Научно-практические рекомендации по совершенствованию безопасности банковской системыРефераты >> Банковское дело >> Научно-практические рекомендации по совершенствованию безопасности банковской системы
Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.
Обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты (соглашения, договоры) и(или) должностные инструкции.
Невыполнение работниками организации требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
При формировании требований по обеспечению информационной безопасности рекомендуется рассматривать следующие общие стадии модели жизненного цикла автоматизированных банковских систем:
1. разработка технических заданий;
2. проектирование;
3. создание и тестирование;
4. приемка и ввод в действие;
5. эксплуатация;
6. сопровождение и модернизация;
7. снятие с эксплуатации.
В случае разработки собственной автоматизированной банковской системы следует рассматривать все стадии, а в случае приобретения готовых систем рекомендуется рассматривать стадии 4-7.
Разработка технических заданий и приемка таких систем, а также, ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации, должны осуществляться по согласованию и при участии подразделения (лиц), ответственных за обеспечение информационной безопасности.
Привлекаемые для разработки и(или) производства средств и систем защиты автоматизированной банковской системы на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. Подобные системы и их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз безопасности(источников угроз), а также описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:
· попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;
· возможности ошибок авторизованных пользователей систем;
· возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.
Следует иметь ввиду, что на стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа, а на стадии эксплуатации должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных защитных мер. Результаты выполнения контроля должны документироваться.
В составе автоматизированной банковской системы должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от несанкционированного доступа и средства криптографической защиты информации.
Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.
Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.
Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.
Порядок доступа работников в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться.
Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:
· операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
· проводимых транзакций, имеющих финансовые последствия;
· операций, связанных с назначением и распределением прав пользователей.
Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, электронная цифровая подпись.
Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.
При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия в случае выхода инцидента за рамки отдельной организации банковской системы. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.
Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:
· мониторинга и контроля защитных мер;
· самооценки информационной безопасности.
· аудита информационной безопасности;
· анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства).
Основными целями мониторинга и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:
· контроль за реализацией положений внутренних документов по обеспечению информационной безопасности;
· выявление автоматизированной банковской системе;
· выявление инцидентов информационной безопасности.
Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.
Аудит проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации банковской системы, так и с целью повышения доверия к ней со стороны других организаций. При подготовке к аудиту рекомендуется проведение самооценки информационной безопасности. Она проводится собственными силами и по инициативе руководства организации.