Можно выделить перечень прикладных методов защиты информации. Они делятся на следующие группы: К методам программно-математического характера относятся:
- программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;
- программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);
- программы, автоматически кодирующие (шифрующие) информацию;
- программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;
- программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.
К методам технического характера относятся:
■ использование экранированных помещений для проведения конфиденциальных переговоров;
■ использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройства ми автоматического уничтожения ее при попытке несанкционированного проникновения);
■ использование детекторов и иной аппаратуры для выявления устройств перехвата информации;
■ использование защищенных каналов телефонной связи;
■ использование средств подавления устройств перехвата информации;
■ использование средств автоматического кодирования (шифровки) устной и письменной информации.
К методам организационного характера относятся:
- мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);
- мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее);
- мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;
- мероприятия по контролю над соблюдением установленных правил информационной безопасности;
- мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.
Непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагает:
Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:
- принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;
■ подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных под рядчиков);
■ подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;
- подходы к выбору методов пресечения выявленных угроз;
- подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);
- критерии оценки эффективности защиты конфиденциальной информации;
Разработку внутренней нормативной базы в составе:
- общих для всего банка регламентов (например, Положение о правилах обеспечения информационной безопасности, Правила проведения конфиденциальных переговоров, Правила работы с закрытыми базами данных, Перечень сведений, составляющих банковскую и коммерческую тайну и т.п.),
- внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области;
■ правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.
Расчет и выделение финансовых ресурсов необходимых:
■ для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно-технической защиты;
■ для проведения соответствующих организационных мероприятий;
■ службе безопасности для осуществления специальных профилактических и контрольных мероприятий.
Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности.
Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:
- службы безопасности банка;
■ руководства структурных подразделений
