1. Загрози інформації в банку.
2. Облік загроз і ризиків при проектуванні інформаційних систем.

Стаття розкриває основні загрози інформаційній безпеці банків. Наведено найважливіші заходи щодо захисту інформації в банку, які необхідно провести для створення ефективної системи захисту.

Загрози інформації в банку.

У зовнішньому середовищі системи поділяють такі види загроз інформації:

Виділяють два основних ознаки походження загроз:

умисного походження: розкрадання носіїв інформації, підключення до каналів зв'язку, перехоплення електромагнітних випромінювань, несанкціонований доступ, розголошення інформації, копіювання даних і т.д .;
природного походження: нещасні випадки (пожежі, аварії, вибухи), стихійні лиха (урагани, повені, землетруси), помилки в процесі обробки інформації (помилки користувача, оператора, збої апаратно-програмного забезпечення (АПО)) і т.д.

Примітка. Під загрозою (в загальному сенсі) зазвичай розуміють потенційно можлива подія (вплив, процес або явище), яке може привести до нанесення збитку чиїмось інтересам.

У моделі виділяються внутрішні (запобігання загроз, що виходять з внутрішніх джерел) та зовнішні (запобігання загроз, що виходять ззовні) засоби захисту інформації. Зовнішні та внутрішні засоби захисту інформації є складовими частинами системи інформаційної безпеки, що функціонує в банку.

природні системи (Астрокосмічного, планетарні, фізичні, хімічні, біологічні);
штучні системи (організаційно-економічні та технічні системи, а також мають змішаний характер (наприклад, біотехнічні));
абстрактні системи (символічні (моделі, алгоритми, програми, технологічні карти і т.д.) і описові системи (наприклад, у вигляді уточнень релігійного чи етнічного характеру)).

Примітка. Найбільшими можливостями для нанесення шкоди організації банківської системи Російської Федерації має її власний персонал.

Джерелами внутрішніх загроз системи є її підсистеми і елементи:

Причини виникнення загроз діляться на:

До суб'єктивних причин відносяться:

Розглянемо щодо повне безліч каналів несанкціонованого отримання інформації, сформований на основі такого показника, як ступінь взаємодії зловмисника з інформаційними підсистемами.

До першого класу відносяться канали від джерела інформації при несанкціонованому доступі до нього:

До другого класу відносяться канали зі засобів обробки інформації при несанкціонованому доступі до них:

До третього класу належать канали від джерела інформації без несанкціонованого доступу до нього:

До четвертого класу належать канали зі засобів обробки інформації без несанкціонованого доступу до них:

Примітка. Для успішної роботи з персоналом банку необхідно пам'ятати, що запорукою ефективності даного процесу є дотримання принципів послідовності та безперервності. Залучати до процесу навчання з питань забезпечення інформаційної безпеки доцільно всіх співробітників, що мають відношення до роботи з конфіденційною інформацією.

Повне усунення перерахованих загроз безпеки функціонування інформаційних систем принципово неможливо, але все ж деякі з них можна мінімізувати на етапі проектування.

Примітка. В індійському call-центрі найбільшого британського банку HSBC інсайдер викрав конфіденційну інформацію про рахунки британських клієнтів і передав її спільникам в Сполученому Королівстві. В результаті близько 20 британських клієнтів HSBC позбулися майже 500 тис. дол. США. Збитки ж самого банку склали кілька мільйонів.

Облік загроз і ризиків при проектуванні інформаційних систем.

В основу формування вимог щодо захисту інформації повинні бути покладені визначення переліку та характеристик потенційних загроз інформаційній безпеці і встановлення можливих джерел їх виникнення.

Внутрішніми джерелами загроз інформаційної безпеки функціонування складних інформаційних систем є:

Зовнішніми дестабілізуючими факторами, що створюють загрозу безпеці функціонування об'єктів інформаційної системи, є:

Проектування систем захисту інформації для організації має сприяти зниженню можливих негативних наслідків, пов'язаних з використанням інформаційних технологій, і забезпечити можливість реалізації основних цілей і завдань кредитної організації.

Одним з ефективних способів є інтеграція системи управління ризиками в систему управління життєвим циклом інформаційної системи.

Примітка. Збиток від втрати робочого часу на розбір і читання спаму, за різними оцінками, становить вже 50-200 дол. США на рік у розрахунку на одного співробітника, і ці цифри продовжують рости. Зафіксований обсяг втрат від комп'ютерних злочинів, що здійснюються хакерами, і крадіжки конфіденційної інформації співробітниками компаній обчислюється вже сотнями мільярдів доларів.