CC BY
608
Обеспечение информационной безопасности банковской системы Ensuring information security of the banking system
Полетаева К.А.
Студент 2 курса Магистратуры, ф-т экономики и финансов, СЗИУ РАНХиГС РФ, Санкт-Петербург, e-mail: kseniapoletaeva@yandex. ru
Poletaeva K.A.
2nd year student of the Magistracy, faculty of economy and finance, NWIM RANEPA Russia, St. Petersburg, e-mail: kseniapoletaeva@yandex. ru
Аннотация.
В данной статье рассматриваются основные положения и сущность информационной безопасности банковской системы Российской Федерации. Управление системой информационной безопасности является неотъемлемой частью управления любой организации в независимости от ее сферы деятельности, размеров и т.п. В работе дана характеристика основным этапам создания системы обеспечения информационной безопасности, рассмотрены основные подходы для построения системы информационной безопасности и проведения эффективной информационной политики, предусматривающей специфические особенности и отличия информационной банковской системы от информационных систем других организаций, на основе требований последнего отечественного Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации.
Annotation.
This article examines the main provisions and essence of information security of the banking system of the Russian Federation. Management of the information security system is an integral part of the management of any organization, regardless of its scope, size, etc. The paper describes the main stages of the creation of an information security system, examines the main approaches to building an information security system and the conduct of an effective information policy that specifies the specific features and differences of the information banking system from the information systems of other organizations, based on the requirements of the latest domestic Bank of Russia Standard for ensuring information security of organizations of the banking system of the Russian Federation.
Ключевые слова: информационная безопасность, Банк России, банковская система
Key words: Information Security, Bank of Russia, Banking System.
На современном этапе развития информационных технологий становится ясным, что для разработки надежных банковских продуктов и услуг существует необходимость в обеспечении надлежащего уровня их информационной безопасности. Развитие мирового экономического пространства расширяет возможности банковской деятельности. На нынешнем этапе развития экономики банковская система играет ключевую роль в функционировании экономических институтов и в жизни каждого человека, а значит, подвержена повышенному риску информационной безопасности. Проблема изучения и эффективности управления информационной безопасности банковской системы приобрела особую остроту в современных условиях, что объясняется следующими причинами [1]:
• резкий рост масштабов развития электронной инфраструктуры банковской системы;
• значительное увеличение воздействий интенсивно развивающейся электронной инфраструктуры банковской системы на все стороны экономической жизнедеятельности в результате использования электронных платежных систем;
• структурные изменения, происходящие в банковской система, связанные с быстрым развитием финансовых организаций, появлением новых банковских продуктов и услуг, глобализацией финансовых рынков и т.д.
Для обеспечения информационной безопасности следует точно оценить риски, ввести необходимые системы защиты. Обеспечение информационной безопасности в банках — это системный процесс, требующий разработки комплекса мероприятий, которые будут направлены на снижение потерь до минимального уровня и которые уменьшат вероятность наступления риска в будущем.[2] Расширение спектра и рост объемов банковских услуг требует наличие единых подходов, единой терминологии и единых критериев оценки состояния информационной безопасности банков на уровне национальных стандартов - только в этих условиях возможно обеспечить необходимый уровень устойчивости банковской системы.
Факторы, которые следует учитывать при обеспечении информационной безопасности банков:
1. Информация, хранящаяся и обрабатываемая в банках, - это настоящие деньги. При небезопасном доступе к данной информации угрозы информационной безопасности представляют существенную опасность: через средства вычислительной техники могут открываться кредиты, производиться различные выплаты, а также переводиться значительные суммы денег без ведома владельца данного счета. Очевидно, что такое незаконное манипулирование информацией приведет к убыткам различной степени.
2. Информация, которая относится к банковской сфере, касается большого количества людей и организаций, то есть клиентов банков. Банк должен обеспечить приемлемый уровень информационной безопасности, что является приоритетной задачей его деятельности.
3. От того, как клиенту удобно работать с банком, а также от широкого спектра предоставляемых им услуг напрямую зависит конкурентоспособность банка. Именно поэтому банк должен предоставлять возможность быстрого и беспроблемного распоряжения денежными средствами. Однако подобная легкость доступа к денежным активам и увеличивает число злоумышленников, которые проявляют интерес к банковским системам.
4. Банк обязан обеспечить высокую надежность работы информационных систем даже в случае инцидента информационной безопасности, т.к. банк, в отличие от большинства компаний, отвечает не только за свои денежные средства, но и за деньги своих клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации. В целях защиты интересов от угроз, связанных с информационной безопасностью банковской системы Российской Федерации, были созданы отечественные стандарты по информационной безопасности.
Основным документом является стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», где расписаны требования международных стандартов в сфере информационной безопасности с учетом особенностей современной банковской системы России.
Логика стандарта заключается в описании следующих этапов создания системы обеспечения информационной безопасности (рисунок 1).
1. Формирование политики информационной безопасности - подготовка документов и стандартов, определяющих цели, задачи и требования политики информационной безопасности, формулирование на их базе основных положений, регламентов, инструкций для каждой области деятельности банка (вопросы управления антивирусной защиты, обеспечение информационной безопасности на стадиях жизненного цикла АБС).
1
2
3
4
5
Разработка политики информационной безопасности Документы и стандарты, определяющих политику информационной безопасности
Ф
Ф
Управление информационной безапасностью
Ф
I
Определение области действия системы обеспечения информационной безопасностью Документы и инструкции,
отражающие границы системы
Документы, описывающие
Оценка рисков угрозы безопасности,
уязвимости и возможные
результаты
негативного воздействия
Комплексная система обеспечения информационной безопасности
Контроль достижения целей информационной безопасности Организация аудита информационной безопасности,
проведение самооценки информационной безопасности
Рисунок 1. Этапы создания системы обеспечения информационной безопасности.
2. Определение области действия системы обеспечения информационной безопасностью - следует выявить границы системы, для которой должен быть обеспечен режим информационной
безопасности исходя из структуры организации, информационных ресурсов и автоматизированных систем, а также технологий обработки данных и прикладное ПО. По итогам данного этапа должны быть составлены документы и инструкции, отражающие границы системы, перечень ресурсов информационной системы, подлежащие защите.
3. Оценка и обработка рисков информационной безопасности - задача оценки рисков заключается в определении показателей рисков информационной системы и ее ресурсов (рисунок 2). По итогу оценки рисков составляются документы, описывающие угрозы безопасности, уязвимости и возможные результаты негативного воздействия; становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.
4. Управление информационной безопасностью - вырабатывается комплексная система обеспечения информационной безопасности, включающая в себя стандарты и требования к функционированию службы информационной безопасности, обнаружению и реагированию на уязвимости системы [4]. Управление информационной безопасностью - очень важные проблемы в банковской системе. Банковская система подвержена различным опасностям
и неопределённостям и представляет собой очень сложную структуру. В такой атмосфере очень сложно инициировать систему оценки и моделирования основных рисков.
5. Контроль достижения целей политики информационной безопасности - процесс проверки выполнения
установленных требований по обеспечению информационной безопасности по средствам аудита информационной безопасности, проведению самооценки и анализу функционирования системы обеспечения информационной безопасности, принятию решений по тактическим и стратегическим улучшениям системы обеспечения информационной безопасности.
1
Оценка возможных угроз, расчет вероятности наступления риска
Выявление существующих уязвимостей
Определение допустимого уровня риска
Рисунок 2. Алгоритм оценки рисков информационной безопасности.
Доступность информации показывает возможность реализации пользователями информации своих прав доступа. Целостность данных показывает их неизменность при выполнении операций с ними, будь то передача, использование или хранение информации [3]. Конфиденциальность информации представляет собой запрет на её разглашение неуполномоченным лицам без предварительного согласия сторон. Информационная безопасность влияет на стабильность ресурсов и качество предоставляемых услуг. В современном банковском бизнесе именно качество услуг - это один из основных факторов успеха. Низкое качество, в том числе по причине неудовлетворительного обеспечения информационной безопасности, является источником операционных, финансовых и репутационных рисков для банка. Цифровое взаимодействие между пользователем банковскими услугами и финансовой организацией должно быть безопасным, комфортным и доступным по цене.
Задача внедрения процесса обеспечения информационной безопасности в организации должна соответствовать уровню ее организационного и технологического развития. Обеспечение конфиденциальности, целостности и доступности информации можно с уверенностью отнести к необходимым условиям непрерывности бизнеса. Требования к совершенствованию и реализации мер по обеспечению информационной безопасности формулируются на основе определения уровня зрелости этих процессов в организации. Для реализации политики информационной безопасности и
поддержания ее на соответствующем уровне используются группы процессов в виде циклической модели Деминга: «.. -планирование - реализация - проверка - совершенствование - планирование - ..», которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC Ш 27001-2005. Модель зрелости процессов управления информационной безопасностью организации в настоящем стандарте основывается на модели зрелости, определенной стандартом ^Ьй 5, где введены следующие уровни зрелости процессов [5]:
Нулевой уровень - неполный процесс - данный процесс еще не внедрен или же не способен хотя бы частично соответствовать своему назначению, в рамках деятельности организации отсутствуют какие-либо процессы управления информационной безопасностью. Проблема обеспечения информационной безопасности рассматривается управлением организации как исключительно техническая. Отдельной службы информационной безопасности нет. Организационные меры поддержания необходимого уровня безопасности отсутствуют.
Первый уровень - осуществленный процесс - процесс внедрен и соответствует своему назначению, однако имеющиеся процессы обеспечения и управления информационной безопасностью не стандартизованы. Важность обеспечения информационной безопасности организацией осознана и рассматривается как взаимосвязанный комплекс организационных и технических мер.
Второй уровень - управляемый процесс - осуществленный процесс предыдущего - первого - уровня теперь управляем (т. е. планируется, отслеживается и корректируется). Руководством организации утверждены концепция и политика информационной безопасности, план защиты и другие нормативно-методические материалы и должностные инструкции.
Третий уровень - установленный процесс - управляемый процесс, который способен приносить ожидаемые результаты, характеризуется тем, что процессы стандартизованы, задокументированы и доведены до персонала посредством обучения. Разработаны методики анализа рисков информационной безопасности, отвечающие базовому уровню защиты информационной системы. Определены состав и структура службы информационной безопасности.
Четвертый уровень - предсказуемый процесс - установленный процесс теперь получает результаты в условиях заданных ограничений, процессы управления информационной безопасностью находятся в стадии непрерывного совершенствования и основываются на хорошей практике. На этом уровне действия направлены на развитие, улучшение методов обнаружения и реагирования на атаки. Также должны быть внедрены методы профилактики.
Пятый уровень - оптимизируемый процесс - защитные меры в организации используются комплексно, создавая и обеспечивая. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.
В зарубежной практике, в отличие от российской, применение модели зрелости для управления процессами обеспечения информационной безопасности широко распространено. Примером этого может служить серия стандартов ISO27000, которая регулирует вопросы управления информационной безопасности. Очевидно, что перед организацией, осуществляющей деятельность по управлению информационной безопасностью, рано или поздно встает вопрос о том, как выполнять эти требования, в каком объеме и на каком уровне детализации и т.п. Ответить на эти и другие вопросы может помочь модель зрелости, на основе которой будет проводится оценка уровня зрелости процессов.
Список используемой литературы:
1. Йохан Балийон. Современные тенденции в области информационной безопасности банков // Банковское дело. 2014. № 10. С. 60-63.
2. Марданов Р.Х., Ильин И.В. Стандарты информационной безопасности в банковской системе // Вестник Уфимского государственного авиационного технического университета. 2013. Т. 17. № 7. С. 55-60.
3. Пущилин В. Эволюция 1Т-систем — влияние на банковский бизнес // Банковские технологии. 2015. № 4.
4. Ревенков П. В. Управление рисками в условиях электронного банкинга. М.: ИД «Экономическая газета», 2011.
5. Сердюк В. Роль стандартов Банка России в обеспечении информационной безопасности кредитно-финансовых организаций // Бухгалтерия и банки. 2008. № 3.
