Информационная безопасность с банках Украниы

Информационная безопасность с банках Украниы

Сегодня компьютерные системы интегрированы непосредственно в информационные структуры банков, а вопрос безопасности информации уже не является сугубо техническим, поскольку каса- ется бизнес-деятельности банка в целом.

Введение

Сегодня компьютерные системы интегрированы непосредственно в информаци-
онные структуры банков, а вопрос безопасности информации уже не является сугубо
техническим, поскольку касается бизнес-деятельности банка в целом.
Исходя из того, что информация — товар, а потеря информации — убытки,
странным выглядит то, что некоторые преуспевающие украинские банки, где успешно
решаются проблемы информатизации и эффективного управления, практически не
выделяют средств на разработку и внедрение серьезных систем информационной безопасности.
О необходимости защищать данные, так или иначе, слышали все, однако, меры
по обеспечению сохранности данных принимаются лишь после того, как данные были
либо повреждены, либо произошла утечка информации. Это обусловлено тем, что лица, принимающие решения в банках, либо не придают значения проблеме информационной защиты, либо не находят достаточных мотивов для трат дополнительных средств на ликвидацию некой, не понятной им угрозы.
Руководители банков откладывают принятие решения об использовании средств защиты информации, поскольку психологически не готовы оценить размер возможных убытков, к которым может привести порча или утечка банковской информации. Даже при условии предпринятых Национальным банком Украины радикальных шагов по внедрению требований современных стандартов информационной безопасности, остается актуальным принцип: «спасение утопающих — дело рук самих утопающих...»
К сожалению, современные информационные технологии, используемые в качестве
«электронного посредника» между банками, клиентами, продавцами и покупателя-
ми доступны как для правомерных акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным - это одна из важнейших задач обеспечения безопасности банковских информационных технологий.
Характерной особенностью банковских электронных платежных систем является
многообразие их устройства и принципов работы, очень часто даже при внешнем сходстве реализации в их глубине могут быть скрыты разные технологические и финансовые механизмы, которые в свою очередь требуют применения различных механизмов защиты. При этом надо обеспечить не только конфиденциальностью информации, но и ее целостность, доступность, достоверность и возможность
своевременного использования в управленческих решениях.
Системный подход в процессах управления ИБ
Создание системы информационной безопасности можно сравнить с пошивом костюма. При наличии обязательных составляющих (брюки, пиджак, рукава, воротник), имеется множество фасонов и вариантов покроя, при этом необходимо учитывать индивидуальные вкусы и особенности каждого заказчика. Понятно, что все стремятся получить удобную, практичную, качественную, современную одежду, однако платить за это удовольствие готовы не все. Системный подход в процессах управления ИБ – это способ мышления и анализа, согласно которому СУИБ рассматривается как совокупность
взаимосвязанных элементов, которые имеют общую цель - обеспечить безопасность ин-
формации.
Процесс создания СУИБ требует установления жестких логических и функциональных связей между разнородными компонентами СУИБ. При этом значимость свойств

отдельных элементов СУИБ снижается, а на первый план выдвигаются общесистем-
ные свойства. Как показывает практика, именно качество указанных связей определяет
эффективность СУИБ в целом. СУИБ должна быть именно системой, а не простым,
во многом случайным и хаотическим набором некоторых технических средств и организационных мероприятий, как это чаще всего наблюдается на практике.
Понятие системности заключается не просто в создании соответствующих механизмов информационной безопасности, а являет собой регулярный процесс, который осуществляется на всех этапах жизненного цикла ИС.
При этом все средства, методы и мероприятия, которые используются для защиты ин-
формации, совмещаются в целостный механизм, - СУИБ. Необходимость системного
подхода к вопросам обеспечения безопасности информационных технологий пока еще
не находит надлежащего понимания у пользователей современных ИС. Сегодня специалисты в разных областях знаний ИБ, вынуждены совместно заниматься вопросами обеспечения информационной безопасности. Однако, при наличии у каждого из них огромного опыта и знаний, скоординировать их деятельность и создать именно систему управления ИБ не удается.

Разговаривая про одни и те же вещи, указанные специалисты не понимают друг друга,
поскольку у каждого из них свой подход к вопросам ИБ, своя модель представления
СУИБ. Такое состояние дел объясняется отсутствием системного подхода, который определяет функциональные и логические связи (отношения) между существующими понятиями, определениями, принципами, средствами и механизмами ИБ.
Одиннадцать отдельно взятых футболистов не составляют команду до тех пор, пока на
основе заданных целей и задач не будет отработано их взаимодействие каждого с каждым. Аналогично СУИБ лишь тогда станет системой, когда будут установлены логические связи между всеми ее компонентами. Для решения вопросов организации такого взаимодействия нужно перейти от технического на логичный уровень представления процессов создания и функционирования систем управления ИБ.
Общая характеристика СУИБ «МАТРИЦА» 

СУИБ «МАТРИЦА» - это информационно методический инструмент управления информационной безопасностью, который является простым, универсальным
и эффективным средством создания, управления и оценки эффективности процессов
обеспечения информационной безопасности, в банковских структурах Украины.
СУИБ «МАТРИЦА» - это системное решение, которое предназначено для органи-
зации взаимодействия руководства банка, подразделений компьютерных (информаци-
онных) технологий, службы информационной безопасности, специалистов внутреннего аудита и других подразделений в процессе управления информационной безопасностью банка.
СУИБ «МАТРИЦА» используется для организации процессов управления инфор-
мационной безопасностью в соответствии с требованиями стандартов Национального
банка Украины и других нормативных документов. Она позволяет самостоятельно ор-
ганизовать работу из создания системы информационной безопасности и легко адапти-
руется для решения конкретных заданий обеспечения ИБ с учетом особенностей банков-
ских бизнес-процессов. СУИБ «МАТРИЦА» базируется на принципах системного подхода к управлению ИБ, она вобрала у себя знания и лучшие практики ведущих
компаний в области обеспечения ИБ.
Использование СУИБ «МАТРИЦА» дает возможность оптимизировать финансовые
расходы на обеспечении ИБ и сократить затраты на привлечение внешних аудиторов и
консультантов.
Назначение СУИБ «МАТРИЦА»
Основным назначением СУИБ «МАТРИЦА» является информационно-аналитиче-
ское обеспечение процесса управления ИБ за счет правильной оценки эффективности принятых решений и выбора рациональных вариантов организационных и программно технических решений.

Внедрение СУИБ «МАТРИЦА» в банках Украины позволит:

  • обеспечить понимание вопросов информационной безопасности руководством
  • банка и всеми работниками банка;
  • объединить усилие разных специалистов единым замыслом, методическим аппаратом, механизмом управления;
  • установить взаимосвязь между показателями (требованиями) разных нормативных
  • документов и международных стандартов;
  • задавать разные уровни ИБ в зависимости от имеющихся финансовых и материаль-
  • ных возможностей;
  • получать количественные и качественные оценки эффективности СУИБ;
  • контролировать состояние СУИБ и формировать варианты решений с целью повышения уровня безопасности;
  • применять разные методики оценки состояния ИБ;
  • оперативно реагировать на изменения условий функционирования ИС;
  • обеспечить поэтапное рациональное вложение финансовых средств;
  • снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности;
  • разработать эффективную политику информационной безопасности и обеспечить
  • ее качественное выполнение;
  • разрабатывать, внедрять и тестировать планы возобновления бизнеса.

Функциональные возможности СУИБ «МАТРИЦА»
Решение СУИБ «МАТРИЦА» построено на систематизированном универсальном
опыте разных компаний и предоставляет следующие функциональные возможности:

  • мониторинг управления рисками ИБ предприятия;
  • планирование аудиторских проверок ИБ, распределение ресурсов;
  • использование шаблонов методик, описаний и рабочих документов;
  • создание и ведение нормативно-методических документов ИБ, функци-
    ональных обязанностей, инструкций, политик безопасности;
  • ведение общих база знаний, баз методических материалов, архивация;
  • проведение анализа состояния ИБ в банке (матрица состояния) и формирование
    отчетов для руководства в виде таблиц и графиков;
  • оптимизация распределения ролей и полномочий;
  • информационно-аналитическая поддержки решений руководством банка относи-
    тельно управления процессом обеспечения ИБ;
  • обеспечение формирования требований (матрица требований) и показателей оценки
    эффективности СУИБ (матрица оценок);
  • контроль за проведением аудиторских процедур;
  • фиксация нарушений, отклонений и замечаний, в процессе выполнения аудиторских процедур;
  • оценка и управление бюджетом относительно создания и использования СУИБ;
  • мониторинг выполнения заданий и рекомендаций.

СУИБ «МАТРИЦА » - инструмент внедрения требований НБУ
СУИБ «МАТРИЦА» (дальше СУИБ-«М») является современным информационно
методическим инструментом внедрения стандартов по вопросам управления информационной безопасностью, в том числе стандартов Национального банка Украины, которые основаны на международных стандартах ISO 27001 и ISO 27002.
Процессы внедрения СУИБ-«М» касаются всех подразделов банка. Поэтому, руководители банка, подразделения компьютерных (информационных) технологий,
службы информационной безопасности, специалисты внутреннего аудита и других подразделений – владельцы бизнес-процессов должны принимать участие в решении
вопросов ИБ, которые касаются сферы их ответственности. Координация информационной безопасности должна касаться сотрудничества и координации совместной деятельности менеджеров, пользователей, администраторов,
разработчиков прикладных программ, аудиторов и персонала безопасности, а также
специалистов, в таких отраслях, как страхование, правовые вопросы, человеческие
ресурсы, управления ИТ или рисками.
Именно для решения таких задач и предназначена СУИБ-«М». Приведем несколько
примеров логики выполнения методических рекомендаций НБУ. Рассмотрим два пункта
рекомендаций:

  • Обязательства руководства относительно управления информационной безопасностью;
  • Определение требований информационной безопасности банка. «Обязательства руководства относительно управления информационной безопасностью»

Руководство должно активно поддерживать безопасность в пределах организации путем
четкой регуляции, подтвержденных обязательств, четких назначений и признания от-
ветственности за информационную безопасность.

Руководство банка должно:

  • обеспечить, чтобы задачи информационной безопасности были определены, отвечали требованиям организации и были интегрированы в соответствующие процессы;сформулировать, пересматривать и утверждать политику информационной безопасности;
  • пересматривать эффективность внедрения политики информационной безопасности;обеспечить четкую регуляцию и явную поддержку со стороны руководства инициативам относительно безопасности;
  • предоставлять ресурсы, нужные для информационной безопасности; утверждать назначение определенных ролей и обязанностей относительно информационной безопасности в организации;
  • положить начало планам и программам поддержки осведомленности относительно информационной безопасности;
  • обеспечить, чтобы внедрение мер информационной безопасности было скоординировано в пределах организации.

«Определение требований информационной безопасности банка»
Для внедрения и последующего совершенствования СУИБ-«М» необходимо четко
определить требования информационной безопасности банка.
Источниками требований информационной безопасности является:

  • Законы Украины;
  • Нормативно-правовые акты Национального банка Украины;
  • Внутренние нормативные документы банка;
  • Условия соглашений и договоров с третьими сторонами и тому подобное.

Анализ таких требований поможет правильно определить цели СУИБ-«М» и меры
безопасности, которые могут обеспечить уменьшение рисков операционной деятельности банка с учетом особенностей работы банка.
Перечень требований из информационной безопасности должен быть задокументи-
рован и согласован с руководством банка.
Что касается других требований к информационной системе (или АБС) банка, то они
определяются по группам:

  • Законодательная, нормативно правовая и научная база;
  • Структура и задачи органов или подразделений ИБ;
  • Организационно технические и режимные мероприятия или политика ИБ;
  • Средства, методы и решения по обеспечению ИБ.


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Project management, управління проектами Менеджмент, керування, KPI