Захист інформації в банку: основні загрози і боротьба з ними (частина 1)
Стаття розкриває основні загрози інформаційній безпеці банків. Наведено найважливіші заходи щодо захисту інформації в банку, які необхідно провести для створення ефективної системи захисту.
Загрози інформації в банку.
У зовнішньому середовищі системи поділяють такі види загроз інформації:
Виділяють два основних ознаки походження загроз:
- умисного походження: розкрадання носіїв інформації, підключення до каналів зв'язку, перехоплення електромагнітних випромінювань, несанкціонований доступ, розголошення інформації, копіювання даних і т.д .;
природного походження: нещасні випадки (пожежі, аварії, вибухи), стихійні лиха (урагани, повені, землетруси), помилки в процесі обробки інформації (помилки користувача, оператора, збої апаратно-програмного забезпечення (АПО)) і т.д.
Примітка. Під загрозою (в загальному сенсі) зазвичай розуміють потенційно можлива подія (вплив, процес або явище), яке може привести до нанесення збитку чиїмось інтересам.
У моделі виділяються внутрішні (запобігання загроз, що виходять з внутрішніх джерел) та зовнішні (запобігання загроз, що виходять ззовні) засоби захисту інформації. Зовнішні та внутрішні засоби захисту інформації є складовими частинами системи інформаційної безпеки, що функціонує в банку.
- природні системи (Астрокосмічного, планетарні, фізичні, хімічні, біологічні);
штучні системи (організаційно-економічні та технічні системи, а також мають змішаний характер (наприклад, біотехнічні));
абстрактні системи (символічні (моделі, алгоритми, програми, технологічні карти і т.д.) і описові системи (наприклад, у вигляді уточнень релігійного чи етнічного характеру)).
Примітка. Найбільшими можливостями для нанесення шкоди організації банківської системи Російської Федерації має її власний персонал.
Джерелами внутрішніх загроз системи є її підсистеми і елементи:
Причини виникнення загроз діляться на:
До суб'єктивних причин відносяться:
Розглянемо щодо повне безліч каналів несанкціонованого отримання інформації, сформований на основі такого показника, як ступінь взаємодії зловмисника з інформаційними підсистемами.
До першого класу відносяться канали від джерела інформації при несанкціонованому доступі до нього:
До другого класу відносяться канали зі засобів обробки інформації при несанкціонованому доступі до них:
До третього класу належать канали від джерела інформації без несанкціонованого доступу до нього:
До четвертого класу належать канали зі засобів обробки інформації без несанкціонованого доступу до них:
Примітка. Для успішної роботи з персоналом банку необхідно пам'ятати, що запорукою ефективності даного процесу є дотримання принципів послідовності та безперервності. Залучати до процесу навчання з питань забезпечення інформаційної безпеки доцільно всіх співробітників, що мають відношення до роботи з конфіденційною інформацією.
Повне усунення перерахованих загроз безпеки функціонування інформаційних систем принципово неможливо, але все ж деякі з них можна мінімізувати на етапі проектування.
Примітка. В індійському call-центрі найбільшого британського банку HSBC інсайдер викрав конфіденційну інформацію про рахунки британських клієнтів і передав її спільникам в Сполученому Королівстві. В результаті близько 20 британських клієнтів HSBC позбулися майже 500 тис. дол. США. Збитки ж самого банку склали кілька мільйонів.
Облік загроз і ризиків при проектуванні інформаційних систем.
В основу формування вимог щодо захисту інформації повинні бути покладені визначення переліку та характеристик потенційних загроз інформаційній безпеці і встановлення можливих джерел їх виникнення.
Внутрішніми джерелами загроз інформаційної безпеки функціонування складних інформаційних систем є:
Зовнішніми дестабілізуючими факторами, що створюють загрозу безпеці функціонування об'єктів інформаційної системи, є:
Проектування систем захисту інформації для організації має сприяти зниженню можливих негативних наслідків, пов'язаних з використанням інформаційних технологій, і забезпечити можливість реалізації основних цілей і завдань кредитної організації.
Одним з ефективних способів є інтеграція системи управління ризиками в систему управління життєвим циклом інформаційної системи.
Примітка. Збиток від втрати робочого часу на розбір і читання спаму, за різними оцінками, становить вже 50-200 дол. США на рік у розрахунку на одного співробітника, і ці цифри продовжують рости. Зафіксований обсяг втрат від комп'ютерних злочинів, що здійснюються хакерами, і крадіжки конфіденційної інформації співробітниками компаній обчислюється вже сотнями мільярдів доларів.
CRMdaily.ru (30.05.2011 о 09:21) | вгору сторінки | до списку статей