CC BY
166
Борисенко Анна Олеговна
кандидат юридических наук, заместитель начальника учебного отдела Крымского филиала Краснодарского университета МВД России
(e-mail: borisenkoanya@mail.ru)
Управление информационной безопасностью
в банковской системе (по материалам Украины)
В статье исследованы основные проблемы обеспечения информационной безопасности банковской системы, риски в данной сфере в условиях мирового финансового кризиса. На основании проведенного анализа разработаны предложения по усовершенствованию банковской политики в области информационной безопасности банковской системы.
Ключевые слова: информационная безопасность, банковская система, риски, банковская политика.
A.O. Borisenko, Master of Law, Deputy Head of Educational Department of Crimea branch of the Krasnodar University of the Ministry of the Interior of Russia; e-mail: borisenkoanya@mail.ru
Information security management in the banking system (on materials of Ukraine)
The article investigates the main challenges in information security of the banking system and concerns the risks in this area. On the basis of the analysis made, the proposals to perfect effective activity of the banking system and information security protection of the banking system have been introduced.
Key words: information security, banking system, risks, banking policy.
Финансовый кризис 2008-2009 гг. привел к осознанию проблем и слабых мест как в функционировании финансовых институтов, включая банки, так и в регулировании их деятельности. На сегодняшний день в условиях общемирового кризиса и геополитических трансформаций банковская система России нуждается в реформировании в рамках единой политики модернизации экономики, направленной на укрепление внутренней стабильности банковской индустрии, развитие новых финансовых инструментов, интеграцию с другими секторами экономики. Успех государственной политики страны в целом зависит от стабильности ее банковской системы. Как показывает практика, нестабильность банковской системы, кризис банков влекут тяжелые экономические последствия.
Одним из важнейших элементов обеспечения стабильности работы банковской системы, особенно в условиях информационного общества, является информационная безопасность. Актуальность рассматриваемой проблемы связана с тем, что в современном обществе, где важнейшим ресурсом любой компании вполне обоснованно является информация, закономерно встает вопрос об обеспечении информационной безопасности банковской системы.
Целью данного исследования являются анализ существующей системы информационной безопасности банковской системы, рассмотрение основных рисков в данной сфере и формулировка направлений по созданию эффективной системы информационной безопасности банковской системы.
Существенный вклад в исследование банковской системы внесли такие ученые, как Л.К. Воронова, Н.П. Кучерявенко, А.П. Ор-люк, В.П. Пахомов, С.А. Буткевич, А.А. Кочан, М. Берегиня и др. Как справедливо отмечает С.А. Буткевич, сама информация приобрела важность и стала более ценным товаром, что привело к созданию различных способов воздействия на вычислительные системы как с целью хищения или уничтожения информации, так и ее модификации. Спектр таких преступлений - от шантажа до шпионажа, от недобросовестной конкуренции в имущественных преступлениях до имущественных преступлений [1].
С расширением набора операций и сфер деятельности постоянно развивается и сектор информационного рынка, совершенствуется техническое обеспечение, применяются современные информационные технологии, широко используются как зарубежные, так и отечественные средства информатизации. С одной
55
стороны, эти процессы значительно упрощают банковскую деятельность, повышают скорость и качество обслуживания клиентов. С другой -создают предпосылки для резкого роста количества финансовых преступлений [2, с. 25-27].
Безопасность банковской сферы и предпринимательской деятельности является одним из главных условий успешного функционирования бизнеса во всем мире. Практически нет ни одной страны, где бы эту проблему не исследовали и не уделяли ей особое внимание. Особенно остро данная проблема стоит в странах с переходной экономикой, где рыночные механизмы находятся в стадии становления. В этот период часто случаются различные кризисы политического, экономического, социального характера, несовершенным становится законодательство, значительно отстает от реалий жизни менталитет населения. Все это является основой для возникновения различных опасных явлений в предпринимательстве - угрозы его существованию, недобросовестной конкуренции, роста преступности.
При таких обстоятельствах правоохранительные органы не в состоянии эффективно противостоять многочисленным правонарушениям. Объективно формируется необходимость защиты личности и бизнеса силами самих предпринимателей. И одним из основных условий существования и эффективности такой защиты являются нормативно-правовые меры, которые разрабатывает правительство. Мировая практика показывает, что защита частной собственности и предпринимательской деятельности на 70% осуществляется именно на частном уровне, т.е. без монополии со стороны государства.
Следовательно, обеспечение безопасности бизнеса силами частных органов и организаций является закономерным явлением в обществе с рыночными отношениями. В то же время безопасность бизнеса является составной частью национальной безопасности страны, и ей принадлежит соответствующая роль в формировании экономической и социальной политики. Безопасность бизнеса приобретает признаки самостоятельного вида деятельности и нуждается в правовом статусе и регулировании.
С.М. Кушнеренко акцентирует внимание на том, что банки активно применяют технические инновации в таких банковских информационных технологиях, как информационная обработка данных и телекоммуникации, а также инновации в финансовых технологиях, в том числе финансовый инжиниринг и статистиче-
ский анализ при оценке рисков. Большое значение имеет тот факт, что мировая финансовая индустрия была значительно дерегулирована за последние два десятилетия, были сняты географические и экономические ограничения, благодаря чему активизировались процессы слияний и поглощений, что привело к повышению концентрации банковского капитала [3, с. 3-4].
Информационная безопасность, по мнению В.С. Федоровой, должна рассматриваться как составная часть общей безопасности, причем как важная и неотъемлемая ее часть. Разработка концепции информационной безопасности должна обязательно проходить при участии управления безопасностью банка [4, с. 369-371].
Целью обеспечения банковской безопасности является внедрение и эффективное функционирование системы управления информационной безопасностью, которая будет обеспечивать защиту информации и ресурсов банка от внешних и внутренних угроз, а также угроз, связанных с умышленными и непреднамеренными действиями работников банка, обеспечивать непрерывную работу банка, способствовать минимизации рисков операционной деятельности банка и создавать положительную репутацию банку при работе с клиентами.
Система управления информационной безопасностью является современным процессом обеспечения безопасности информационных ресурсов организации, построенным на лучших мировых практиках. Соответствие системы управления информационной безопасностью определенным стандартам гарантирует банку соответствие международным стандартам, позволяет получить соответствующий сертификат.
Внедрение в банках стандартов по управлению информационной безопасностью позволит оптимизировать стоимость построения и поддержания системы информационной безопасности, эффективно выявлять наиболее критические риски и снижать вероятность их реализации, постоянно отслеживать и оценивать риски с учетом всего бизнеса, разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение, эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса, обеспечивать повышение репутации и рыночной привлекательности банков, понимание вопросов информационной безопасности руководством и всеми сотрудниками банка, снизить риски рейдерских и других вредных для банка атак.
56
Следует отметить, что приведенные выше преимущества не будут достигнуты путем лишь «формального» подхода к разработке, внедрению, функционированию системы управления информационной безопасностью и незаинтересованности руководства и работников банка в повышении уровня информационной безопасности.
В каждой стране законодательно определены ограничения и формы доступа к банковской информации: вся информация с ограниченным доступом должна быть надежно защищена; выделяются категории информации с ограниченным доступом (банковская тайна, коммерческая тайна, персональные данные, другая конфиденциальная информация).
С целью обеспечения информационной безопасности банк должен создать максимально подробный и понятный перечень сведений, которые относятся к информации с ограниченным доступом. В этом перечне должны быть описаны виды информации, которые относятся к каждой из категорий информации с ограниченным доступом, что позволит определить работнику банка отношение определенной информации в соответствующей категории.
При приеме на работу работники банка должны собственноручно подписывать обязательства по сохранению банковской тайны. Эти обязательства банк может распространить на все категории информации с ограниченным доступом.
Банк обязан во внутренних положениях установить специальный порядок обращения и ведения делопроизводства с документами, которые содержат информацию с ограниченным доступом, в частности определить порядок подготовки и регистрации исходящих документов, работы с документами, отправления и хранения документов, а также особенности работы с электронными документами, которые содержат информацию с ограниченным доступом.
Мы считаем, что особое внимание следует обратить на маркировку документов с ограниченным доступом. Сокращенные отметки грифа информации с ограниченным доступом должны быть общеизвестными, например: банковская тайна - БТ, коммерческая тайна -КТ и т.п. Не рекомендуется использовать другие буквы для сокращенных обозначений грифа информации, которые не связаны с полным названием грифа и не являются интуитивно понятными.
Банк должен создать перечень критических банковских продуктов, которые обрабатывают информацию с ограниченным доступом, раз-
глашение которой может нанести ущерб банку. В этот перечень должны быть включены все банковские продукты, которые обрабатывают: платежные документы; внутренние платежные документы; кредитные документы; документы на денежные переводы; персональные данные клиентов и сотрудников банка; статистические отчеты; другие документы, которые содержат информацию с ограниченным доступом.
Одной из основных функций банка является обеспечение непрерывности его работы. Банк должен иметь описание принципов и мер по обеспечению непрерывности работы, в котором предоставляет описание процедур и оборудования, а также обязанностей работников банка, в том числе методов резервирования информации для восстановления работы в случае возникновения чрезвычайных ситуаций. В этом документе должны быть определены сроки восстановления работы банка и необходимые ресурсы (в частности, программно-технические средства, оборудование, резервное электропитание и т.д.).
Банк должен регулярно проводить тестирование всех составляющих, необходимых для выполнения плана обеспечения непрерывной деятельности и действий в случае возникновения чрезвычайных ситуаций, в том числе возможность восстановления резервной информации, хранящейся в отдаленном резервном пункте.
Риском информационной безопасности считается вероятность того, что определенная угроза, воздействуя на уязвимости ресурса или группы ресурсов, может нанести ущерб банку. По нашему мнению, управление информационными рисками должно включать оценку рисков с точки зрения их влияния на бизнес и вероятности их появления, анализ и идентификацию рисков, информирование лица, которое вправе принимать решения, и акционеров банка о вероятности и влиянии этих рисков; вероятность и последствия риска должны быть понятными, участие руководства в процессе принятия решений по управлению рисками и его осведомленность о состоянии дел в управлении рисками, установление порядка и приоритетов обработки рисков, установление приоритетов выполнения действий по снижению рисков, эффективный мониторинг и регулярный пересмотр рисков и процесса управления рисками, информирование руководства и персонала относительно рисков и действий по управлению ими.
Совершенствование управления информационной безопасностью не может быть разо-
57
вой акцией. Это фактически является непрерывным процессом разработки, внедрения, функционирования, мониторинга, анализа, поддержания и совершенствования системы управления информационной безопасностью. Для этих процессов должна быть применена модель «планируй - делай - проверяй - действуй».
Понятно, что для проведения этих работ нужны ресурсы, в том числе наличие специалистов по информационной безопасности, наличие со стороны руководства банка полной поддержки и контроля, а также понимание проблем, которые возникают.
Система информационной безопасности должна обеспечить безопасность и надежность функционирования процессов и банковских продуктов банка. Внедрение и функционирование информационной безопасности касается всех подразделений банка и, в первую очередь, руководителей подразделений - владельцев банковских продуктов. Поэтому эти ответственные лица должны принимать участие в решении вопросов, относящихся к сфере их ответственности, при внедрении и функционировании информационной безопасности.
Банк должен разработать план действий для устранения причин потенциальных несоответствий требованиям системы управления информационной безопасности для предотвращения их появления. Осуществленные меры и действия должны соответствовать величине влияния потенциальных проблем. Задокументированная процедура предупреждающих действий должна определить требования к идентификации потенциальных несоответствий и их причин; оцениванию необходимости действий с целью предупреждения появления несоответствий, определения и внедрения необходимых мер действий.
Приоритеты предупреждающих действий должны быть установлены на основании результатов оценки риска.
Угрозы могут быть разнообразными: случайными, преднамеренными, природными, а также могут быть результатом потери любых сервисов. Например, это может быть техногенная авария, кража, терроризм, массовые беспорядки, политическая нестабильность, климатические и метеорологические явления, сейсмические угрозы, электромагнитная радиация, неконтролируемый ремонт, сбои электропитания, небрежность персонала, отказ телекоммуникационного оборудования, нарушение эксплуатации оборудования или программного обеспечения, неавторизованное использование оборудования или программного обеспе-
чения, сбои оборудования, неправильное его использование, удаленный шпионаж, перехват побочных электромагнитных сигналов, подслушивание и др.
Считаем, что особое внимание следует обратить на человеческие источники угроз, которые могут иметь различную мотивацию - от политических причин до простого самоутверждения. Наиболее вероятными и наиболее серьезными можно считать угрозы от собственных работников банка, в том числе угрозы, которые могут возникать от недостаточной осведомленности персонала в вопросах информационной безопасности. К таким угрозам следует отнести хакерские действия вмешательства в систему, взлом, неавторизованный доступ к системе, мошеннические действия, продажу информации, информационную войну, проникновение в систему, черную почту.
Информационная безопасность банка прежде всего зависит от правильной организации работы сотрудников руководством банка и приоритетных действий по защите этой безопасности. Руководство банка должно четко понимать, что информационная безопасность банка является основой жизнедеятельности банка. В банке должен быть создан и постоянно работать руководящий орган по вопросам информационной безопасности, решения которого являются обязательными для выполнения всем персоналом банка.
Мероприятия, направленные на совершенствование информационной безопасности, необходимо разрабатывать подразделениям информационной безопасности и другим подразделениям по соответствующим направлениям деятельности. Постоянный контроль внедрения, выполнения, совершенствования и поддержания безопасности в актуальном состоянии - это приоритетное направление деятельности подразделения информационной безопасности.
Стратегия развития информационных технологий банка, все проекты, связанные с информационными технологиями, должны постоянно совершенствоваться. Каждый работник банка обеспечивает поддержку соответствующего уровня информационной безопасности банка. В пределах своих служебных обязанностей и полномочий работники должны выполнять и отвечать за выполнение требований информационной политики, законодательных, регуляторных и внутрибанковских норм и нести ответственность за их нарушение в соответствии с законодательством Украины и внутрибанковскими нормативными документами.
58
Документы информационной безопасности доступны сотрудникам банка в пределах их полномочий и предназначены оказывать помощь в выполнении требований информационной безопасности. Для уменьшения риска возникновения инцидентов безопасности руководство банка создает работникам условия для систематического обучения нормам и мерам информационной безопасности. В банке разрабатываются, действуют, тестируются и обновляются планы обеспечения бесперебойного функционирования на случай непредвиденных критических ситуаций.
Выполняется работа по поддержке политики информационной безопасности в актуальном состоянии. Политика должна пересматриваться по мере необходимости, но не менее одного раза в год.
Причинами внесения изменений в политику являются изменения в информационной инфраструктуре и внедрение новых информационных технологий, а также изменения в законодательных, регуляторных и других нормах.
Как справедливо отмечает В.С. Федорова, наряду со всеми мерами, направленными на защиту информационной безопасности банка, существуют некоторые проблемы [4]. Прежде всего, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности.
1. Буткевич С.А. Финансовый мониторинг в Украине (организационно-правовые аспекты). Симферополь, 2010.
2. Лесик Д., Ивченко И. Информационная безопасность банковской деятельности: требования международных стандартов // Вестн. НБУ. 2005.
3. Кушнеренко С.М. Оптимизация банковской системы Украины в контексте международного опыта: дис. ... канд. экон. наук. Киев, 2004.
4. Федорова В.С. Информационная безопасность и информационные технологии в банковской сфере / ДонНУЭТ им. Михаила Туган-Барановского. Секция «Современные информационные технологии», подсекция 1. 2013.
Это высококвалифицированные специалисты в своей области, но в основном они слабо знакомы с информационными технологиями.
Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы не анализируется и не обеспечивается на должном уровне. Более того, безопасность информации сплошь и рядом просто не может быть обеспечена в рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней.
Проанализировав мнение ученых и исходя из вышесказанного, можно сделать вывод, что информационная безопасность - это составная, неотъемлемая и важная часть общей безопасности, которая направлена на формирование информационных ресурсов банка, их гарантированной защиты и достигается только созданием в банке системы сбора и обработки информации, проведением соответствующих мероприятий по ее хранению и распределению, определением категорий и статуса банковской информации, порядка и правил доступа к ней, соблюдением всеми работниками, клиентами и акционерами банка норм и правил работы с банковской информацией, своевременным выявлением возможных каналов утечки информации и их пресечением. А управление безопасностью должно контролировать наличие надлежащих способов разграничения доступа к информации в системе, которая приобретается.
1. Butkevich S.A. Financial monitoring in Ukraine (organizational and legal aspects): monograph. Simferopol, 2010.
2. Lesik D., Ivchenko I. Information security banking: the requirements of international standards // Bull. of National Bank of Ukraine. 2005.
3. Kucherenko S.M. Optimization of the Ukrainian banking system in the context of international experience: diss. ... Master of Economy. <iev, 2004.
4. Fedorova KS. Information security and information technology in banking sphere / Donetsk National University named after Mikhail Tugan-Baranovsky. The section «Modern information technologies», subsection 1. 2013.
59
