Рекомендації та принципи забезпечення інформаційної безпеки

Банківська безпека — один з основних елементів менеджменту, має багатофункціональний та комплексний характер.

Основними принципами забезпечення інформаційної безпеки банківських систем є:

• 1. Постійний і всебічний аналіз інформаційної системи з метою виявлення уразливості інформаційних активів банку та підприємства.
• 2. Своєчасне виявлення проблем, потенційно здатних вплинути на інформаційну безпеку банку та підприємства, корегування моделей загроз і порушника.
• 3. Розробка і впровадження заходів захисту, адекватних характеру виявлених загроз, з урахуванням витрат на їх реалізацію і сумісності цих заходів з діючим банківським технологічним процесом. При цьому заходи, що приймаються для забезпечення інформаційної безпеки, не повинні ускладнювати досягнення статутних цілей банку та підприємства, а також підвищувати трудомісткість технологічних процесів обробки інформації і створювати додаткові складності для клієнтів.
• 4. Контроль ефективності впроваджених заходів захисту.
• 5. Персоніфікація та розподіл ролей і відповідальності між користувачами інформаційної системи банку чи підприємства, виходячи з принципу персональної і одноосібної відповідальності за здійснені операції.
• 6. Принцип «чотирьох очей», коли критичні операції та дії здійснюються або підтверджуються мінімум двома уповноваженими особами.
• 7. Знання банком чи підприємством своїх клієнтів і персоналу [13].

Виходячи з вищесказаного можна розробити деякі рекомендації:

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов’язково проходити при участі управління безпекою банку. У цій концепції варто передбачати не тільки міри, зв’язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифікації, «брандмауери» для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.

• 2. Необхідна участь співробітників управління безпекою на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпекою повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається
• 3. Ставитися особливо обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам розробленим програмістами самого банку.

Одна з систем, що забезпечує захист інформації - це DLP (Data Loss Prevention) — система та інші засоби, що захищають від витоків, перекривають або контролюють ті чи інші канали, по яким інформація може покинути інформаційну систему, такі як мережеві з'єднання по різних протоколах, відчужувані носії інформації, мобільні комп’ютери, принтери і т.д.

Сьогодні банки використовують спеціальні програмні комплекси зі сканування рівня інформаційної захищеності комп’ютерних мереж. Серед таких комплексів виступають спеціалізована мова Vulnerabіlіty Descrіptіon Language, Іnternet SafeSuіt (Іnternet Securіty Systems) та ін.

Для контролю за виходом банківської інформації через «зломи» інформаційних мереж комп’ютерними злочинцями використовують відповідне програмне забезпечення.

Нині на ринку представлена достатня кількість програмного забезпечення, що відноситься до категорії засобів пошуку «злому» мереж. [15] Це:

• 1. Internet Security Scanner (фірма Internet Security Systems).
• 2. netRecon (фірма Axent).
• 3. netProbe (фірма Qualix).
• 4. Ballista (фірма Secure Networks).
• 5. netGuard (фірма Network Guardians).
• 6. netSonar (фірма WheelGroup).