Новые банковские технологии

       Общая классификация угроз автоматизированной информационной системе объекта  выглядит следующим образом:

       Угроза  конфиденциальности данных и программ. Реализуются при несанкционированном  доступе к данным  (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи.

       Угрозы  целостности данных, программ, аппаратуры. Целостность данных  и программ нарушается при несанкционированном  уничтожении, добавлении лишних элементов  и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.

       Угрозы  доступности данных. Возникают в  том случае, когда объект (пользователь или процесс) не получают доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

       Сети  компьютеров имеют много преимуществ  перед совокупностью отдельно  работающих компьютеров, в их числе  можно отметить: разделение  ресурсов системы, повышение надежности функционирования системы, распределение загрузки среди узлов сети и расширяемость за счет добавления новых узлов. 

       Вместе  с тем при использовании компьютерных сетей возникают серьезные проблемы обеспечения информационной безопасности.

       Можно отметить следующие из них:

- разделение  совместно используемых ресурсов.  В силу совместного использования большого количества ресурсов различными пользователями сети, возможно находящимися на большом расстоянии друг от друга, сильно повышается риск несанкционированного доступа, так как в сети его можно осуществить проще и незаметнее;

- расширение  зоны контроля. Администратор или  оператор отдельной системы или  подсети должен контролировать  деятельность пользователей, находящихся  вне пределов его досягаемости;

- неизвестный  параметр. Легкая расширяемость  сетей ведет к тому, что определить границы сети подчас бывает сложно, так как один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить, сколько пользователей имеют доступ к определенному узлу сети и кто они;

- сложность  управления и контроля доступа  к системе. Многие атаки на  сеть могут осуществляться без  получения физического доступа  к определенному узлу – с  помощью сети из удаленных  точек. В этом случае идентификация  нарушителя может оказаться очень сложной. Кроме того, время атаки может оказаться слишком малым для принятия адекватных мер.

       Различают  пассивные и активные угрозы нижнего  уровня, специфические для сетей.

       Пассивные угрозы (нарушение конфиденциальности данных, циркулирующих в сети) – это просмотр и запись  данных, передаваемых по линиям связи. К ним относятся: просмотр сообщения; анализ трафика – злоумышленник может просматривать заголовки пакетов, циркулирующих в сети, и на основе содержащейся в них служебной информации делать заключения об отправителях и получателях пакета и условиях передачи  (время отправления, класс сообщения, категория безопасности, длина сообщения, объем трафика и т.д.).

       Активные  угрозы (нарушения целостности или  доступности ресурсов и компонентов  сети) – несанкционированное  использование  устройств, имеющих доступ к сети для изменения отдельных  сообщений или потока сообщений. К ним относятся:

- отказ служб передачи сообщений – злоумышленник может уничтожить или задерживать отдельные сообщения или весь поток сообщений;

- «маскарад» - злоумышленник может присвоить своему узлу или ретранслятору чужой идентификатор и получать или отправлять сообщения от чужого имени;

- внедрение сетевых вирусов – передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла;

- модификация потока сообщений – злоумышленник может выборочно уничтожать, модифицировать, задерживать, переупорядочивать и дублировать сообщения, а также вставлять поддельные сообщения.

       Определение ценности информации является решающим фактором при принятии решения о выборе защитных средств от конкретной угрозы. В процессе определения ценности информации необходимо учитывать следующие факторы: свойства самой информации, возможные виды угроз и действия злоумышленника.

       Ценность  информации можно условно классифицировать по четырем категориям важности:

- жизненно  важная – незаменимая информация, наличие которой  необходимо  для нормального функционирования  объекта  защиты;

- важная  – информация, которая может быть заменена или  восстановлена, но процесс восстановления очень труден и связан с большими затратами;

- полезная  – информация, которая полезна  и которую трудно восстановить, однако предприятие может эффективно  функционировать и без нее;

- несущественная  – информация, которая больше не нужна предприятию. 

       В связи с тем, что существует реальная угроза нанесения экономического ущерба предприятию, необходимо внедрять и  совершенствовать меры по защите экономических  интересов, данные меры должны быть направлены как на сохранение физического имущества так и на защиту информации. Можно выделить следующие способы организации экономической безопасности.

       Организационно-административные мероприятия по защите информации предусматривают:

- определение  границ охраняемой зоны;

- определение  опасных с точки зрения возможности  образования каналов утечки информации  или способов несанкционированного   доступа к ней через технические  средства;

- организацию  строгого контроля прохода и  проноса каких-либо  предметов,  устройств в контролируемую зону;

- организацию  специальных защищенных помещений  для размещения ЭВМ и средств  связи и хранение носителей  информации;

- выделение  специальных ЭВМ для обработки  конфиденциальной информации;

- организацию  специального делопроизводства  для конфиденциальной информации,  устанавливающего порядок  подготовки, использования, хранения, уничтожения и учета документированной информации;

- организацию  регламентированного доступа к  работе в автоматизированной  информационной  системе и в  хранилищах носителей конфиденциальной информации;

- устранение  запрета на использование открытых  каналов связи для передачи  конфиденциальной информации;

- разработку  и внедрение специальных нормативно-правовых  и распорядительных  документов  по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

- постоянный  контроль за соблюдением установленных   требований по защите информации.

       Организационно-технические мероприятия по защите информации:

- ограничение  доступа посторонних лиц внутрь  корпуса оборудования за счет  установки механических запорных  устройств или замков;

- выбор  помещений, обращенных окнами  в безопасные зоны направления;

- использование  бесперебойных источников питания для компьютеров, подключенных к электрическим сетям с неустойчивым напряжением и плавающей частотой.

       Физические  средства защиты предназначены для  внешней охраны территории объекта, защита компонентов автоматизированной  информационной системы предприятия и реализуются в виде автономных устройств и систем. Для организации охраны оборудования, входящего в состав автоматизированной информационной системы предприятия, и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются: различные замки, которые устанавливаются на входные двери, сейфы, устройства и блоки системы; специальные сейфы и металлические шкафы для установки в них отдельных элементов автоматизированной информационной системы и перемещаемых носителей информации.

       Аппаратные  средства защиты – это различные  электронные и другие устройства, непосредственно встроенные в блоки  автоматизированной информационной системы  или оформленные в виде самостоятельных  устройств и сопрягающие с  этими блоками. Они предназначены для внутренней защиты  структурных  элементов средств и систем вычислительной техники.

       Программные средства защиты предназначены для  выполнения  логических и интеллектуальных функций защиты и включаются  либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

       Экономические мероприятия по защите информации. Они заключаются в применении  финансовых  механизмов для обеспечения  эффективной политики в области защиты объекта информационной безопасности. В организации финансовой защиты информационных ресурсов предприятий особая роль принадлежит страхованию. Страхование ресурсов выступает в роли стимулятора для разработки и применения всей номенклатуры средств комплексной защиты, а также является средством, обеспечивающим компенсацию ущерба при возникновении страховых случаев из-за реализации различных видов угроз.

       Одними  из наиболее опасных и распространенных видов являются преступления со стороны  менеджеров и работников компаний. Сотрудник предприятия может найти доступ ко всем или практически всем активам предприятия, имеет возможность преодолеть систему охраны объекта, защиту баз данных, может просто услышать нужную информацию и сделать выявление случившегося практически невозможным. Так, более трех четвертей преступлений в организациях совершаются сотрудниками, при этом более половины преступлений обнаруживаются случайно.

       Цель  управления персоналом в системе  экономической безопасности предприятия  можно определить как минимизацию риска и угроз со стороны сотрудников. В связи с этим можно выделить два основных направления совершенствования системы управления персоналом предприятия: управление кадровыми рисками, совершенствование кадровых технологий.

       Основными видами рисков, самым непосредственным образом связанными с людскими ресурсами, являются должностные риски, квалификационно-образовательные риски, операционные и организационные риски. Большинство кадровых рисков можно отнести к операционным, так как они связаны с нарушениями технологий, процедур и корпоративных правил, со сбоями во внутреннем контроле и организации, с невыполнением должностных обязанностей, низкой квалификацией, ошибками и злоупотреблениями. Разработка кадровых технологий подбора, отбора и найма, оценки, обучения, увольнения персонала должна осуществляться с учетом профилактики угроз экономической безопасности.

       К основным моментам разработки кадровой политики можно отнести следующие:

- обучение  сотрудников правилам и процедурам  работы с секретной информацией в соответствии с их должностными обязанностями;

- создание  действительной системы материальных  стимулов и морального поощрения;

- создание  климата коллективизма, патриотизма  и корпоративного духа единомышленников, приверженности специально разработанным кодексам чести и порядка;

- организация  систематического контроля за  соблюдением сотрудниками  требований  защиты коммерческой тайны. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      ЗАКЛЮЧЕНИЕ, ВЫВОДЫ, РЕКОМЕНДАЦИИ