студенти 4к Піскун А.В.,Мохур Д.В.

Національний авіаційний університет, Україна

Принципи та особливості інформаційної безпеки  систем банківських установ

При активному використанні інформаційної глобальної мережі виникають проблеми, пов'язані з інформаційною безпекою. Її ключовими напрямками є захист комерційної інформації при її передачі по каналах зв'язку, надійність довгострокового зберігання даних в електронному вигляді, контроль доступу до інформації, в тому числі і через Інтернет, запобігання несанкціонованого доступу до інформації, ідентифікація її користувачів. Діяльності і процвітання будь-якого банку безпосередньо залежить від того з якою швидкістю здійснюється обмін інформацією усередині нього і на скільки добре побудована система безпеки.

Якщо інфраструктура банку дає збої, то наслідки катастрофічні. Банк може втратити не тільки базу клієнтів, але і їхню довіру. Зіткнення з цією проблемою призвело до створення нових систем захисту інформації.

Заходи по захисту банківської інформації від несанкціонованого доступу повинні носити комплексний характер, тобто об'єднувати різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні). Одним із потужних засобів захисту банківської інформації є криптографічні методи захисту інформації.

Захист інформації банку включає в себе проведення цілого комплексу заходів - від аудиту інформаційної безпеки і до створення систем захисту підрозділів банку. Фахівці цієї галузі здатні створити як окремий модуль безпеки, так і повноцінну надійну централізовану систему захисту інформації.

При створенні системи захисту банку, фахівці враховують всіх можливих ситуацій витоку даних.

Одним із способів захисту інформації банку є контроль проходження та реєстрації конфіденційної інформації.

Усередині банку інформація проходить різними способами. Вона може передаватися в роздрукованому вигляді, а може і в електронному. Як правило, користувачі сприймають стіни будівлі як надійний захист, що є одним з найпоширеніших помилок.

Для захисту даних банку використовують системи ідентифікації, що визначають наявність прав доступу до інформації. Для цього використовують систему паролів для входу в локальну мережу банку. Вони можуть бути обрані користувачем, згенеровані системою або присвоюватися йому адміністратором з безпеки. Існують також пластикові картки доступу з чіпом.

Забезпечення безпеки є невід'ємною складовою частиною діяльності банку. Стан захищеності являє собою вміння і здатність надійно протистояти будь-яким спробам кримінальних структур або недобросовісних конкурентів завдати шкоди законним інтересам банку.

Концепція безпеки банківської системи визначає цілі та завдання системи безпеки, принципи її організації, функціонування та правові основи, види загроз безпеки і ресурси, які підлягають захисту, а також основні напрямки розробки системи безпеки, включаючи правову, організаційну та інженерно-технічний захист.

Положення концепції можуть служити методичними рекомендаціями для керівників структур та служб безпеки при визначенні політики в галузі забезпечення безпеки.

Головною метою системи безпеки є забезпечення сталого функціонування банку і запобігання погроз його безпеки, захист законних інтересів від протиправних посягань, охорона життя та здоров'я персоналу, недопущення розкрадання фінансових і матеріально-технічних засобів, знищення майна і цінностей, розголошення, витоку і несанкціонованого доступу до службової інформації, порушення роботи технічних засобів забезпечення безпеки банківської інфраструктури

Завданнями  та цілями системи безпеки є:

- Формування цілісного уявлення про систему безпеки банку і взаємозв'язок  різних елементів цієї системи, визначення шляхів реалізації заходів, що забезпечують необхідний рівень надійної захищеності об'єктів;

- Підвищення іміджу банку та зростання прибутку за рахунок забезпечення високої якості надаваних послуг і гарантій безпеки майнових прав та інтересів.

- Прогнозування та своєчасне виявлення і усунення загроз безпеки персоналу та ресурсів банку; причин і умов, що сприяють нанесенню фінансового, матеріального і морального збитку, порушення його нормального функціонування та розвитку;

- Віднесення інформації до категорії обмеженого доступу (державної, службової, банківської та комерційної таємниць, іншої конфіденційної інформації, що підлягає захисту від неправомірного використання), а інших ресурсів - до різних рівнів небезпеки та підлягають збереженню;

- Створення механізму та умов оперативного реагування на загрози безпеці і прояв негативних тенденцій у функціонуванні банку; - ефективне припинення загроз персоналу і зазіхань на ресурси на основі правових, організаційних та інженерно-технічних заходів і засобів забезпечення безпеки;

- Створення умов для максимально можливого відшкодування та локалізації завдається шкоди неправомірними діями фізичних та юридичних осіб, ослаблення негативного впливу наслідків порушення безпеки банку.

Організація і функціонування системи безпеки повинні відповідати таким принципам:

1. Принцип комплексності:

- Забезпечення безпеки персоналу, матеріальних і фінансових ресурсів від можливих загроз усіма доступними законними засобами, методами і заходами;

- Забезпечення безпеки інформаційних ресурсів протягом всього їх життєвого циклу, на всіх технологічних етапах їх обробки (перетворення) і використання, у всіх режимах функціонування;

- Здатність системи до розвитку і вдосконалення відповідно до змін умов функціонування банку.

Комплексність досягається:

- Забезпеченням відповідного режиму та охорони;

- Організацією спеціального діловодства з орієнтацією на захист банківських секретів;

- Заходами щодо добору і розстановки кадрів;

- Широким використанням технічних засобів безпеки та захисту інформації;

- Розгорнутої інформаційно-аналітичної та детективною діяльністю.

2. Принцип своєчасності

Своєчасність передбачає постановку завдань по комплексній безпеки на ранніх стадіях розробки системи безпеки на основі аналізу та прогнозування економічної обстановки, погроз безпеки, а також розробку ефективних заходів попередження посягань на законні інтереси банку.

3. Принцип безперервності

Вважається, що зловмисники тільки й шукають можливість, як би обійти захисні заходи, вдаючись для цього до легальним і нелегальним методам.

4. Принцип активності

Захищати інтереси банку необхідно з достатнім ступенем наполегливості, широко використовуючи маневр силами і засобами забезпечення безпеки і нестандартні заходи захисту.

5. Принцип законності

Принцип законності передбачає розробку системи безпеки на основі державного законодавства в галузі підприємницької діяльності, інформатизації і захисту інформації, приватної детективної діяльності та інших нормативних актів з безпеки, затверджених органами державного управління в межах їх компетенції, із застосуванням всіх дозволених методів виявлення і припинення правопорушень.

6. Принцип обґрунтування

Використовувані можливості і засоби безпеки мають бути реалізовані на сучасному рівні розвитку науки і техніки, обґрунтовані з точки зору заданого рівня безпеки та відповідати встановленим вимогам і нормам.

7. Принцип економічності

Мається на увазі економічна доцільність і порівнянність можливого збитку і витрат на забезпечення безпеки (критерій «ефективність - вартість»). У всіх випадках вартість системи безпеки повинна бути менше розміру можливого збитку від будь-яких видів загроз.

8. Принцип спеціалізації

Передбачається залучення до розробки та впровадження заходів і засобів захисту спеціалізованих організацій, найбільш підготовлених до конкретного виду діяльності із забезпечення безпеки, що мають досвід практичної роботи і державну ліцензію на право надання послуг у цій галузі. Експлуатація технічних засобів і реалізація заходів безпеки повинні здійснюватися професійно підготовленими фахівцями служби безпеки, а також функціональних і обслуговуючих підрозділів.

9. Принцип взаємодії та координації

Означає здійснення заходів забезпечення безпеки на основі чіткого взаємозв'язку відповідних підрозділів і служб банку, сторонніх спеціалізованих організацій у цій галузі, координації їх зусиль для досягнення поставлених цілей, а також співробітництва із зацікавленими об'єднаннями та взаємодії з органами державного управління та прав охоронними органами.

10. Принцип вдосконалення

Передбачає вдосконалення заходів і засобів захисту на основі власного досвіду, появу нових технічних засобів з урахуванням змін в методах і засобах розвідки і промислового шпигунства, нормативно-технічних вимог, досягнутого вітчизняного та зарубіжного досвіду.

Вся комерційна інформація, що зберігається і оброблювана в кредитних організаціях, піддається самим різноманітним ризикам, пов'язаним з вірусами, виходом з ладу апаратного забезпечення, збоями операційних систем і т.п. Але ці проблеми не здатні завдати скільки-небудь серйозної шкоди. Щоденне резервне копіювання даних, без якого немислима робота інформаційної системи будь-якого підприємства, зводить ризик безповоротної втрати інформації до мінімуму. Крім того, добре розроблені і широко відомі способи захисту від перерахованих загроз. Тому на перший план виходять ризики, пов'язані з несанкціонованим доступом до конфіденційної інформації (НСД). поширені три способи крадіжки конфіденційної інформації. По-перше, фізичний доступ до місць її зберігання і обробки. Тут існує безліч варіантів. Наприклад, зловмисники можуть забратися в офіс банку вночі і вкрасти жорсткі диски з усіма базами даних. Можливий навіть озброєний наліт, метою якого є не гроші, а інформація. Не виключена ситуація, коли сам співробітник банку може винести носій інформації за межі території.

Банки традиційно приділяють дуже велику увагу фізичної безпеки операційних відділень, відділень зберігання цінностей і т.п. Все це знижує ризик несанкціонованого доступу до комерційної інформації шляхом фізичного доступу. Однак офіси банків і технічні приміщення, в яких розміщуються сервери, за ступенем захисту зазвичай не відрізняються від офісів інших компаній.

На сьогодні існують продукти, покликані мінімізувати ризики, пов'язані з несанкціонованим доступом до резервних копій. Такі апаратні рішення забезпечують надійний захист системи, у тому числі і надійне шифрування інформації, і висока швидкість роботи. Однак  володіють трьома істотними недоліками, які не дозволяють використовувати їх у банках. Перший: дуже висока вартість (десятки тисяч доларів). Другий: можливі проблеми c ввезенням в країну. Третій мінус полягає в неможливості підключити до них зовнішні сертифіковані криптопровайдери ,а також можливість роботи тільки зі «своїм» ПЗ або накопичувачем  .

Підбиваючи вище сказане ,можна зробити висновок, що хоч і проблема функціонування системи безпеки банківських установ і стоїть на досить високому рівні ,  на  сьогоднішній день у світі  існують досить немало загроз,пов'язаних  з несанкціонованим доступом до інформації

В ідеальному випадку система інформаційної безпеки банку повинна бути єдиною. Тобто всі підсистеми повинні інтегруватися в існуючу інформаційну систему і, бажано, мати загальне управління. В іншому випадку неминучі підвищені трудовитрати на адміністрування захисту і збільшення ризиків через помилки в управлінні.

Література

1.            Зубок М. І. Безпека банківської діяльності: Навчальний посібник. -К.: КНЕУ, 2002.   

2.            Комп’ютерна злочинність. Навчальний посібник. – Київ: Атіка, - 2008.

3.            Савченко А.К. Інформаційна безпека банків: шляхи розв'язання проблеми-К.,2010 .