Современные информационные технологии/4. Информационная безопасность
Шклярова
А.А., Палагута Е.А.
Донецкий
национальный университет экономики и торговли имени М. Туган-Барановского
Стандарт информационной безопасности банка
Вопросам
информационной безопасности в банковской сфере с каждым годом уделяется все
больше внимания. Отчасти это обусловлено тем, что банковский бизнес стал
зависимым от информационных технологий. Современная финансово-банковская
система является одним из самых крупных потребителей телекоммуникационных и
ИТ-решений. И требования к ним с точки зрения качества и уровня развития
применяемых технологий предъявляются очень жесткие. Кроме того, сокращение внутренних издержек банка хотя
бы на 2 – 3 % дает очень большой эффект для повышения его доходности. А широкое
применение электронных технологий позволяет существенно снизить издержки.
Для оценки
устойчивости банка применяется определенная система оценки операционных рисков.
Так, одним из операционных рисков является риск угрозы информационной
безопасности, который зависит от того, насколько хорошо организована в банке
информационная защита.
Согласно
требованиям, у банка должно быть не менее двух независимых телекоммуникационных
провайдеров, не имеющих аффилированности. Более того, проложенные ими кабельные
линии должны быть разнесены по разным трассам. Перечисленные и многие другие
требования к информационной среде банков стали частью системы обеспечения
информационной безопасности банка, которая зафиксирована в стандартах.
Стандарты
– это общие нормативы, которым должны соответствовать все банки. Но технические
реализации стандарта могут быть разными. Все зависит от того, какая
технологическая база используется в конкретном банке. На рынке работают десятки
фирм – поставщиков оборудования для локальных вычислительных сетей, баз данных,
средств управления и средств защиты информации. Так что спектр вариантов
технических решений достаточно широк. В целом, для выстраивания стратегии
защиты должны быть созданы модель угрозы и модель потенциального нарушителя.
Это два документа, необходимых для реализации банковского стандарта [1].
Стандарт разрабатывается
в течение нескольких лет. Существующие зарубежные документы и стандарты, лучшие
мировые практики, касающиеся защиты банковской информации, управления информационными
ресурсами и т. д., анализируются и перерабатываются с учетом норм законодательства
для каждого государства в отдельности.
Развитие
банковских услуг и банковского бизнеса в целом напрямую связано с развитием информатизации
и телекоммуникаций. Так как банковский сектор крупнейший и самый взыскательный потребитель современных
информационных и телекоммуникационных услуг, то требования к информационной безопасности, которые непосредственно
связаны с информационным и телекоммуникационным оснащением банковской сферы,
будут повышаться, а системы информационной безопасности – усложняться.
Действующие
сегодня в Украине требования к защите информации, являющейся собственностью
государства, существенно различаются в зависимости от правового режима доступа
к обрабатываемой информации. Это может быть открытая или конфиденциальная
информация, а также информация, составляющая государственную тайну.
Соответственно, критерии для построения систем защиты в этих случаях разные.
В период
разработки нормативно – правовой базы она соответствовала мировым стандартам.
Понадобилось время, чтобы система технической защиты информации у нас в стране
«прижилась». Однако рынок успел уйти далеко вперед. Для модификации же
отечественных стандартов требуется время.
Важным шагом
на пути совершенствования правовой базы защиты информации стало принятие
Верховной Радой Украины новой редакции Закона Украины «О защите информации в
информационно-телекоммуникационных системах»[2].
В коммерческом
секторе учитываются все последние тенденции. Ведь многие компании уже выходят
на рынок первичного размещения акций, банки участвуют в работе международных
платежных систем. Таким образом, актуальны мировые стандарты в области
информационной безопасности — ISO 27001, ISO 15408, безопасности платежных
систем PCI DSS.
PCI-DSS
(Payment Card Industry Data Security Standard) – это стандарт, показывающий,
как должна работать система по обеспечению безопасности в системах карточных
платежей. И для выполнения этих требований предлагается целый набор продуктов,
в том числе Sentinel – решение, которое осуществляет мониторинг событий
информационной безопасности. Стандарт PCI-DSS имеет сложную структуру и
включает в себя 12 основных требований, которые подразделяются на более чем 160
регламентирующих предписаний. Эти предписания охватывают аспекты от построения
и поддержки безопасного сетевого окружения до регулярного мониторинга и аудита
ваших сетей и политик обеспечения безопасности информации. Кроме них учитываются
требования по безопасности общих стандартов в сфере ИТ: ITIL, Cobit и другие. В
частности, в Украине сейчас востребована услуга по проведению аудита на
соответствие стандарту ISO 27001. Многие компании ориентируются на соответствие
Basel II, акту Сарбанеса-Оксли (SOX). Соответствие международным стандартам
упрощает для банков выход на мировой рынок, повышает их капитализацию[3].
Стандарты
CobiT, ISO 27001, IТIL, другие нормы Нацбанк Украины начинает потихоньку
перенимать, использовать их в качестве основы для разрабатываемых и
продвигаемых собственных стандартов. Конечно, пройдет не один год, пока они
приживутся и интегрируются в отрасль.
Выстраивая
систему информационной безопасности, банку необходимо оценивать существующие
риски. У каждого банка имеются свои особенности, потому системы информационной
безопасности строятся индивидуально, и каждый сам для себя определяет, в защиту
от каких рисков нужно вложить средства, а какие риски не являются существенными
с точки зрения бизнеса. Выбор конкретных средств защиты – индивидуальная задача
каждого банка.
Появление в
работе банка любого нового технологического процесса связано с определенными
рисками, которые нужно оценить и создать механизмы по их управлению и
блокированию. Стандарт информационной безопасности как раз и создает основу для
управления рисками, а для банков это самое главное.
Литература:
1. Доля А.В. Проблемы ИТ-безопасности в банковском
секторе // Банковские технологии. — 2005. — N 10. — С. 57-62.
2. http://ko-online.com.ua/node/35152
3.http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1394