Банковская информационная система

Следующая возможная причина - это деятельность конкурентов. Несмотря на то что законы банковского бизнеса требуют честной конкурентной борьбы, встречаются случаи использования информационных технологий для незаконной борьбы с соперниками. Здесь можно рассмотреть два варианта атаки на систему информационной безопасности.

Целью первого варианта является простой сбор данных: о клиентах, операциях, о рынке. Обычно все сводится к попытке купить какие-либо данные у сотрудников банка. Еще чаще недобросовестные сотрудники сами пытаются продать данные конкурентам. Противостоять этому можно различными социальными мерами, а также пресечением подобной деятельности сотрудников других организаций, пытающихся продать такую информацию вам.

Второй вариант атаки имеет смысл, когда конкурент напрямую заинтересован в доступе к информационной системе. В случае банковского бизнеса для этого могут быть привлечены огромные ресурсы. Противостоять подобной атаке на уровне менеджеров среднего звена практически невозможно. Решение данной проблемы лежит на высшем уровне и выходит за рамки данной книги.

Последняя по порядку, но далеко не последняя по смыслу причина - это аварии, стихийные бедствия и т.п.

Основная проблема в защите от случайных событий - это их непредсказуемость и отсутствие методики расчета степени риска. Малая вероятность подобных событий компенсируется высокой стоимостью последствий. Часто случайные события (пожар, стихийное бедствие или банальный разрыв трубы) приводят к полному уничтожению информационной системы. Если миссия организации требует продолжения работы даже в экстремальном случае, менеджер должен знать и использовать основные приемы защиты и в таких ситуациях.

Международная практика рекомендует несколько защитных мер в зависимости от доступного бюджета организации. В основном они связаны с резервным копированием системы. К ним относятся:

* для многофилиальных организаций - создание взаимных резервных копий различных подразделений на территории друг друга. В случае аварии данные восстанавливаются, и территория одного подразделения может использоваться как резервный офис для другого;

* для организаций с большим  бюджетом - создание резервного офиса. Как правило, достаточно, чтобы данный офис дублировал базовые функции основного офиса и мог обеспечить работоспособность организации только в аварийном режиме. Для этого необходимы один сервер, 2-3 комнаты и выход к внешним информационным системам. Для банков это SWIFT, REUTERS, локальные расчетные системы. В случае аварии резервный офис должен обеспечить работоспособность организации не более чем в течение одной недели. За это время должен решиться вопрос или с восстановлением основного офиса, или арендой нового;

* для организаций с ограниченным  бюджетом рекомендуется ежедневное  резервное копирование информационной  системы и хранение копий на  другой территории. Это может  быть либо дружественная структура, либо специализированная компания, предоставляющая услуги по хранению архивов.

Организация информационной безопасности

 

Организация информационной безопасности начинается с политики информационной безопасности - внутреннего документа, содержащего в себе основные принципы информационной безопасности организации, используемые защитные механизмы и правила их эксплуатации.

Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.

С другой стороны, система информационной безопасности тесно связана с техническими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов. Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на 2.

Результатом данных работ становится рабочая система информационной безопасности, регламентируемая документом "Политика информационной безопасности" (табл. 5).

Такой документ позволит сотрудникам, ответственным за обеспечение информационной безопасности, контролировать систему в целом на основании общих правил, что существенно сократит расходы и потери в случае различных нарушений.

Рис. 12. Схема организации информационной безопасности

 

 

Таблица 5

 

Примерная структура политики информационной безопасности

 

 

Глава документа	Содержание	Ответственные сотрудники
Общие положения	Определяется статус документа	Руководитель  высшего  звена. Представители службы безопасности
Классификация данных по степени открытости. Определение владельцев информационных ресурсов	Определяются  группы  объектов   информационной системы, их владельцы и степень доступа к  ним. Пример: аналитические счета банка, синтетические счета, справочники	Технологи банка
Правила доступа и группы пользователей	Определяются основные правила доступа к данным. Пример:   доступ   к   данным   на   чтение   - руководитель должен видеть  всю   информацию, к которой имеют доступ все его подчиненные	Технологи банка, администратор системы
Правила эксплуатации	В этой главе  описываются  правила  по  технике информационной безопасности  для  пользователей (правила   хранения    носителей    информации, структура   паролей,   доступ   к    аппаратным составляющим системы)	Руководители   подразделений, сотрудник информационно-технических лужб, сотрудник безопасности
Правила хранения информационных объектов в системе	Данная глава определяет: -  какой   программный   продукт   обеспечивает хранение и обработку различных объектов; -   на   каких   процессорах      (серверах или пользовательских     станциях)      выполняются различные задачи; -  как  осуществляется  резервное   копирование системы	Руководитель информационно-технических подразделений,  разработчики системы, внутренний аудит
Правила разработки информационной системы	Данная глава включает в себя:- перечень технических и  программных  средств, допустимых к использованию в системе;-   утвержденные   алгоритмы     криптографии и электронной подписи;- порядок ведения проектной документации	Руководители проектов, внутренний аудит, представители службы безопасности
Порядок внесения изменений, обновления и замены рабочей версии информационной системы	В данной главе описывается самый уязвимый  этап в жизни  информационной  системы,   связанный с установкой и внедрением  новых  технологических цепочек или программно-аппаратных решений	Руководители проектов, внутренний аудит, представители службы безопасности,    руководители подразделений системы
Механизмы мониторинга доступа к объектам информационной системы	В  данной  главе  описывается  перечень  файлов протокола, которые ведутся  системой,  а  также набор    контрольных    метрик,    определяющих состояние  системы  и угрозы  нарушений  в  ее работе	Внутренний аудит, технические специалисты
Обязанности должностных лиц в слечае нарушений информационной безопасности системы	В  этом   разделе   рассматриваются   различные нарушения или угрозы  нарушений,   выявленные в результате анализа  механизмов   мониторинга, и определяются  действия   должностных     лиц по устранению или предотвращению нарушений	Руководитель информационно-технологического             подразделения, представители          службы безопасности

 

Рассмотрим основные механизмы защиты информационных систем. Меры информационной безопасности можно разделить на четыре категории.

1. Сдерживающие социальные меры. Как правило, направлены на устранение первичных причин нарушений в информационном пространстве организации. К ним относятся:

- создание здорового социального  климата в организации;

- снижение нагрузки на персонал  и развитие системы восстановления  работоспособности сотрудников;

- разработка системы наказания  за различные нарушения, в том  числе за нарушение режима  информационной безопасности. Информирование  всех о применяемых наказаниях;

- ограничение знания сотрудников  только областью их непосредственных  обязанностей;

- контроль и анализ нетипичных действий сотрудников и сторонних лиц (партнеров, клиентов);

2. Установка систем защиты. Данные  средства основываются на программно-аппаратных  решениях. Обычно они предлагаются  сторонними организациями и за  определенную плату или бесплатно доступны для каждой организации. К техническим средствам защиты относятся:

- шифрование;

- электронные подписи и электронная  аутентификация;

- развитие системы доступа к  данным;

- система защиты программных  ресурсов;

- система защиты аппаратных ресурсов;

- физическое ограничение доступа  к аппаратным ресурсам системы.

3. Компенсационные меры направлены  на ограничение последствий нарушений  в системе. К ним относятся  следующие решения:

- установка лимитов на выполнение  операций;

- страхование рисков;

- создание резервных систем;

- моделирование нарушений;

- подробное регламентирование  действий сотрудников в исключительных  ситуациях.

4. Мониторинг нарушений. Цель мониторинга - распознавание нарушений в информационных  системах, а именно:

- аудит информационной системы;

- сравнение показателей системы  с независимыми источниками;

- система контрольных метрик.

Влияние систем защиты на развитие бизнеса

 

Рассматривая вопросы информационной безопасности, нельзя не затронуть взаимную зависимость между ними и общими задачами кредитной организации. Часто приходится сталкиваться с ситуациями, когда развитие отдельных направлений бизнеса просто блокируется требованиями безопасности. Обычно это имеет смысл, так как затраты на защиту информационного ресурса того или иного бизнеса вместе с остаточным риском больше, чем ожидаемый доход. Однако ошибки в подобных расчетах означают потерю конкурентного преимущества и, как следствие, намного больший ущерб для организации в целом. Эта угроза заставляет многие банки идти на риск, игнорируя риски информационной безопасности, скрывая возникающие проблемы. Рассмотрим некоторые критерии, облегчающие принятие решений в этой области.

Следуя общему правилу экономической целесообразности, определяется следующее выражение:

 

             (S(T) - S) x T + 1%(Т) > (S1 x (%)t + Sa x Т)/К,

 

где S(T) - функция ожидаемого дохода от нового продукта, зависит от времени;

S - сумма требуемого дохода от  рассматриваемого продукта;

Т - рассматриваемый промежуток времени;

1%(Т) - получаемая прибыль за счет вторичного использования средств, полученных в качестве дохода от рассматриваемого продукта;

S1 - разовая инвестиция в систему  информационной безопасности;

(%)t - потерянная прибыль от использования  вложенных средств;

Sa - затраты на сопровождение;

К - коэффициент доли использования, определяется исходя из использования необходимых в данном случае элементов системы безопасности другими продуктами.

Рассматривая данную формулу, нетрудно заметить, что в случае возникновения противоречия между развитием бизнеса и уязвимостью его информационной системы можно использовать следующие типовые решения:

* создание системы общей защиты  для всей информационной среды  организации, а не для отдельных  модулей. Это может стоить дороже, однако снижаются затраты на  сопровождение и на внедрение новых решений;

* стандартизация решений, что также  позволит снизить стоимость сопровождения  и обеспечения информационной  безопасности;

* снижение требуемого уровня  рентабельности новой услуги;

* применение решений, проверенных  в других организациях.

Но в любом случае, анализируя систему информационной безопасности, к ней следует относиться не как к злу, дополнительным и неоправданным затратам, а как к части общих услуг, предлагаемых клиенту, гарантирующих конфиденциальность его бизнеса и сохранность его денег.

3.2 Аудит информационных  систем

 

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, связанными с широким использованием информационных технологий, которые требуют дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита.

Цели и задачи аудита ИС

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы выполняют следующие задачи:

- осуществляют оценку рисков  ИТ;

- содействуют предотвращению и  смягчению сбоев ИС;

- участвуют в управлении рисками  ИТ, в том числе в ведении  карты рисков;

- помогают подготавливать нормативные документы;

- пропагандируют высокую роль  ИТ для бизнеса;

- помогают связать бизнес-риски  и средства автоматизированного  контроля;

- осуществляют проведение периодических  проверок;

- содействуют ИТ-менеджерам в  правильной организации управления  ИТ;

- осуществляют "взгляд со стороны".

Аудитор информационных систем вне зависимости от того, является ли он внешним или внутренним (приглашенным) специалистом, выступает от имени акционеров и руководства организации. При этом внешние аудиторы больше акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы - на обеспечении эффективности системы внутреннего контроля ИТ.

 

 

 

 

Технология аудита информационных систем

 

Рассмотрим технологию аудита информационных систем в "базовом", наиболее простом понимании. Такой подход может быть применим в небольших и средних организациях.

При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.

С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:

* отказоустойчивость технической  базы, под которой понимают способность  технических средств функционировать  практически без сбоев и остановок;

* степень надежности хранения  данных и возможности их восстановления, включая средства резервного копирования;

* физический доступ к компьютерному  оборудованию, который должен быть  ограничен, так как может стать  причиной несанкционированных действий;

* масштабируемость компьютерных  систем, которая состоит в возможности их наращивания и является залогом их более длительного использования;

* достаточность вычислительной  мощности технических средств  для обработки данных в организации;

* соответствие технической политики  бизнес-задачам организации и  ее экономическая эффективность.

В части контроля за программным обеспечением регулярной проверке подлежат:

- лицензионная чистота программного  обеспечения, так как помимо юридических  проблем при отсутствии лицензий  сопровождение программных продуктов  производителями не осуществляется и это может привести к серьезным сбоям в их работе;

- логическое разграничение прав  доступа к данным на системном  и прикладном уровнях, в том  числе политика информационной  безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;