Научно-практические рекомендации по совершенствованию безопасности банковской системы
Рефераты >> Банковское дело >> Научно-практические рекомендации по совершенствованию безопасности банковской системы

Среди современных средств защиты информации, применяемых в коммерческих банках, немаловажное значение имеет криптографическая защита информации, которая основывается на симметричных и несимметричных (ассиметричных) шифрах, на шифрах и алгоритмах Диффи-Хелмана, на стеганографии, на инфраструктуре открытых ключей (PKI) и на электронных цифровых подписях (ЭЦП).

Количество регистрируемых вирусных атак, особенно в сети Интернет, ежегодно растет. В соответствии с нормативными документами Банка России внедрена и постоянно поддерживается жесткая система обеспечения антивирусной защиты. Она позволяет не допустить проникновения вирусов в платежную систему. Однако, постоянно возникают новые виды угроз(Рис 1). Помимо вирусов, среди наиболее динамично развивающихся систем нарушения банковской безопасности можно выделить следующие:

· СПАМ и Фишинг;

· Фарминг;

· Вишинг.

virus.jpg

Рис. 1. Виды вредоносного ПО, с которым сталкивались участники опроса, проведенного компаниями Softline и Symantec в октябре 2007 года

Причины такого положения дел, как считает старший вирусный аналитик из «Лаборатории Касперского» Виталий Камлюк, заключаются в следующем:

· прибыльность;

· простота исполнения (как с технической, так и с моральной точки зрения);

· низкий уровень риска, связанный прежде всего с экстерриториальностью сети;

· появление новых сервисов, которые выгодно атаковать.

В результате по оценке Виталия Камлюка 96% вредоносного кода является инструментом криминального бизнеса, направленного на кражу информации, рассылку спама, шантаж, атаки на ресурсы конкурентов.

Еще одна важная проблема, которую предстоит решить, связана с критериями, на основании которых можно оценивать реальную защищенность банковских автоматизированных систем. Сегодня действуют нормативные документы Гостехкомиссии РФ, которые основываются на сложившихся в стране подходах к обеспечению информационной безопасности и оценке ее фактического уровня. В то же время мировое финансовое сообщество, частью которого является и Банк России, рекомендует использовать международные стандарты. Между этими двумя системами существуют определенные противоречия, и их, очевидно, в ближайшее время нужно будет снять.

Важное место в системе безопасности Банка России занимает создание инженерно-технических средств охраны объектов и обеспечения сохранности материальных ценностей. Не секрет, что в Центральном банке есть что охранять. В связи с этим на объектах Банка России находят широкое применение самая современная охранная, пожарная и тревожная сигнализация, телевизионная система охраны и наблюдения, лучевые системы, системы контроля и управления доступом. Их применение обеспечивает должный уровень защиты персонала, сохранность средств и материальных ценностей.

Создание подвижной системы управления перевозками, в том числе с использованием спутниковой связи, позволяет обеспечивать контроль за движением ценностей на любое расстояние в любой точке страны. Поэтому на данный вопрос безопасности Банк России также обращает очень серьезное внимание.

Одной из методологических основ совершенствования безопасности банковской системы является планирование бесперебойной деятельности КБ в случае потенциальной угрозы, которая трактуется как, выявление и защита критически важных бизнес-процессов и ресурсов, необходимых для поддержания деятельности организации на нужном уровне, а также разработка процедур, которые обеспечат выживание организации при нарушении её нормальной деятельности.

План обеспечения бесперебойной деятельности банка в случае бедствий (осуществления потенциальных и чрезвычайных угроз) не является только техническим планом — он главным образом предусматривает проведение организационных мероприятий. Поэтому в основу плана должны быть положены сведения о структуре и функциях организации, средствах, необходимых для поддержания её деятельности, величине ущерба от невозможности нормального функционирования, лицах, которые примут на себя управление в кризисной ситуации, и процедурах, которые они будут использовать. Для структуризации процесса разработки плана необходимо использовать соответствующую методологию, что обеспечит учёт всех факторов непрерывности.

Методология состоит из стадий и этапов, в совокупности составляющих жизненный цикл проекта по разработке плана обеспечения непрерывности деятельности банка.

Планирование деятельности банка базируется на следующих основных факторах:

· качестве услуг;

· эффективности работы;

· возможности развития организации.

Во многом оно обеспечивается технологией, принятой в банке. Поэтому важно, чтобы при выявлении критических областей деятельности учитывалась их зависимость от технологических составляющих.

Ранее планы на случай непредвиденных обстоятельств учитывали только бедствия, связанные с компьютерной техникой. Это очень узкий подход. Для обеспечения бесперебойной деятельности необходимо учитывать все взаимосвязанные внешние и внутренние функции, в том числе ручные методы учета и обработки информации.

Наиболее важными факторами, обеспечивающими успех планирования, являются учёт всех мелочей и поэтапная разработка каждого небольшого элемента плана. Должно быть определено, на события какого масштаба рассчитан план. Если организация располагается в районе, где могут возникнуть региональные бедствия, план должен предусматривать возможность прекращения подачи электроэнергии, воды и других коммунальных услуг. В противном случае достаточно учитывать возможность бедствий лишь в масштабе здания и рассчитывать на помощь властей и городских структур.

Необходимо также установить "широту охвата" плана. Она зависит от многих факторов, в частности, от структуры банка, допустимых затрат, количества имеющихся зданий и т.п.

В основу методологии "Планирование бесперебойной деятельности" положен прагматический подход, предусматривающий поддержание критически важных процессов. Защита всех аспектов деятельности организации от пагубных последствий в случае бедствий либо нереальна, либо связана с чрезмерными затратами.

Целями проекта по составлению плана, обеспечивающего бесперебойность и восстановление деятельности банка в случае бедствий, являются:

1. Создание методики оценки бизнес-процессов, которая обеспечит разработку плана с помощью хорошо структурированной и всеобъемлющей методологии.

2. Разработка прагматичного, экономичного и работоспособного плана, который обеспечит бесперебойность критически важных процессов в случае серьёзного нарушения деятельности организации.

3. Минимизация последствий любого бедствия.

Эффективный план обеспечения бесперебойной деятельности является относительно недорогой формой страхования банка от последствий возможных бедствий, и затраты на него должны рассматриваться как составляющая необходимых издержек на поддержание нормальной деятельности. Непременным условием быстрого и успешного восстановления деятельности банка после бедствия является предварительная разработка и регулярное обновление постоянно действующего плана обеспечения бесперебойной деятельности.


Страница: