Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:

·        мониторинга и контроля защитных мер;

·        самооценки информационной безопасности.

·        аудита информационной безопасности;

·        анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства).

Основными целями мониторинга и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

·        контроль за реализацией положений внутренних документов по обеспечению информационной безопасности;

·        выявление автоматизированной банковской системе;

·        выявление инцидентов информационной безопасности.

Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.

Аудит проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации банковской системы, так и с целью повышения доверия к ней со стороны других организаций. При подготовке к аудиту рекомендуется проведение самооценки информационной безопасности. Она проводится собственными силами и по инициативе руководства организации.

Анализ функционирования система обеспечения информационной безопасности  проводится персоналом организации, ответственным за ее обеспечение, а также руководством, в том числе на основании подготовленных для руководства документов (данных).

Основными целями проведения анализа функционирования системы обеспечения информационной безопасности являются:

·        оценка ее эффективности;

·        оценка ее соответствия требованиям законодательства Российской Федерации и стандартов Банка России;

·        оценка ее соответствия существующим и возможным угрозам;

·        оценка следования принципам и выполнения требований по обеспечению информационной безопасности, закрепленным в политике безопасности организации, а также в иных внутренних документах.

1.2. Апробация методических положений

В последние пятнадцать лет в Российской Федерации реализован ряд практических мер по повышению уровня банковской безопасности. Благодаря скоординированным усилиям законодателей, Правительства РФ и Банка России сформирована в целом система нормативного правового и организационного обеспечения банковской безопасности, осуществлены практические мероприятия по совершенствованию мер безопасности в самих банках. Вместе с тем уровень банковской безопасности в современной России не соответствует объективным потребностям, и состояние защиты банков от преступных посягательств оставляет желать лучшего.

Представляется, что повышение уровня защищенности банков от криминальных посягательств на нынешнем этапе непосредственно связано с необходимостью научной проработки проблемы и получения более полных представлений о механизмах обеспечения безопасности банка, в том числе об особенностях организации и функционирования системы защиты банка, обеспечения безопасности новых направлений банковской деятельности и новых банковских технологий.

Ведущим субъектом обеспечения защиты российских банков от противоправных посягательств является государство. Это обусловлено его конституционными обязательствами, гарантирующими защиту всех форм собственности (см. ст. 8, 35 и 114 Конституции РФ), поэтому именно государство должно выступать главным заказчиком исследований в области безопасности банковской деятельности. В действительности это не так. Своеобразие ситуации заключается в том, что государство взяло на себя в основном функции уголовно-правового и административного пресечения противоправных посягательств в банковской сфере. Основную же работу по организации системы выявления и предупреждения криминальных посягательств такого рода законодатель возложил преимущественно на сами банки.

Требования о принятии банками мер защиты своего имущества и инфраструктуры содержатся в ряде федеральных законов и нормативных актов Банка России. Именно банк должен обеспечивать своими силами и средствами безопасность банковских операций, охрану имущества, защиту информации (банковской тайны, иных сведений конфиденциального характера, компьютерной информации) и информационной инфраструктуры, защиту системы кадрового обеспечения, личную безопасность руководства и персонала банка. Понятно, что организация столь обширной и разноплановой работы требует соответствующего научного и методического обеспечения. По этой причине банковское сообщество России весьма заинтересовано в теоретических разработках и практических рекомендациях в сфере банковской безопасности.

В последние годы отечественные ученые провели ряд исследований, касающихся преступлений в сфере банковской деятельности. Однако большинство этих исследований по-прежнему адресовано правоохранительным органам и не затрагивает вопросов участия самих банков в борьбе с преступлениями и создания ими систем безопасности.

Структурирование понятия безопасности банка позволяет представить в общем виде сложность задач построения системы банковской защиты. Функционирование многоуровневой системы защиты обеспечивается применением мер правового, организационного, сыскного, криминалистического характера.

Создание такой системы защиты на практике связано с решением широкого и разнопланового набора проблем. В их числе задачи разработки стратегии и тактики обеспечения безопасности банка; структурирование и уточнение целей и задач обеспечения безопасности; разработка комплекса основных мер, направленных на достижение указанных целей; подготовка предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения безопасности; разработка целевых криминалистических программ защиты имущества и инфраструктуры банка.

Чтобы "не потерять" ни одного из названных направлений деятельности, четко сформулировать их конечные цели, обеспечить необходимую последовательность действий, выявить все последствия и взаимосвязи каждого частного решения, необходим способ формализации сведений, соответствующий уровню возникающих задач. Формализованное описание проблем защиты позволяет, кроме того, выявить скрытые от поверхностного взгляда новые связи между факторами угроз и деятельностью по обеспечению безопасности банка.

Наиболее удачным способом системного изложения сведений о проблемах обеспечения безопасности банка и способах их решения является применение такой широко распространенной в настоящее время формы, как концепция. Именно концепция безопасности банка должна служить методологической основой для обеспечения безопасности банка, решения тактических и методических задач ее практической реализации.

В настоящее время, пожалуй, не найдется банка, который не обладал бы собственной концепцией безопасности, изложенной в той или иной форме. Однако изучение указанных документов свидетельствует о различном качестве их проработки. Некоторые из них содержат существенные погрешности методологического плана.

Наиболее "весомым" из названной категории документов, несомненно, является "Концепция безопасности коммерческого банка", разработанная в 1995 г. группой ученых и специалистов по заказу Ассоциации российских банков. Названная концепция представляет собой научно обоснованную систему взглядов на основные направления, условия и порядок практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции. В целом концепция явилась шагом вперед в деле системного осмысления проблем безопасности банка, однако время потребовало обновления данной концепции и дополнения ряда ее положений. Усилия в этом направлении предприняты в изданной в 2003 г. работе "Концепция и система безопасности банка"( Гамза В.А., Ткачук И.Б. Концепция и система безопасности банка. — М.: Издатель Шумилова И.И., 2003). Необходимо отметить, что любая типовая концепция безопасности является своего рода моделью с определенной степенью обобщения. Из этого следует, что практическое применение такой модели предполагает ее предварительную "подгонку" к специфике деятельности конкретного банка. Вместе с тем существует обязательный набор элементов системы обеспечения безопасности, которые должны быть отражены именно в концепции безопасности любого банка.

Изучение задач, вытекающих из действующего законодательства и иных нормативных правовых актов, разработок в области криминалистики и результатов практической деятельности по обеспечению безопасности банков приводит к выводу о том, что создатели концепции должны включить в нее, как минимум, пять основных разделов. В их числе:

·        основы формирования и функционирования системы безопасности банка (понятия и определения в системе банковской безопасности, принципы обеспечения, силы и средства, основы организации системы безопасности);

·        система правового обеспечения банковской безопасности;

·        концептуальное проектирование системы безопасности банка (объекты защиты, основные виды посягательств, субъекты правоотношений в области обеспечения банковской безопасности);

·        рабочее проектирование системы безопасности банка (организационно-правовые вопросы создания системы безопасности, организация службы безопасности);

·        управление деятельностью службы безопасности банка.

Применение при разработке концепции системного подхода позволяет избежать типичных ошибок (перекосов и пробелов) в организации защиты конкретных направлений и элементов безопасности банка. К числу таких ошибок следует отнести, в частности непропорциональные затраты сил и средств на защиту банков от насильственных посягательств на имущество при недооценке опасности преступлений ненасильственного характера, прежде всего таких, как мошенничество (в том числе с использованием информационных технологий), злоупотребление полномочиями, незаконное получение кредита.

Другая разновидность аналогичной диспропорции имеет место в более узкой сфере, а именно - в области организации защиты охраняемой информации банка. Здесь весьма распространено чрезмерное увлечение программно-техническими средствами защиты при недооценке механизмов правового обеспечения информационной безопасности.

Названные диспропорции находят свое отражение в тематике научных работ и методических рекомендаций по теме банковской безопасности. Несмотря на данные зарубежной и отечественной статистики о том, что имущественный ущерб от действий "беловоротничковой" преступности гораздо значительнее ущерба, причиняемого открытыми нападениями на банки и взломами их хранилищ, в прессе все равно преобладают публикации, посвященные физической и технической защите банков.

Правильное построение концепции и системы безопасности банка позволяет существенно повысить эффективность деятельности службы безопасности, организовать ее активное и всестороннее участие по всему спектру защиты интересов банка. Кроме того, использование системных принципов дает возможность предусмотреть с необходимой степенью детализации действия службы безопасности в целях:

·  обеспечения безопасности банковских операций;

·  управления банковской деятельностью;

·  защиты охраняемой информации, нематериальных активов, системы кадрового обеспечения;

·  обеспечения личной охраны руководства и персонала банка.

Особенности банковской системы таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов информационной безопасности значительно возрастают результирующий риск и возможность нанесения ущерба организациям банковской системы. Поэтому угрозы информационной безопасности представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов (их влияния на операционный, репутационный, стратегический и иные риски) следует обеспечить достаточный уровень безопасности. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение информационной безопасности является одним из основополагающих аспектов деятельности банков.

Апробация методологических положений возможна практическим и теоретическим способами. Теоретический способ апробации может быть представлен, как синтез системного, структурного и функционального подходов, а также, метода научного моделирования.

Практический способ может быть реализован при помощи рассмотрения и оценки комплексных систем информационной безопасности существующих финансовых организаций.

Рассмотрим интегрированную систему безопасности банка, на примере отделений банка Raiffeisen.

Постановка задачи: Проектирование, поставка оборудования, установка и пуско-наладка интегрированной системы безопасности в отделениях банка, находящихся в разных районах г. Москвы. Объединение в единую систему безопасности цифровой системы видеонаблюдения, системы контроля доступа в служебные помещения, системы доступа в по карточкам VISA в комнаты с банкоматами, системы охранно-пожарной сигнализации и системы оповещения о пожаре и эвакуации людей в каждом отделении банка.

История проекта: Первый контракт на создание интегрированной системы безопасности отделения банка «RaiffeisenBank» в бизнес-центре «Царев Сад» (Софийская набережная) был подписан в начале 2002 г. и выполнен в течение одного месяца. Второй контракт на создание системы безопасности банка в отделении на ул. 2-ая Ямская был выполнен за 25 дней.

Выполненные работы по созданию интегрированной системы безопасности отделения банка:

1.     Обследованы помещения отделений банка, разработан и утвержден проект интегрированной системы безопасности каждого отделения банка.

2.     Выполнена поставка компонентов и устройств системы безопасности, а также программного обеспечения для управления системой безопасности и учета рабочего времени персонала.

3.     Осуществлена установка оборудования системы безопасности: цифровой системы видеонаблюдения, системы контроля доступа и охранно-пожарной сигнализации.

4.     Проведена интеграция, инсталляция, наладка и тестирование работоспособности всей интегрированной системы безопасности и ее сдача в эксплуатацию.

5.     Осуществлена сертификация системы безопасности банка в уполномоченном подразделении Центрального Банка РФ.

6.     Организовано и проведено обучение сотрудников службы безопасности банка.

7.     Выполняются регламентные работы по гарантийному техническому обслуживанию систем безопасности каждого отделения банка.

Краткое описание компонентов интегрированной системы безопасности банка: Цифровая система видеонаблюдения отделений банка построена на оборудовании ведущих мировых производителей. В частности, применены цифровые видеорегистраторы-мультиплексоры, позволяющие службе безопасности банка управлять работой телекамер в помещениях банка и уличными камерами, а также записывать всю информацию с телекамер в цифровом формате.

Страницы: 1, 2, 3, 4