Проверка и оценка информационной безопасности проводится
путем выполнения следующих процессов:
·
мониторинга и контроля защитных мер;
·
самооценки информационной безопасности.
·
аудита информационной безопасности;
·
анализа функционирования системы обеспечения информационной
безопасности (в том числе со стороны руководства).
Основными целями мониторинга и контроля защитных мер являются
оперативное и постоянное наблюдение, сбор, анализ и обработка данных под
заданные цели. Такими целями анализа могут быть:
·
контроль за реализацией положений внутренних документов по обеспечению
информационной безопасности;
·
выявление автоматизированной банковской системе;
·
выявление инцидентов информационной безопасности.
Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.
Аудит проводится внешними, независимыми проверяющими организациями
как для собственных целей самой организации банковской системы, так и с целью
повышения доверия к ней со стороны других организаций. При подготовке к аудиту
рекомендуется проведение самооценки информационной безопасности. Она проводится
собственными силами и по инициативе руководства организации.
Анализ функционирования система обеспечения информационной
безопасности проводится персоналом организации, ответственным за ее обеспечение,
а также руководством, в том числе на основании подготовленных для руководства
документов (данных).
Основными целями проведения анализа функционирования системы
обеспечения информационной безопасности являются:
·
оценка ее эффективности;
·
оценка ее соответствия требованиям законодательства Российской Федерации
и стандартов Банка России;
·
оценка ее соответствия существующим и возможным угрозам;
·
оценка следования принципам и выполнения требований по обеспечению
информационной безопасности, закрепленным в политике безопасности организации,
а также в иных внутренних документах.
1.2. Апробация
методических положений
В
последние пятнадцать лет в Российской Федерации реализован ряд практических мер
по повышению уровня банковской безопасности. Благодаря скоординированным усилиям
законодателей, Правительства РФ и Банка России сформирована в целом система
нормативного правового и организационного обеспечения банковской безопасности,
осуществлены практические мероприятия по совершенствованию мер безопасности в
самих банках. Вместе с тем уровень банковской безопасности в современной России
не соответствует объективным потребностям, и состояние защиты банков от преступных
посягательств оставляет желать лучшего.
Представляется,
что повышение уровня защищенности банков от криминальных посягательств на
нынешнем этапе непосредственно связано с необходимостью научной проработки
проблемы и получения более полных представлений о механизмах обеспечения
безопасности банка, в том числе об особенностях организации и функционирования
системы защиты банка, обеспечения безопасности новых направлений банковской
деятельности и новых банковских технологий.
Ведущим
субъектом обеспечения защиты российских банков от противоправных посягательств
является государство. Это обусловлено его конституционными обязательствами,
гарантирующими защиту всех форм собственности (см. ст. 8, 35 и 114 Конституции
РФ), поэтому именно государство должно выступать главным заказчиком
исследований в области безопасности банковской деятельности. В действительности
это не так. Своеобразие ситуации заключается в том, что государство взяло на
себя в основном функции уголовно-правового и административного пресечения
противоправных посягательств в банковской сфере. Основную же работу по
организации системы выявления и предупреждения криминальных посягательств
такого рода законодатель возложил преимущественно на сами банки.
Требования
о принятии банками мер защиты своего имущества и инфраструктуры содержатся в
ряде федеральных законов и нормативных актов Банка России. Именно банк должен
обеспечивать своими силами и средствами безопасность банковских операций, охрану
имущества, защиту информации (банковской тайны, иных сведений конфиденциального
характера, компьютерной информации) и информационной инфраструктуры, защиту
системы кадрового обеспечения, личную безопасность руководства и персонала
банка. Понятно, что организация столь обширной и разноплановой работы требует
соответствующего научного и методического обеспечения. По этой причине
банковское сообщество России весьма заинтересовано в теоретических разработках
и практических рекомендациях в сфере банковской безопасности.
В
последние годы отечественные ученые провели ряд исследований, касающихся преступлений
в сфере банковской деятельности. Однако большинство этих исследований
по-прежнему адресовано правоохранительным органам и не затрагивает вопросов
участия самих банков в борьбе с преступлениями и создания ими систем
безопасности.
Структурирование
понятия безопасности банка позволяет представить в общем виде сложность задач
построения системы банковской защиты. Функционирование многоуровневой системы
защиты обеспечивается применением мер правового, организационного, сыскного,
криминалистического характера.
Создание
такой системы защиты на практике связано с решением широкого и разнопланового
набора проблем. В их числе задачи разработки стратегии и тактики обеспечения
безопасности банка; структурирование и уточнение целей и задач обеспечения
безопасности; разработка комплекса основных мер, направленных на достижение
указанных целей; подготовка предложений по совершенствованию правового,
нормативно-методического, научно-технического и организационного обеспечения
безопасности; разработка целевых криминалистических программ защиты имущества и
инфраструктуры банка.
Чтобы
"не потерять" ни одного из названных направлений деятельности, четко
сформулировать их конечные цели, обеспечить необходимую последовательность действий,
выявить все последствия и взаимосвязи каждого частного решения, необходим
способ формализации сведений, соответствующий уровню возникающих задач.
Формализованное описание проблем защиты позволяет, кроме того, выявить скрытые
от поверхностного взгляда новые связи между факторами угроз и деятельностью по
обеспечению безопасности банка.
Наиболее
удачным способом системного изложения сведений о проблемах обеспечения
безопасности банка и способах их решения является применение такой широко распространенной
в настоящее время формы, как концепция. Именно концепция безопасности банка
должна служить методологической основой для обеспечения безопасности банка,
решения тактических и методических задач ее практической реализации.
В
настоящее время, пожалуй, не найдется банка, который не обладал бы собственной
концепцией безопасности, изложенной в той или иной форме. Однако изучение
указанных документов свидетельствует о различном качестве их проработки.
Некоторые из них содержат существенные погрешности методологического плана.
Наиболее
"весомым" из названной категории документов, несомненно, является
"Концепция безопасности коммерческого банка", разработанная в 1995 г.
группой ученых и специалистов по заказу Ассоциации российских банков. Названная
концепция представляет собой научно обоснованную систему взглядов на основные
направления, условия и порядок практического решения задач защиты банковского
дела от противоправных действий и недобросовестной конкуренции. В целом
концепция явилась шагом вперед в деле системного осмысления проблем
безопасности банка, однако время потребовало обновления данной концепции и
дополнения ряда ее положений. Усилия в этом направлении предприняты в изданной
в 2003 г. работе "Концепция и система безопасности банка"( Гамза В.А., Ткачук И.Б. Концепция и система
безопасности банка. — М.: Издатель Шумилова И.И., 2003). Необходимо отметить,
что любая типовая концепция безопасности является своего рода моделью с
определенной степенью обобщения. Из этого следует, что практическое применение
такой модели предполагает ее предварительную "подгонку" к специфике
деятельности конкретного банка. Вместе с тем существует обязательный набор
элементов системы обеспечения безопасности, которые должны быть отражены именно
в концепции безопасности любого банка.
Изучение
задач, вытекающих из действующего законодательства и иных нормативных правовых
актов, разработок в области криминалистики и результатов практической деятельности
по обеспечению безопасности банков приводит к выводу о том, что создатели концепции
должны включить в нее, как минимум, пять основных разделов. В их числе:
·
основы формирования и функционирования системы безопасности банка
(понятия и определения в системе банковской безопасности, принципы обеспечения,
силы и средства, основы организации системы безопасности);
·
система правового обеспечения банковской безопасности;
·
концептуальное проектирование системы безопасности банка (объекты
защиты, основные виды посягательств, субъекты правоотношений в области
обеспечения банковской безопасности);
·
рабочее проектирование системы безопасности банка (организационно-правовые
вопросы создания системы безопасности, организация службы безопасности);
·
управление деятельностью службы безопасности банка.
Применение
при разработке концепции системного подхода позволяет избежать типичных ошибок
(перекосов и пробелов) в организации защиты конкретных направлений и элементов
безопасности банка. К числу таких ошибок следует отнести, в частности непропорциональные
затраты сил и средств на защиту банков от насильственных посягательств на
имущество при недооценке опасности преступлений ненасильственного характера, прежде
всего таких, как мошенничество (в том числе с использованием информационных технологий),
злоупотребление полномочиями, незаконное получение кредита.
Другая
разновидность аналогичной диспропорции имеет место в более узкой сфере, а
именно - в области организации защиты охраняемой информации банка. Здесь весьма
распространено чрезмерное увлечение программно-техническими средствами защиты
при недооценке механизмов правового обеспечения информационной безопасности.
Названные
диспропорции находят свое отражение в тематике научных работ и методических
рекомендаций по теме банковской безопасности. Несмотря на данные зарубежной и
отечественной статистики о том, что имущественный ущерб от действий "беловоротничковой"
преступности гораздо значительнее ущерба, причиняемого открытыми нападениями на
банки и взломами их хранилищ, в прессе все равно преобладают публикации, посвященные
физической и технической защите банков.
Правильное
построение концепции и системы безопасности банка позволяет существенно
повысить эффективность деятельности службы безопасности, организовать ее активное
и всестороннее участие по всему спектру защиты интересов банка. Кроме того, использование
системных принципов дает возможность предусмотреть с необходимой степенью
детализации действия службы безопасности в целях:
·
обеспечения безопасности банковских операций;
·
управления банковской деятельностью;
·
защиты охраняемой информации, нематериальных активов, системы кадрового
обеспечения;
·
обеспечения личной охраны руководства и персонала банка.
Особенности банковской системы таковы, что негативные
последствия сбоев в работе отдельных организаций могут привести к быстрому
развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников
и клиентов. В случаях наступления инцидентов информационной безопасности значительно
возрастают результирующий риск и возможность нанесения ущерба организациям
банковской системы. Поэтому угрозы информационной безопасности представляют
существенную опасность.
Для противостояния таким угрозам и обеспечения эффективности
мероприятий по ликвидации неблагоприятных последствий инцидентов (их влияния на
операционный, репутационный, стратегический и иные риски) следует обеспечить
достаточный уровень безопасности. Необходимо также сохранить этот уровень в
течение длительного времени. По этим причинам обеспечение информационной
безопасности является одним из основополагающих аспектов деятельности банков.
Апробация
методологических положений возможна практическим и теоретическим способами.
Теоретический способ апробации может быть представлен, как синтез системного,
структурного и функционального подходов, а также, метода научного моделирования.
Практический
способ может быть реализован при помощи рассмотрения и оценки комплексных
систем информационной безопасности существующих финансовых организаций.
Рассмотрим
интегрированную систему безопасности
банка, на примере отделений банка Raiffeisen.
Постановка задачи: Проектирование,
поставка оборудования, установка и пуско-наладка интегрированной системы
безопасности в отделениях банка, находящихся в разных районах г. Москвы.
Объединение в единую систему безопасности цифровой системы видеонаблюдения,
системы контроля доступа в служебные помещения, системы доступа в по карточкам
VISA в комнаты с банкоматами, системы охранно-пожарной сигнализации и системы
оповещения о пожаре и эвакуации людей в каждом отделении банка.
История проекта: Первый контракт на
создание интегрированной системы безопасности отделения банка «RaiffeisenBank»
в бизнес-центре «Царев Сад» (Софийская набережная) был подписан в начале 2002
г. и выполнен в течение одного месяца. Второй контракт на создание системы
безопасности банка в отделении на ул. 2-ая Ямская был выполнен за 25 дней.
Выполненные работы по созданию интегрированной
системы безопасности отделения банка:
1.
Обследованы помещения отделений банка, разработан и утвержден
проект интегрированной системы безопасности каждого отделения банка.
2.
Выполнена поставка компонентов и устройств системы безопасности, а
также программного обеспечения для управления системой безопасности и учета
рабочего времени персонала.
3.
Осуществлена установка оборудования системы безопасности: цифровой
системы видеонаблюдения, системы контроля доступа и охранно-пожарной
сигнализации.
4.
Проведена интеграция, инсталляция, наладка и тестирование
работоспособности всей интегрированной системы безопасности и ее сдача в
эксплуатацию.
5.
Осуществлена сертификация системы безопасности банка в
уполномоченном подразделении Центрального Банка РФ.
6.
Организовано и проведено обучение сотрудников службы безопасности
банка.
7.
Выполняются регламентные работы по гарантийному техническому
обслуживанию систем безопасности каждого отделения банка.
Краткое описание компонентов интегрированной
системы безопасности банка: Цифровая система видеонаблюдения отделений
банка построена на оборудовании ведущих мировых производителей. В частности,
применены цифровые видеорегистраторы-мультиплексоры, позволяющие службе безопасности
банка управлять работой телекамер в помещениях банка и уличными камерами, а
также записывать всю информацию с телекамер в цифровом формате.
Страницы: 1, 2, 3, 4
|