3.3. Обеспечение информационной безопасности банка

Организация работы по рассматриваемому направлению осуществ-

ляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня

конфиденциальных сведений банка как объекта защиты и присвоение им

соответствующего грифа секретности. Можно рекомендовать следую-

щий типовой укрупненный перечень (исходя из условий конкретного

банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения (гриф ХХХ2) включают в

себя:

- информацию, составляющую банковскую тайну, разглашение ко-

торой способно нанести стратегический ущерб интересам клиентов бан-

ка (стратегия маркетинга, новые научные и технологические разработки,

финансовые резервы и места их хранения, используемые схемы налого-

вого планирования и т.п.);

- закрытую информацию о собственниках, принадлежащих им ак-

тивах, механизмах коммерческого партнерства с банком, формах уча-

стия в прибылях;

- информацию о стратегических планах банка по коммерческому и

финансовому направлениям деятельности, вопросам перспективного ре-

2 Коммерческим структурам не рекомендуется использовать традиционную систему

грифов «Секретно», «Совершенно секретно», «Для служебного пользования»,

«ООО» и т.п., поскольку это облегчает поиск наиболее ценной информации для

хищения. Более целесообразно применять собственную систему грифов.

гионального развития, слияния с другими кредитно-финансовыми орга-

низациями или поглощения их, о дружественных банках и иных финан-

совых институтах (особый характер отношений с которыми необходимо

на время скрыть);

- любую информацию о деятельности службы безопасности, реа-

лизуемой в рамках стратегий «упреждающего противодействия» и, час-

тично, «адекватного ответа»;

- прикладные методы защиты информации банка (коды, пароли,

программы).

Строго конфиденциальные сведения (гриф ХХ) включают в себя:

- все прочие конфиденциальные сведения о клиентах банка;

- информацию маркетингового, финансового и технологического

характера, составляющую коммерческую тайну;

- информацию о сотрудниках банка, содержащуюся в индивиду-

альных досье.

Конфиденциальные сведения (гриф Х) включают в себя:

- базы данных по направлениям деятельности кредитно-

финансовой организации, созданные и поддерживаемые в качестве эле-

ментов обеспечения соответствующих систем управления;

- сведения о заработной плате и индивидуальных «социальных па-

кетах» сотрудников банка, а также составе «резерва на выдвижение»;

- внутренние регламенты (положения, инструкции, приказы и т.п.)

используемые в системе внутрибанковского менеджмента.

Наконец, к информации для служебного пользования относятся лю-

бые другие сведения, не подлежащие публикации в открытых источни-

ках.

Результатом этой работы является внутренний (строго конфиденци-

альный) документ – «Перечень сведений, составляющих банковскую и

коммерческую тайну». Наряду с определением общего состава защи-

щаемой информации он должен содержать порядок понижения уровня

ее секретности и последующего полного рассекречивания. Это является

отражением процессов естественного устаревания любых конфиденци-

альных сведений. По прошествие определенного времени или при изме-

нении ситуации (например, ликвидации фирмы – клиента банка) они пе-

рестают нести угрозу информационной безопасности банка, поэтому

дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки

(перехвата) конфиденциальной информации банка. При этом выде-

ляются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети

банка, целью определения которых является выявление (для последую-

щей организации их особой защиты) терминалов:

- объединенных в закрытые локальные сети;

- используемых работниками банка - носителями особо секретных

сведений;

- подключенных к локальным сетям и доступных для использова-

ния клиентами банка, а также другими лицами, не являющимися его со-

трудниками.

Каналы утечки с использованием технических средств перехвата

информации, целью определения которых является выявление помеще-

ний, нуждающихся в особой защите:

- зал заседания Правления и Совета директоров;

- кабинеты высших руководителей и ведущих экспертов;

- хранилище банка;

- офисы службы программного обеспечения;

- офисы службы безопасности;

- помещения, в которых обычно осуществляется неформальное

общение сотрудников банка (туалетные и курительные комнаты, буфе-

ты, столовая);

- комнаты для переговоров и т.п.

Каналы утечки по вине нелояльных или безответственных сотруд-

ников банка, целью определения которых является составление перечня

рабочих мест (должностей), ранжированных по принципу доступа к раз-

личным группам защищаемой информации и нуждающихся в специаль-

ном обучении, защите или особом контроле:

- носители абсолютно конфиденциальной информации (допуск

«А»);

- носители строго конфиденциальной информации (допуск «В»);

- носители конфиденциальной информации (допуск «С»);

- группа повышенного риска (молодые специалисты и недавно на-

нятые сотрудники).

Основной целью работы по второму этапу выступает выявление

наиболее вероятных угроз в отношении каждой из позиций указанного

выше «Перечня», следовательно – обеспечение возможности выбора

наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных

методов защиты информации. Они делятся на следующие группы:

К методам программно-математического характера относятся:

- программы, ограничивающие доступ в компьютерные сети и от-

дельные компьютеры банка;

- программы, защищающие информацию от повреждения умыш-

ленно или случайно занесенными вирусами (автоматическое тестирова-

ние при включении компьютера, при использовании СД - дисков или

дискет);

- программы, автоматически кодирующие (шифрующие) инфор-

мацию;

- программы, препятствующие перезаписи информации, находя-

щейся в памяти компьютера, на внешние носители или через сеть;

- программы, автоматически стирающие определенные данные с

ограниченным для конкретного пользователя временем доступа.

К методам технического характера относятся:

- использование экранированных помещений для проведения кон-

фиденциальных переговоров;

- использование специальных хранилищ и сейфов для хранения

информации на бумажных носителях (при необходимости с устройства-

ми автоматического уничтожения ее при попытке несанкционированно-

го проникновения);

- использование детекторов и иной аппаратуры для выявления уст-

ройств перехвата информации;

- использование защищенных каналов телефонной связи;

- использование средств подавления устройств перехвата инфор-

мации;

- использование средств автоматического кодирования (шифровки)

устной и письменной информации.

К методам организационного характера относятся:

- мероприятия по ограничению доступа к конфиденциальной ин-

формации (общережимные мероприятия, системы индивидуальных до-

пусков, запрет на вынос документов из соответствующих помещений,

возможность работы с соответствующей компьютерной информацией

лишь с определенных терминалов и т.п.);

- мероприятия по снижению возможности случайного или умыш-

ленного разглашения информации или других форм ее утечки (правила

работы с конфиденциальными документами и закрытыми базами ком-

пьютерных данных, проведения переговоров, поведения сотрудников

банка на службе и вне ее);

- мероприятия по дроблению конфиденциальной информации, не

позволяющие сосредоточить в одном источнике (у сотрудника, в доку-

менте, файле и т.п.) все сведения по вопросу, интересующему потенци-

ального субъекта угроз;

- мероприятия по контролю над соблюдением установленных пра-

вил информационной безопасности;

- мероприятия при выявлении фактов утечки той или иной конфи-

денциальной информации.

Четвертым этапом является непосредственное формирование

и внедрение подсистемы информационной безопасности банка,

предполагающее:

Разработку общей концепции информационной безопасности, как

элемента общей стратегии безопасности банка, определяющей:

- принципы ранжирования конфиденциальной информации по сте-

пени ее важности для банка, следовательно, по требованиям к эффек-

тивности защиты;

- подходы к обеспечению специальными программными продук-

тами (самостоятельная разработка или заказ у специализированных под-

рядчиков);

- подходы к распределению ответственности за обеспечение ин-

формационной безопасности между уполномоченными штабными

службами (безопасности, персонала, маркетинга, информационных тех-

нологий) и линейными подразделениями;

- подходы к выбору методов пресечения выявленных угроз;

- подходы к выделению ресурсов, необходимых для профилактики

и пресечения возможных угроз (фиксированный процент от общей сум-

мы собственных расходов банка, выделение средств под представленные

сметы и целевые программы и т.п.);

- критерии оценки эффективности защиты конфиденциальной ин-

формации;

Разработку внутренней нормативной базы в составе:

- общих для всего банка регламентов (например, «Положение о

правилах обеспечения информационной безопасности», «Правила про-

ведения конфиденциальных переговоров», «Правила работы с закрыты-

ми базами данных», «Перечень сведений, составляющих банковскую и

коммерческую тайну» и т.п.),

- внутренних регламентов службы безопасности банка, включая

должностные инструкции ее сотрудников, специализирующихся в этой

области;

- правил обеспечения информационной безопасности, фиксируе-

мых в регламентах конкретных структурных подразделений банка и

должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

- для приобретения (самостоятельной разработки), эксплуатации и

обновления программных средств и средств инженерно-технической

защиты;

- для проведения соответствующих организационных мероприя-

тий;

- службе безопасности для осуществления специальных профилак-

тических и контрольных мероприятий.

Обучение персонала банка и специалистов самой службы безопас-

ности правилам обеспечения информационной безопасности (см. под-

раздел 1.4).

Формирование и последующее развитие формализованных процедур

контроля над соблюдением установленных в рамках данной подсистемы

правил силами:

- службы безопасности банка;

- руководства структурных подразделений.