Файл: Система защиты информации в банковских системах (Общее понятие банковской деятельности).pdf

В 2015 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России опубликовала проект документа — «Методика определения угроз безопасности информации в информационных системах». Он должен был заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008. В итоге обновленная Методика так и не вступила в силу. В 2017 г. регулятор обещает представить еще один проект.

Тем не менее нам, как компании, осуществляющей услуги по разработке систем защиты персональных данных, хотелось бы придерживаться во всех проектах унифицированного алгоритма определения актуальных угроз безопасности персональных данных, соответствующего развитости информационных технологий сегодняшнего дня [1]. В данной статье рассмотрены наглядные графические модели алгоритмов определения актуальных угроз безопасности персональных данных обеих методик, отмечены их недостатки, а также представлены собственные видения компании по актуализации данных алгоритмов. Общая структура методического документа

Процесс определения угроз безопасности информации проекта Методики, в отличие от действующего руководящего документа, делится на четыре этапа:

1. Область применения процесса определения угроз безопасности информации.

2. Идентификация угроз безопасности информации и их источников.

3. Определение актуальных угроз безопасности информации.

4. Мониторинг и переоценка угроз безопасности информации. Добавлены первый и четвертый этапы, регламентирующие действия, которые необходимо проводить до и после самого процесса определения актуальных угроз безопасности информации.

Таким образом, ФСТЭК России устанавливает для него непрерывный жизненный цикл. В процесс определения области применения входит выявление физических и логических границ ИС, в которых принимаются и контролируются меры защиты информации ответственным оператором, а также определяются объекты защиты и сегменты информационной системы.

Мониторинг и переоценка угроз безопасности информации представляют собой пересмотр логических и физических границ ИС, ее базовых конфигураций и структурно-функциональных характеристик, которые могли быть изменены в результате переопределения целей и задач ИС, и повторную оценку актуальных угроз безопасности информации с последующим анализом этих изменений.

Пересмотр модели угроз рекомендовано проводить не реже одного раза в год. К проекту Методики добавлены три приложения: 1. Приложение № 1 «Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации». 2. Приложение № 2 «Структура модели угроз безопасности информации». 3. Приложение № 3 «Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе»

Стоит отметить, что темы приложений, не раскрытые в действующем методическом документе, являются актуальными и вносят конкретику, например, в части формирования структуры документа «Частная модель угроз безопасности информации», получаемого на выходе процесса определения угроз безопасности информации в ИС.

Однако есть весомый недостаток в самом процессе определения угроз безопасности информации — для современных информационных систем показатель уровня проектной защищенности в любом случае получается «высокий», что приводит к актуальности большей части угроз безопасности информации, присущих ИС, и сказывается на построении систем защиты. Такая ситуация затрудняет использование методического документа на практике в случае его утверждения в данной редакции. Поэтому ФСТЭК России, учитывая все замечания к проекту Методики, обещала пересмотреть данную версию и выпустить в начале 2017 г. переработанный документ.

ЗАКЛЮЧЕНИЕ

Банковская система является одной из самых важных составляющих любого современного государства. Помимо функций бизнеса, банковская система имеет важную функцию в жизни общества. Важнейшим условием функционирования банков является обеспечение необходимого уровня информационной безопасности их активов. В век информационных технологий ключевую роль играет автоматизация различных процессов, в том числе связанных с оценкой рисков информационной безопасности организаций банковской сферы и выбором программно аппаратных средств защиты информации.

Обеспечение информационной безопасности банковской системы регламентируется стандартом банка России СТО БР ИББС 1.0 2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В данном документе описаны основные положения, касающиеся защиты информации в банковской системе, описаны модели угроз нарушителей информационной безопасности, а также описаны требования к организации и обеспечению информационной безопасности в организациях банковской сферы. Оценка достаточности принятых мер по защите информации в банковской сфере осуществляется в соответствии со стандартом СТО БР ИББС 1.1 2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности». Документ РС БР ИББС 2.2 2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» носит рекомендательный характер и содержит подробное описание методики оценки рисков нарушения информационной безопасности в организациях банковской сферы. В соответствии с этим стандартом выделяют этапы оценки рисков, представленные на рисунке 1. В ходе определения возможности реализации угроз безопасности информации в организациях банковской сферы анализируются типы информационных активов организации, типы объектов среды, перечень источников угроз безопасности информации, степень возможности реализации угрозы и оценка степени тяжести последствий нарушения свойств безопасности информации. Подробное описание каждого этапа приведено в источнике .

СПИСОК ЛИТЕРАТУРЫ

1. Бутакова Н.Г., Федоров Н.В. Криптографические методы и средства защиты информации: учебное пособие. – СПб.: ИЦ «Интермедия», 2016, 384 с.
2. Банковский сектор в 2016 году: «черная полоса» затянулась [Электронный ресурс]. – URL: http://www.klerk.ru/ bank/articles/437809/.
3. Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, 2014., № 5 с.54-59.
4. Деднев М.А., Дыльнов Д.В. Защита информации в банковском деле и электронном бизнесе: учебное пособие. – М.: КУДИЦ ОБРАЗ, 2004, 512 с.
5. Дистанционное банковское обслуживание [Электронный ресурс]. – URL: http://www.bankdbo.ru.
6. Коммерческая деятельность / Березенков В.В., Трубилин А.И., Гайдук В.И., Михайлушкин П.В. – Москва, 2011.
7. Критерии и показатели оценки уровня экономической безопасности кредитной организации [Электронный ресурс]. – 2016. – URL: http://www.bavari.ru/ stufs-667-3.html
8. Ларичев В. Предупреждение работниками банка мошенничества и иных злоупотреблений, связанных с выдачей ссуд. // Деньги и кредит. 2015 г. - № 3, с.44-47.
9. Макоско А., Перемышленников Н. Управление рисками нарушения информационной безопасности в банках «BIS Journal» № 1(8) / 2013 [Электронный ресурс] Режим доступа: http: // www.journal.ib bank.ru / post / 174
10. Мусатаева М. О. Источники, виды и факторы угроз экономической безопасности, создание службы экономической безопасности // Научно-методический электронный журнал «Концепт». – 2015. – Т. 23. – С. 26–30
11. Фот, Ю. Д. Модель определения уровня защищенности системы отбора персонала организации [Электронный ресурс] / Ю. Д. Фот, А. С. Боровский // Интеллект. Инновации. Инвестиции,2016. № 2. С. 117 123.
12. Шпак В. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. — 2015 г. — январь-февраль, с.75-86.
13. Якунина И. А., Федотова Г. В. Кредитование юридических лиц в российской банковской системе в условиях финансового кризиса // Юность и Знания – Гарантия Успеха – 2015: сб. науч. тр. 2-й Междунар. науч.-практ. конф. (1-2 окт. 2015 г.): в 2 т. / редкол.: А. А. Горохов (отв. ред.). – Курск, 2015. – Т. 1. – C. 251–255.
14. Якунина И. А., Сандрыгайло В. П., Федотова Г. В. Обзор экономических изменений в России в период санкций // Юность и Знания – Гарантия Успеха – 2015: сб. науч. тр. 2-й Междунар. науч.-практ. конф. (1-2 окт. 2015 г.): в 2 т. / редкол.: А. А. Горохов (отв. ред.). – Курск, 2015. – Т. 1. – C. 165–169.
15. Якунина И. А., Федотова Г. В., Сандрыгайло В. П. Особенности кредитного процесса в коммерческом банке [Электронный ресурс] // Управление, Бизнес и Власть : электрон. науч. журнал. – 2015. – № 1. – URL: http:/ /ubv.esrae.ru/133.
16. Якунина И. А., Федотова Г. В. Причины отказа кредитования юридических лиц // Молодёжь и XXI век – 2016 : материалы VI Междунар. молодёж. науч. конф. (25-26 февр. 2016 г.): в 4 т. / редкол.: А. А. Горохов (отв. ред.) [и др.]. – Курск, 2016. – Т. 1. – C. 414–417