2987 (Совершенствование инфокоммуникационного сопровождения банковской деятельности), страница 5

Таблица 1.4 - Меры применяемые Банком России, с целью правового регулирования Интернет-банкинга.

Точки зрения	Меры применяемые Банком России
С точки зрения осуществления мониторинга степени вовлеченности российских банков в процесс Интернет-банкинга	1. введение для банков уведо­мительного порядка открытия информационного, коммуникационного или операционного сайта в сети Интернет и регулярное раскрытие Банком России этой информации для всех заинтересованных лиц; 2. отслеживание ряда параметров, таких, как: доля счетов, предназначенных для про­ведения операций с использованием сети Интернет, в общем количестве открытых счетов; количество клиентов, являющихся пользователями сети Интернет; объемы операций и др.
С точки зрения адек­ватного контроля Интернет-банкинга	установление для кредитных организаций, оказывающих услуги Интернет-банкинга, дополнительных требовании по организации системы внутреннего контроля; оказание содействия образованию саморе­гулируемых организаций из числа кредит­ных организаций-участников Интернет-банкинга; коррекция правил расчета обязательных экономических нормативов с целью учета новых техногенных рисков; изучение вопросов влияния Интернет-банкинга на системный риск банковской сис­темы и механизмы проведения денежно-кредитной политики; расширение сотрудничества с регулирующими и контролирующими органами других стран, так как надзор за Интернет-банкингом в силу его природы должен носить международный характер; 6. расширение использования информационных технологий в своей внутренней де­ятельности, активизация работы по фор­мированию внутренней информационной сети.

Можно ожидать, что, несмотря на связан­ные с Интернет-банкингом риски, кредитные организации продолжат активно внедрять но­вейшие информационные технологии с целью максимального удовлетворения потребностей клиентов. Интернет-банкинг как одно из на­правлений банковского дела имеет большой потенциал для дальнейшего развития, и регу­лирующие органы должны обеспечить после­довательное развитие Интернет-банкинга в России и построение системы пруденциаль­ного банковского надзора, адекватной приня­тым банками технологическим рискам [19].

Таким образом, можно отметить, что история возникновения удаленного банковского обслуживания началась еще в 1980-х гг.

На Западе использование банками глобальной мировой сети Интернет для обслуживания клиентов явилось логическим развитием тех­нологии home banking. Удаленный банковский сервис на дому начи­нался в 1980-х гг. с телефонного банковского обслуживания. Затем появились услуги удаленного обслуживания с использованием персо­нального компьютера и прямого подключения к банковским серверам (PC-banking).

В течение последних нескольких лет бан­ковское обслуживание через компьютерные системы связи стало наиболее быстро развивающимся направлением деятельности рос­сийских кредитных организаций. Подтверждением быстрых темпов внедре­ния в банковском секторе Интернет-техноло­гий является то, что если 3 года назад web-сайты имели немногим более трети российских кре­дитных организаций, то на сегодня в сети имеют представительства около 70 % этих учреждений. Кроме того, если тогда опе­рационные услуги через Интернет предостав­ляли около 50 банков, то се­годня таких организаций около 300 [24].

На сегодняшний день большинство банков предлагают свои услуги через собственные отделения, банкоматы, те­лефоны, по почте (bank-by-mail), через отделения, принадлежа­щие партнерам или агентам, через Интернет. В будущем банковские услуги наверняка бу­дут предоставляться и по беспроводным ка­налам.

Рассмотрев возникновение услуг, осуществляемых посредством инфокоммуникаций можно приступить к описанию порядок обеспечения защиты и безопасности банковской информации.

1.3. Порядок обеспечения защиты и безопасности банковской информации

Информационная безопасность банка - это защищенность информации, которой располагает банк (банковской тайны, тайны вкладов, банковских операций и пр.) от несанкционированного доступа, разрушения, модификации, раскрытия третьим лицам и задержек при поступлении [37].

Другими словами, безопасность информации (данных) банка – это техническая, программная и физическая защита информации (данных) от внутренней и внешней опасности. Защита информации (данных) банка – это деятельность по обеспечению безопасности информации (данных) [46].

Защите подлежит информация, содержащаяся в объектах защиты и относящаяся к одной из категорий конфиденциальности информации. Объектами защиты в платежной системе являются: документированная информация; информационные ресурсы, технологии и системы; права пользователей на получение безопасных информационных услуг.

Исходными условиями создания полноценной системы банковской безопасности должны быть четкие представления о ее сущности, структуре целей обеспечения безопасности, о вытекающих из этих целей практических задачах, о видах банковских угроз и их источниках, а также о мерах противодействия [27].

Проблема безопасности для банка распа­дается на три компонента: предотвращение, обнаружение и реагирование (рис. 1.5).

обнаружение

Проблемы обеспечения безопасности

предотвращение

реагирование

Рис. 1.5 – Компоненты проблем безопасности в банковской сфере

Для предотвра­щения хакерских атак на веб-сайтах исполь­зуются проверенные технологии: безопасные соединения, технологии шифрования и виртуальные частные сети. Кроме того, рассматривается возможность бо­лее активного применения биометрических технологий, использующих уникальные харак­теристики человеческого организма, включая отпечатки пальцев, радужную оболочку глаза и фонетические особенности голоса. Предотвращение атак на компьютерную сеть предусматривает их имитацию для поиска уязвимых мест и проверки средств защиты.

Обнаружение их включает по­стоянный мониторинг систем, причем иногда для этого привлекаются внешние фирмы. Для реагирования на проблемы безопасности бан­ки создают силы быстрого реагирования, которые оценивают чрезвычайные происше­ствия и обеспечивают скоординированную ре­акцию.

Вопросы безопасности в данной сфере ус­ложняются тем, что банк не может существо­вать в вакууме. Он может иметь несколько се­тей банкоматов, ряд старых сетей и систем, сеть для связи между отделениями и офисами, волоконно-оптические каналы для связи с удаленными центрами, веб-сайт, а также сис­темы, соединяющие все это воедино. Любая из перечисленных систем может быть уязви­ма. Дополнительные риски создают неадекват­ные правила защиты, к тому же нельзя забывать и о человеческом факторе (известно, что боль­шинство проблем в области безопасности со­здают именно сотрудники компании) [13].

Организация информационной безопасности начинается с политики информационной безопасности – внутреннего документа, содержащего в себе основные принципы такой безопасности банка, используемые защитные механизмы и правила их эксплуатации.

Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на рис. 1.6.

Результатом этих работ становится рабочая система информационной безопасности, регламентируемая документом «Политика информационной безопасности» [18].

Общая политика информационной безопасности

Используемые технологии

Бизнес-процессы

Ожидаемые риски и угрозы

Концепция информационной безопасности

Модель защиты и восстановления

Определение технических средств защиты и восстановления

Выработка правил информационной безопасности для сотрудников и прочих пользователей информационной системы

Установка и эксплуатация технических средств

Мониторинг

Восстановление и устранение последствий

Анализ эксплуатации системы безопасности

Рис. 1.6 – Схема организации информационной безопасности

Вообще для обеспечения и совершенствования информационной безопасности целесообразно разработать единую концепцию обеспечения защиты и безопасности информации, которая должна базироваться на комплексной реализации определенных мер (приложение 4) [33].

Система обеспечения защиты и безопасности банковской информации состоит из трех основных направлений, они представлены на рис. 1.7.

Направления системы обеспечения защиты и безопасности банковской информации

система обеспечения информационной безопасности

система мероприятий по оценке лояльности персонала

система учета, хранения, приема и передачи документов, содержащих конфиденциальную информацию

Рис. 1.7 - Направления системы обеспечения защиты и безопасности банковской информации

Следует отметить, что в каждой пользовательской точке участвуют как методы защиты от несанкционированного доступа, так и контроль. Хранение информации должно осуществляться на отдельно стоящих специализированных серверах, разграниченных по функциональному назначению и изолированных от доступа к ним всех пользователей.

Доступ в помещение, где находятся серверы банка, коммуникационная аппаратура для связи, оптический кроссы, специализированное отдельно стоящее оборудование, выделенные каналы связи, ограничивается кодовым замком, что позволит исключить возможность проникновения посторонних лиц и перекроет доступ к физическим носителям, сетевым коммуникациям.

С целью предотвращения несанкционированного проникновения внутрь системных блоков, все корпуса рабочих станций закрываются и опечатываются специальными маркерами.

Для идентификации пользователя необходимо использовать парольную защиту, предоставляющую персональные права на доступ к информации банка. Каждому пользователю оформляется карта доступа - минимум возможностей и прав для работы в АБС.

Для защиты от вирусных атак, преднамеренного заражения компьютеров различного рода вирусами, банк обеспечивается антивирусными программами с постоянно обновляемой базой. Доступ в Интернет должен постоянно контролироваться на программном уровне при помощи специализированных программ. Защита баз данных от технических сбоев осуществляется путем ежедневного резервного копирования информации Банка на специальном сервере, с последующим архивированием необходимой информации.

Для обмена информации банк обеспечивается различными каналами связи с соответствующими степенями защиты, шифрования информации.

Системы связи должны состоять из офисной мини-АТС, телефонных коммуникаций и соответствовать следующим требованиям: находиться в защищенном от посторонних лиц месте, программирование и настройка соединений должны производиться с соблюдением норм конфиденциальности, протоколы переговоров постоянно должны контролироваться на предмет несанкционированных телефонных контактов.

Инструкции по информационной безопасности: о резервном копировании информации, по организации парольной защиты, о порядке действий в нештатных ситуациях, по организации антивирусной защиты, об администраторах информационной безопасности (АИБ) разрабатываются и утверждаются единым пакетом в форме отдельных внутрибанковских документов [51].