Обеспечение безопасности информации Банка

Можно выделить перечень прикладных методов защиты информации. Они делятся на следующие группы: К методам программно-математического характера относятся:

- программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;

- программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

- программы, автоматически кодирующие (шифрующие) информацию;

- программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

- программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

К методам технического характера относятся:

■ использование экранированных помещений для проведения конфиденциальных переговоров;

■ использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройства ми автоматического уничтожения ее при попытке несанкционированного проникновения);

■ использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

■ использование защищенных каналов телефонной связи;

■ использование средств подавления устройств перехвата информации;

■ использование средств автоматического кодирования (шифровки) устной и письменной информации.

К методам организационного характера относятся:

- мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

- мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее);

- мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

- мероприятия по контролю над соблюдением установленных правил информационной безопасности;

- мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

Непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагает:

Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:

- принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;

■ подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных под рядчиков);

■ подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;

- подходы к выбору методов пресечения выявленных угроз;

- подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);

- критерии оценки эффективности защиты конфиденциальной информации;

Разработку внутренней нормативной базы в составе:

- общих для всего банка регламентов (например, Положение о правилах обеспечения информационной безопасности, Правила проведения конфиденциальных переговоров, Правила работы с закрытыми базами данных, Перечень сведений, составляющих банковскую и коммерческую тайну и т.п.),

- внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области;

■ правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

■ для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно-технической защиты;

■ для проведения соответствующих организационных мероприятий;

■ службе безопасности для осуществления специальных профилактических и контрольных мероприятий.

Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности.

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

- службы безопасности банка;

■ руководства структурных подразделений