Особливості інформаційної безпеки банківських установ

Засоби захисту інформаційної безпеки.

Загрози інформаційній безпеці банку.

Особливості інформаційної безпеки банківських установ.

Лекція 7. Інформаційна безпека банку

Згідно зі ст. 60 Закону України «Про банки і банківську діяльність» до банківської таємниці належить інформація про діяльність і фінансовий стан клієнта, що стала відома банку у процесі його обслуговування і взаємовідносин із ним або з третіми особами під час надання послуг банком, розголошення якої може завдати матеріальної чи моральної шкоди.

Тлумачення поняття комерційної таємниці дається у ст. 30 Закону України «Про підприємства в Україні». Зокрема у статті вказується, що під комерційною таємницею підприємства розуміють відомості, пов’язані з виробництвом, технологічною інформацією, управлінням фінансами та іншою діяльністю підприємства, що не є державною таємницею, розголошення (передання, витік) яких може завдати шкоди його інтересам.

Поняття «конфіденційної інформації» наведено в Законі України «Про інформацію», де зазначено, що така інформація за своїм правовим режимом є інформацією з обмеженим доступом і її становлять «… відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов» (ст. 30).

Розрізняючи поняття банківської та комерційної таємниць, конфіденційної інформації, законодавець установлює і різний правовий режим доступу до такої інформації.

Правовий режим доступу до банківської таємниці встановлено Законом України «Про банки і банківську діяльність». Згідно зі ст. 62 цього Закону інформація, що становить банківську таємницю фізичних осіб — клієнтів банку, розкривається банком на письмовий запит або з письмового дозволу власника інформації, а також на письмову вимогу або за рішенням суду. Водночас банківська таємниця юридичних осіб-клієнтів банку, крім зазначених умов, розкривається у таких випадках:

- органам прокуратури України, СБУ, МВС України на їх письмові вимоги щодо операцій за рахунками конкретної юридичної особи або фізичної особи — суб’єкта підприємницької діяльності за конкретний проміжок часу;

- органам ДПА України на їх письмову вимогу з питань оподаткування або валютного контролю щодо операцій за рахунками конкретної юридичної особи або фізичної особи — суб’єкта підприємницької діяльності за конкретний проміжок часу.

Банкам заборонено надавати інформацію про клієнтів іншого банку, навіть якщо їхні імена вказуються в документах, угодах і операціях клієнта.

Окремо визначено режим доступу до інформації, яка зберігається в автоматизованих системах, що для банків є особливо важливо, оскільки понад 65 % банківської інформації міститься саме в автоматизованих системах. Законодавством установлено, що доступ до інформації, яка зберігається, обробляється і передається в автоматизованих системах, здійснюється згідно з правилами розмежування доступу, які встановлюються власником інформації чи уповноваженою ним особою (ст. 6 Закону України «Про захист інформації в автоматизованих системах»).

Можна навести безліч прикладів, коли банки втрачали мільйони доларів унаслідок порушення інформаційної безпеки. Так, за даними Програми зі стану інформаційної безпеки Форуму з питань інформаційноїбезпеки (ISF`s Information SecurityStatus Survey), втрати від зовнішніххакерських атак, які призвели до компрометації інформації та порушення конфіденційності інформації, становлять щороку до 1.5 млн. доларів США для систем електронної комерції, від помилок та неправомірних дій внутрішнього персоналу – до 1.2 млн. доларів, від порушення доступності – до 3.2 млн. доларів США за рік.

Навесні 2010 року Служба безпеки України затримала групу студентів-програмістів, які грабували вітчизняні банки. За допомогою троянських програм вони отримували інформацію про клієнтів, їх рахунки і паролі доступу до них. Потім винахідливі студенти на підставних осіб відкривали рахунки і переводили на них гроші. Паралельно вони виготовляли платіжні карти, за якими у банкоматах знімали готівку.

Інтернет-злочинці в Україні активізувалися з приходом кризи. За даними джерела "Економічної правди" в СБУ, в 2006-2007 роках збиток від їх діяльності склав 12-15 мільйонів доларів на рік. У 2009 році втрати зросли до 17-19 мільйонів доларів. Дві третини цієї суми - вкрадені клієнтські кошти. Решта - витрати банкірів на мінімізацію наслідків хакерських атак або витік конфіденційної інформації. Втім, у 80% випадків у зникненні грошей винні самі клієнти, стверджують фінансисти.

Інформація про такі випадки досить часто потрапляє у засоби масової інформації та призводить до втрати репутації банку. Зауважимо, що останнім часом основними порушниками інформаційної безпеки (за даними міжнародних експертів – у 95% випадків) є власні працівники організації. Але повністю виключати несанкціонований доступ зовнішніх хакерів поки що зарано, особливо для тих установ, які не приділяють належної уваги питанням інформаційної безпеки.

Інформаційна безпека банку - стан, за якого забезпечується необхідний рівень інформованості керівництва персоналу банку, а також зовнішнього середовища, ефективний захист усіх видів інформації від зовнішніх і внутрішніх ризиків, загроз та небезпек.

Погіршення стану інформаційної безпеки комерційного банку може бути спричинене дією таких чинників:

1) збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп’ютерів;

2) зосередження в базах даних інформації різного призначення і різної приналежності;

3) розширення кола користувачів, що мають безпосередній доступ до ресурсів обчислювальної системи та масивів даних;

4) ускладнення режимів роботи технічних засобів обчислювальних систем;

5) обмін інформацією в локальних та глобальних мережах, у тому числі на великих відстанях.

До факторів, які створюють умови витоку (передавання) інформації, за дослідженнями спецслужб, відносять такі:

1) надмірна балакучість співробітників підприємств, фірм, банків – 32%;

2) прагнення працівників підприємств, фірм, банків заробити гроші будь-яким способом і будь-якою ціною -24%;

3) відсутність на підприємстві, фірмі, у банку системи заходів, спрямованих на захист інформації – 14%;

4) звичка співробітників підприємств, фірм, банків ділитись один з одним почутими новинами, чутками, інформацією – 12%;

5) безконтрольне використання інформаційних систем – 10%;

6) наявність передумов для виникнення серед співробітників конфліктних ситуацій – 8%

На підставі викладеного можна зробити висновок, що отримання інформації спецслужбами, конкурентами та зловмисниками здебільшого здійснюється через технічні засоби, які використовуються на фірмах, підприємствах, у банках та через їхніх співробітників.

Об’єктами інформаційної безпеки банку є:

– обладнання автоматизованої системи (фізичні ресурси);

– інформаційні ресурси (бази даних, файли тощо);

– програмне забезпечення (системне, прикладне, інші допоміжні програми);

– сервіс та підтримуюча інфраструктура (обслуговуючі засоби обчислювальної техніки, енергопостачання, забезпечення необхідних умов експлуатації і т.ін.).

Інформаційна безпека банку досягається організацією збору інформації про внутрішнє і зовнішнє середовище банку, проведенням інформаційно-аналітичного дослідження клієнтів, партнерів та конкурентів, інформаційного аудиту та інформаційного моніторингу в банку, аналітичної обробки інформації; організацією системи інформаційного забезпечення рішень керівництва банку; визначенням категорій банківської інформації та виробленням відповідних заходів щодо її захисту; дотриманням відповідних режимів діяльності банку; виконанням усіма працівниками банку норм і правил роботи з інформацією; своєчасним виявленням спроб і можливих каналів втрати інформації.

Використання інформаційних технологій приховує в собі значні ризики, які потрібно постійно відстежувати та враховувати для мінімізації фінансових втрат. Саме таку вимогу встановлює до банків Базельський комітет – проводити оцінку операційних ризиків.

До операційних ризиків слід віднести всі ризики, що виникають у діяльності банку, тобто фактично ризики, пов’язані з використанням інформаційних технологій (надалі – ІТ-ризики). Існує декілька різних класифікацій ІТ-ризиків, що базуються на причинах, місці або джерелах виникнення ризиків. Найчастіше виникають та призводять до найбільших втрат такі ІТ-ризики: отримання несанкціонованого доступу до інформації, її несанкціоновані зміни, пошкодження та втрата.

Ці ризики мають різне походження, а саме:

• хакерські атаки;

• неправомірні дії персоналу;

• помилки та недостатня обізнаність персоналу;

• відсутність належної системи захисту;

• неправильна робота програмно-технічних комплексів;

• використання небезпечних інформаційних технологій;

• неправильне використання послуг третіх сторін (зокрема, доступ третіх сторін до критичної інформації, відсутність належного рівня супроводження програмно-технічних комплексів, які були придбані у третіх сторін, тощо);

• негативний вплив зовнішнього середовища (повінь, землетрус, ураган і т. п.), техногенні катастрофи тощо.

Фактично всі ці ризики призводять до втрати конфіденційності, цілісності й доступності інформації, тобто – до порушення інформаційної безпеки.

Стратегія інформаційної безпеки банків дуже відрізняється від аналогічних стратегій інших компаній і організацій. Це зумовлено насамперед специфічним характером загроз, а також публічною діяльністю банків, які змушені робити доступ до рахунків досить легким з метою зручності для клієнтів.

Інформаційна безпека банку повинна враховувати такі специфічні фактори:

1. Збережена й оброблювана в банківських системах інформація являє собою реальні гроші. На підставі інформації комп’ютера можуть здійснюватися виплати, відкриватися кредити, переводитися значні суми. Цілком зрозуміло, що незаконне маніпулювання такою інформацією може призвести до серйозних збитків. Ця особливість різко розширює коло злочинців, що посягають саме на банки (на відміну, наприклад, від промислових компаній, внутрішня інформація яких мало кому цікава).

2. Інформація в банківських системах стосується інтересів великої кількості людей та організацій - клієнтів банку. Як правило, вона конфіденційна, і банк відповідає за забезпечення необхідного ступеня таємності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк повинен піклуватися про їхні інтереси, інакше він ризикує своєю репутацією з усіма наслідками, що випливають звідси.

3. Конкурентоспроможність банку залежить від того, наскільки клієнтові зручно працювати з банком, а також наскільки широкий спектр надаваних послуг, включаючи послуги, пов’язані з вилученим доступом. Тому клієнт повинен мати можливість швидко й без стомлюючих процедур розпоряджатися своїми грошима. Але така легкість доступу до грошей підвищує ймовірність злочинного проникнення в банківські системи.

4. Інформаційна безпека банку (на відміну від більшості компаній) повинна забезпечувати високу надійність роботи комп’ютерних систем навіть у випадку позаштатних ситуацій, оскільки банк несе відповідальність не лише за свої активи, а й за гроші клієнтів.

5. Банк зберігає важливу інформацію про своїх клієнтів, що розширює коло потенційних зловмисників, зацікавлених у крадіжці або псуванні такої інформації.

Специфіка захисту автоматизованих систем оброблення інформації банків (АСОІБ) зумовлена особливостями розв’язуваних ними завдань:

• як правило АСОІБ обробляють великий потік запитів у реальному масштабі часу, кожний з яких не потребує для оброблення численних ресурсів, але всі разом вони можуть бути оброблені тільки високопродуктивною системою;

• в АСОІБ зберігається й обробляється конфіденційна інформація, не призначена для широкої публіки. Її підробка або витік можуть призвести до серйозних (для банку або його клієнтів) наслідків.

Тому АСОІБ приречені залишатися майже закритими, працювати під керуванням специфічного програмного забезпечення й приділяти велику увагу забезпеченню своєї безпеки.

Іншою особливістю АСОІБ є підвищені вимоги до надійності апаратного й програмного забезпечення. Через це багато сучасних АСОІБ тяжіють до стійкої до відмов архітектури комп’ютерів, завдяки чому можна здійснювати безперервно оброблення інформації навіть в умовах різних збоїв і відмов.

Банківська інформація поділяється на: інформацію з обмеженим доступом; відкриту; таємну; конфіденційну; банківську таємницю; комерційну таємницю.

У банку зберігається і обробляється безліч найрізноманітніших даних, зокрема:

- персональні дані як по клієнтах, так і по своїх службовцях, які банк зобов’язаний зберігати в таємниці;

- дані по трансакціях; контрольна інформація (наприклад, підсумкові щоденні зведення за ступенем ризику банківських операцій);

- стратегічна інформація (наприклад, звіти по країнах, у яких банк веде кредитно-фінансові операції);

- оперативна комерційна інформація банку, що надається його комерційними клієнтами (наприклад, якщо банк збирається позичати гроші компанії, то він одержуватиме масу інформації, яку відповідна компанія зовсім не бажає розголошувати широкій аудиторії).

За захист інформації відповідає управлінський персонал усіх рівнів. Вище керівництво здійснює організаційний контроль, ініціює і затверджує план заходів щодо обліку непередбачених ситуацій і випадковостей, вживає заходів у випадках пору-шення політики захисту (таких, як проведення нелегальних або неетичних операцій).

Управлінський персонал установлює методи і процедури контролю доступу до майна, активів і даних, здійснює ведення контрольних звітів і балансів, проводить планові і позапланові перевірки дотримання встановлених процедур.

Менеджер з оброблення даних забезпечує конфіденційність, цілісність і комп’ютерний сервіс, дотримання вимог до захисту апаратного і програмного забезпечення і надійного функціонування комп’ютерів.

Дата добавления: 2014-12-10; Просмотров: 1081; Нарушение авторских прав?; Мы поможем в написании вашей работы!