Дипломная работа: Совершенствование инфокоммуникационного сопровождения банковской деятельности
Организация
информационной безопасности начинается с политики информационной безопасности –
внутреннего документа, содержащего в себе основные принципы такой безопасности
банка, используемые защитные механизмы и правила их эксплуатации.
Наиболее эффективной
схемой создания политики информационной безопасности является последовательная
разработка ее составляющих с привлечением специалистов различных областей.
Возможный порядок работ приведен на рис. 1.6.
Результатом этих работ
становится рабочая система информационной безопасности, регламентируемая
документом «Политика информационной безопасности» [18].
Рис. 1.6 – Схема организации информационной
безопасности
Вообще
для обеспечения и совершенствования информационной безопасности целесообразно
разработать единую концепцию обеспечения защиты и безопасности информации,
которая должна базироваться на комплексной реализации определенных мер
(приложение 4) [33].
Система обеспечения
защиты и безопасности банковской информации состоит из трех основных
направлений, они представлены на рис. 1.7.
Рис. 1.7 - Направления
системы обеспечения защиты и безопасности банковской информации
Следует отметить, что в каждой пользовательской точке
участвуют как методы защиты от несанкционированного доступа, так и контроль.
Хранение информации должно осуществляться на отдельно стоящих
специализированных серверах, разграниченных по функциональному назначению и
изолированных от доступа к ним всех пользователей.
Доступ в
помещение, где находятся серверы банка, коммуникационная аппаратура для связи,
оптический кроссы, специализированное отдельно стоящее оборудование, выделенные
каналы связи, ограничивается кодовым замком, что позволит исключить возможность
проникновения посторонних лиц и перекроет доступ к физическим носителям,
сетевым коммуникациям.
С целью предотвращения несанкционированного проникновения
внутрь системных блоков, все корпуса рабочих станций закрываются и
опечатываются специальными маркерами.
Для идентификации пользователя необходимо использовать парольную защиту,
предоставляющую персональные права на доступ к информации банка. Каждому
пользователю оформляется карта доступа - минимум возможностей и прав для работы
в АБС.
Для защиты от вирусных атак, преднамеренного заражения компьютеров
различного рода вирусами, банк обеспечивается антивирусными программами с
постоянно обновляемой базой. Доступ в Интернет должен постоянно
контролироваться на программном уровне при помощи специализированных программ.
Защита баз данных от технических сбоев осуществляется путем ежедневного
резервного копирования информации Банка на специальном сервере, с последующим
архивированием необходимой информации.
Для
обмена информации банк обеспечивается различными каналами связи с
соответствующими степенями защиты, шифрования информации.
Системы связи должны состоять из офисной мини-АТС, телефонных
коммуникаций и соответствовать следующим требованиям: находиться в защищенном
от посторонних лиц месте, программирование и настройка соединений должны
производиться с соблюдением норм конфиденциальности, протоколы переговоров
постоянно должны контролироваться на предмет несанкционированных телефонных
контактов.
Инструкции
по информационной безопасности: о резервном копировании информации, по
организации парольной защиты, о порядке действий в нештатных ситуациях, по организации
антивирусной защиты, об администраторах информационной безопасности (АИБ)
разрабатываются и утверждаются единым пакетом в форме отдельных
внутрибанковских документов [51].
Основу
соблюдения режима доступа к банковской информации составляют следующие способы
обеспечения защищенности банковской информации от несанкционированного доступа
и неправомерного использования: разграничение и контроль прав доступа к
информации; учет входящей и исходящей информации; криптографирование входящих и
исходящих потоков информации. Система разграничения доступа предназначена для
предоставления каждому сотруднику и должностному лицу банка только тех данных и
прав, которые ему необходимы для работы и ограждения информации от
несанкционированного доступа.
Для
защиты информации от несанкционированного доступа применяется система паролей и
разграничения доступа к автоматизированной банковской системе на основе
средств, заложенных в используемые операционные системы и аппаратные средства.
Сотрудник или должностное
лицо банка получает доступ к информации после регистрации в системе и ввода
пароля. Регистрация делается с помощью стандартных средств операционной системы
и базы данных, что обеспечивает достаточную надежность за счет шифрования
паролей и их централизованной проверки.
После регистрации в
системе сотрудник или должностное лицо Банка работают с помощью
специализированного программного обеспечения, позволяющего им выполнять только
допустимый набор действий.
Учет входящей и исходящей
документированной информации, позволяет разграничивать конфиденциальную
информацию от иной банковской информации. Информация, заявленная отправителем
или получателем как конфиденциальная, учитывается отдельно от иной банковской
информации.
Криптографирование
входящих и исходящих потоков информации является дополнительным способом
обеспечения защищенности информации от несанкционированного доступа [51].
Преступные посягательства
на порядок функционирования банка включены в гл. 23 УК РФ «Преступления против
службы в коммерческих и иных организациях». Статьей 183 «Незаконные получение
и разглашение сведений, составляющих коммерческую, налоговую или банковскую
тайну» УК РФ № 63-ФЗ от 13 .06.1996 года (в ред. ФЗ от 07.08.2001 №
121-ФЗ) установлены штрафные санкции при нарушениях связанных с собиранием,
разглашением, похищением информации содержащую банковскую тайну. Собирание
такой информации, путем похищения документов, подкупа или угроз, и другим
незаконным способом наказывается штрафом в размере до 80 тысяч рублей или в
размере заработной платы или иного дохода осужденного за период от 1 до 6
месяцев либо лишением свободы на срок до 2 лет [2].
Информационные ресурсы банка формируются путем создания, сбора и
приобретения документированной информации о фактах, событиях и
обстоятельствах, имеющих отношение к кредитно-финансовой сфере. В целях
создания оптимальных условий для удовлетворения информационных потребностей
своих структурных подразделений, клиентов и корреспондентов, а также органов
государственной власти банк приобретает и использует информационные системы,
или организационно упорядоченные массивы документов, информационные технологии
и средства их обеспечения, или средства вычислительной техники и связи,
обеспечивающие обработку, хранение и передачу информации.
В соответствии с ФЗ «Об информации, информатизации и защите
информации» № 24-ФЗ от 20.02.1995 г. (в ред. ФЗ от 10.01.2003 № 15-ФЗ)
документы банка, его информационные системы, а также средства обеспечения их
деятельности являются составной частью имущества банка и объектом его права
собственности. Этот Федеральный закон регулирует отношения, возникающие при:
формировании и использовании информационных ресурсов на основе создания, сбора,
обработки, накопления, хранения, поиска, распространения и предоставления
потребителю документированной информации; создании и использовании
информационных технологий и средств их обеспечения; защите информации, прав
субъектов, участвующих в информационных процессах и информатизации [4].
Согласно ст. 13.12 Кодекса РФ «Об административных
правонарушениях» № 195-ФЗ от 30.12.2001 г. (в ред. от 03.07.2006 № 97-ФЗ)
нарушение правил защиты информации использование несертифицированных средств,
предназначенных для защиты информации, составляющей государственную тайну,
влечет наложение административного штрафа на должностных лиц в размере от
тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от
200 до 300 МРОТ с конфискацией несертифицированных средств, предназначенных для
защиты информации, составляющей государственную тайну, или без таковой [3].
Постановление Правительства РФ № 290 от 30.04.2002 г. «О
лицензировании деятельности по технической защите конфиденциальной информации»
(в ред. Постановлений Правительства РФ от 17.12.2004 № 807) определяет порядок
лицензирования деятельности юридических лиц и индивидуальных предпринимателей
по технической защите конфиденциальной информации [1].
Основными видами посягательств на объекты информатизации
банка являются: противозаконный сбор и использование информации,
несанкционированный доступ к информационным ресурсам, манипулирование
информацией (дезинформация, сокрытие или искажение информации), незаконное
копирование данных в информационных системах, хищение информации из библиотек,
архивов и баз данных; нарушение технологии обработки информации. Указанные
посягательства на объекты информатизации совершаются как в сфере традиционного
документооборота, так и в сфере новейших информационных технологий.
Характеристика правонарушений в сфере информационных технологий
представлена в приложении 5.
Преступные
посягательства на информацию (в первую очередь утечка конфиденциальной
информации и злоупотребление ею) занимают одно из первых мест среди основных
факторов риска, отрицательно влияющих на результаты экономической деятельности.
В большинстве развитых иностранных государств такие деяния влекут за собой
применение весьма строгих санкций. В США, например, для лиц, злоупотребляющих
информацией при заключении сделок с ценными бумагами, предусмотрены штрафы в 1
млн. долл. (для юридических лиц 2,5 млн. долл.) либо тюремное заключение сроком
до 10 лет; в Великобритании денежный штраф в неограниченной сумме и (или)
тюремное заключение до 7 лет, а для соучастников - 6-месячное содержание под
стражей и (или) штраф. Во Франции для лиц, уличенных в злоупотреблениях,
установлено наказание в виде тюремного заключения от 2 месяцев до 2 лет и
(или) денежный штраф либо в 10-кратном размере незаконно полученной прибыли [15].
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35 |