Файл: Система защиты информации в банковских системах (Понятие и значение информационной безопасности в банковской деятельности ).pdf

Философия ОАО Банк «ОТКРЫТИЕ»: «Реализация возможностей: у каждого из нас есть возможности, и мы имеем право их реализовывать».

Миссия: «Мы помогаем нашим клиентам, сотрудникам, контрагентам и даже конкурентам реализовывать их финансовые возможности».

Ценности: «Партнёрство как главный принцип в бизнесе».

Яркость и качество «ищем и находим надежные нестандартные решения».

Непрерывное развитие «двигаемся вперед, оставаясь собой».

Географическое присутствие: всего 225 офисов, присутствие в 53 городах, плотная сеть и ведущие позиции в Санкт-Петербурге и Екатеринбурге.

Органами управления Банка «ОТКРЫТИЕ» являются:

• Общее собрание акционеров Банка;
• Совет директоров Банка;
• Коллегиальный исполнительный орган - Правление Банка;
• Единоличный исполнительный орган - Председатель Правления Банка.

Организационная структура ОАО Банк «ОТКРЫТИЕ» представлена в Приложении 1.

Таблица 2

Ключевые показатели ОАО «Банк «ОТКРЫТИЕ»

Приняв решение развиваться в качестве универсального банка, ОАО Банк «ОТКРЫТИЕ» ориентируется на предоставление своим клиентам полного набора актуальных банковских услуг. При этом Банк стремится максимально использовать современные технологии, профессионализм менеджмента и индивидуальный подход в обслуживании клиентов, укрепляя, тем самым, позиции Банка в классическом банковском сегменте.

Стратегия развития Банка на 2018-2021 годы направлена на максимизацию чистой выручки. Реализация стратегии подразумевает решение ряда задач:

• рост доли высокомаржинальных продуктов в кредитном портфеле, фокус на кредитовании физических лиц и предприятий МСБ;
• рост доли счетов до востребования в средствах клиентов;
• рост доли комиссионных доходов в выручке Банка;

Граничными условиями для максимизации выручки являются:

• поддержание структуры баланса и размера капитала Банка на уровне, достаточном для соблюдения обязательных нормативов, а также требований рейтинговых агентств для целевого рейтинга;
• достижение уровня рентабельности капитала, достаточного для дальнейшего роста капитализации Банка;
• контроль над уровнем издержек для поддержания уровня CIR не выше целевого;
• соблюдение профиля риска Банка, контроль над уровнем просроченной задолженности;
• предложение полной линейки продуктов для удовлетворения всех потребностей клиентов (а не только продуктов с максимальной маржей).

Второй аспект стратегии развития Банка – переход от модели «Клиент выбирает ПРОДУКТ» к модели «Клиент выбирает БАНК». Последняя предполагает рост качества и скорости обслуживания клиентов, предложение максимально удобного для клиентов времени работы Банка, доступность и близость к потребителю, наличие широкой продуктовой линейки (паи, различные депозиты, брокерские продукты и др., возможность выбора индивидуального срока продукта, пакетные решения).

2.2 Порядок проведения работа по обеспечению информационной безопасности в ОАО «БАНК «ОТКРЫТИЕ»

Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

1. Определение перечня сведений, составляющих банковскую и коммерческую и тайну, конфиденциальную информацию, в том числе персональные данные;
2. Разработку и последующее исполнение положения о категорировании помещений;
3. Описание системы;
4. Определение факторов риска;
5. Определение уязвимых мест систем;
6. Выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
7. Выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

Отнесение информации к банковской, коммерческой тайне, конфиденциальной информации, в том числе персональным данным - установление ограничений на распространение информации, требующей защиты.

Отнесение информации к информации ограниченного доступа осуществляется в соответствии с принципами законности, обоснованности и своевременности.

Обоснованность отнесения информации к информации ограниченного доступа заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения тайны.

Своевременность отнесения сведений к информации ограниченного доступа заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки).

Основание отнесения информации к категории информации ограниченного доступа регламентируется «Перечнем сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».

Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения.

В соответствии с этим среди информации, относимой к информации ограниченного доступа, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф конфиденциально – «КФ», банковская тайна – «БТ» и коммерческая тайна – «КТ».

Категорирование помещений производится по степени важности обрабатываемой в них информации.

В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

Для информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в них информации, с учетом «Перечня сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».

В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

• цели и задачи системы;
• пользователи и обслуживающий персонал;
• способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
• физическую топологию сети в зданиях Банка;
• логическую топологию сети Банка, ее основные характеристики;
• перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
• перечень используемого программного обеспечения (системного, прикладного, коммуникационного) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

2.3 Защита информации в автоматизированных системах и сетях ОАО «БАНК «ОТКРЫТИЕ»

Основным объектом защиты является информация, циркулирующая в программноаппаратных средствах, сетях, используемых в Банке) (АБС, автоматизированная система межбанковских расчетов, телефонная сеть и т.п.).

Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом внутренней и информационной безопасности Службы безопасности (далее - ОВиИБ СБ) совместно с Управлением инфотехнологий, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Банка, филиалов, дополнительных и операционных офисов на основе анализа материалов по системам обработки информации и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.

ОВиИБ СБ наделен следующими полномочиями:

• управление всеми планами по обеспечению ИБ Банка;
• разработка и внесение предложения по изменению политики ИБ Банка;
• изменение существующих и принятие новых нормативно-методических документов по обеспечению ИБ Банка;
• выбор программно-аппаратных средств управления и обеспечения ИБ Банка, пределение требований к техническим средствам защиты информации и организационным мерам защиты информации контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
• осуществление мониторинга событий, связанных с ИБ;
• проведение служебных проверок по событиям, связанным с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
• создание, поддержка и совершенствование системы управления ИБ Банка, участие в действиях, связанных с выполнением требований к обеспечению защиты информации, применяемых при восстановлении автоматизированных банковских систем после сбоев и отказов в работе объектов информационной инфраструктуры;
• доступ к журналам и мониторингу информационных ресурсов Банка на правах администратора;
• доступ к компьютерам сотрудников Банка в любое время функционирования Банка.

Основным компонентом защиты информации является «План защиты и план обеспечения непрерывной работы и восстановления систем», представляющий свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В План включаются следующие этапы работ:

1. Оценка существующего программно-аппаратного обеспечения;
2. Приобретение дополнительных программно-технических средств;
3. Монтаж и наладка систем безопасности;
4. Тестирование системы безопасности, проверка эффективности средств защиты;
5. Обучение пользователей и персонала, обслуживающего систему.
6. Законом «Об информации, информационных технологиях и о защите Информации» вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации.

Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ.

Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые.

При осуществлении технических мер применяются следующие средства защиты автоматизированных систем (в том числе систем с использованием сети Интернет):

1. Средства контроля доступа и назначения полномочий:

• средства контроля доступа в помещения;
• средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования (ПТС КП);
• средства контроля доступа к серверам;
• средства контроля доступа к сети передачи данных;
• средства защиты на уровне ПК;
• средства протоколирования действий пользователей и обслуживающего персонала в системе.

2. Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами или для связи с клиентами.

3. Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.

Перечисленные средства необходимо использовать с учетом следующих базовых принципов:

• каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает проведение служебной проверки для выявления нарушений и фактов проникновения;
• все элементы системы Банка должны быть разделены на «контуры защиты».