  такие воздействия как стихийные  бедствия, сбои и отказы оборудования и др. Реализацию угрозы в дальнейшем будем называть атакой.

Угрозы безопасности АСОИБ можно классифицировать по следующим признакам [3]:

1. По цели реализации  угрозы. Реализация той или иной  угрозы безопасности АСОИБ может  преследовать следующие цели:

- нарушение конфиденциальности  информации. Информация, хранимая и  обрабатываемая в АСОИБ, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

- нарушение целостности  информации. Потеря целостности  информации (полная или частичная,  компрометация, дезинформация) -угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

- нарушение (частичное  или полное) работоспособности АСОИБ (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов АСОИБ, их модификация или подмена могут привести к получению неверных результатов, отказу АСОИБ от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным. Так как диапазон услуг, предоставляемых современными АСОИБ, весьма широк, отказ в обслуживании может существенно повлиять на работу пользователя.

2. По принципу воздействия  на АСОИБ:

- с использованием  доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т.д.);

- с использованием  скрытых каналов.

Под доступом понимается взаимодействие между субъектом  и объектом (выполнение первым некоторой  операции над вторым), приводящее к  возникновению информационного потока от второго к первому.

Под скрытым каналом (covert channel) понимается путь передачи информации, позволяющий двум взаимодействующим  процессам обмениваться информацией  таким способом, который нарушает системную политику безопасности. Скрытые каналы бывают двух видов:

а. Скрытые каналы с  памятью (covert storage channel), позволяющие  осуществлять чтение или запись информации другого процесса непосредственно  или с помощью промежуточных  объектов для хранения информации (временной  памяти);

б. Скрытые временные  каналы (covert timing channel), при которых  один процесс может получать информацию о действиях другого, используя  интервалы между какими-либо событиями (например, анализ временного интервала  между запросом на ввод-вывод и  сообщением об окончании операции позволяет судить о размере вводимой или выводимой информации).

Коренное различие в  получении информации с помощью  доступа и с помощью скрытых  каналов заключается в том, что  в первом случае осуществляется взаимодействие субъекта и объекта АСОИБ и, следовательно, изменяется ее состояние. Во втором случае используются лишь побочные эффекты от взаимодействия двух субъектов АСОИБ, что не оказывает влияния на состояние системы.

Отсюда следует, что  воздействие, основанное на первом принципе, проще, более информативнее, но от него легче защититься. Воздействие на основе второго принципа отличается трудностью организации, меньшей информативностью и сложностью обнаружения и устранения.

3. По характеру воздействия  на АСОИБ. По этому критерию различают активное и пассивное воздействие.

Активное воздействие  всегда связано с выполнением  пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Активное воздействие ведет к изменению состояния системы и может осуществляться либо с использованием доступа (например, к наборам данных), либо как с использованием доступа, так и с использованием скрытых каналов.

Пассивное воздействие  осуществляется путем наблюдения пользователем  каких-либо побочных эффектов (от работы программы, например) и их анализе. На основе такого рода анализа можно  иногда получить довольно интересную информацию. Примером пассивного воздействия может служить прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в АСОИБ, так как при нем никаких действий с объектами и субъектами не производится. Пассивное воздействие не ведет к изменению состояния системы.