Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Под безопасностью информационной инфраструктуры Банка понимается ее свойство защищенности, выраженное в способности противостоять или противодействовать случайным или преднамеренным деструктивным воздействиям естественного или искусственного характера на нормальный процесс функционирования банковских электронных технологий, способным нанести ущерб владельцам и пользователям информации и поддерживающей инфраструктуры.

Система безопасности информационной инфраструктуры – совокупность правовых и морально-этических норм, административных, организационных мер и технических, программных и криптографических средств, направленных на создание свойств защищенности информационной инфраструктуры Банка от случайного и преднамеренного вмешательства в процесс ее нормального функционирования, сводящих до минимума возможный ущерб владельцу и клиентам Банка от уничтожения, повреждения, изменения и разглашения банковской информации.

Система формируется на основе анализа текущего состояния защищенности информационной инфраструктуры Банка; учета возможных в конкретной обстановке угроз безопасности и риска их реализации; создания методологии принятия управленческих и технологических решений и оргштатного механизма по обеспечению информационной безопасности; разработки Политики безопасности и Программы ее реализации.

В соответствии с определениями, предложенными "Согласованными критериями оценки безопасности информационных технологий Европейских стран (ITSEC)", информационная безопасность включает в себя три главные составляющие:

• конфиденциальность (защиту от несанкционированного получения информации);

• целостность (защиту от несанкционированного изменения информации);

• доступность (защиту от несанкционированного удержания информации и ресурсов).

С позиций безопасности информационной инфраструктуры главные составляющие (главные цели) в различных законодательных и рекомендательных базах формулируются следующим образом:

• Сохранность;

• Целостность;

• Доступность;

• Конфиденциальность;

• Законопослушность;

• Доказательность;

• Неотказуемость.

Под Сохранностью понимается обеспечение физической защищенности технических систем и средств, носителей информации от уничтожения, повреждения, хищения.

Под Законопослушностью понимается обеспечение следования субъектами установленным законодательным и нормативным актам и этическим нормам поведения в процессе информационных отношений.

Под Доказательностью понимается обеспечение условий формирования и представления доказательств как Законопослушности, так и его нарушения субъектом информационных отношений.

Под Неотказуемостью понимается обеспечение условий невозможности отказа субъекта от выполненных действий в процессе информационных отношений.

Обеспечение безопасности – это непрерывный процесс, а не разовые мероприятия, выполняемые от случая к случаю, по мере возникновения необходимости. Процесс этот должен охватывать все стороны жизни и деятельности субъекта, желающего жить и работать в безопасных условиях. Поэтому данные аспекты безопасности на практике существуют нераздельно. Условия выполнения данных аспектов составляют комплексную систему безопасности.

В качестве инструмента методологии безопасности информационной инфраструктуры в Банке создается Координационный Совет по информационной безопасности.

Аспекты банковской безопасности.

В соответствии с вышесказанным, можно ввести такие аспекты банковской безопасности:

• правовой;

• информационный;

• физический;

• экономический;

• психологический;

• Правовой.

Связан с правовым регулированием сетевого информационного пространства, защитной деятельности коммерческих организаций и пр.

В Украине соответствующие нормы регулируют следующие законы: «Про банк і банківську діяльність», «Про інформацію», «Про підприємства в Україні», «Про власність», «Про захист інформації в автоматизованих системах», «Про організаційні основи боротьби з організованою злочинністю», «Про прокуратуру» и др.

Специфику норм безопасности на международном уровне и базовые положения банковской информационной безопасности определяют: Trusted Network Interpretation of the Trusted computer System Evaluation Guidelines (Red Book), Согласованные критерии оценки безопасности информационных технологий Европейских стран (ITSEC), Federal Information Processing Standard (FIPS или White Book – европейский аналог Orange Book), Trusted Computer Security Evaluation Criteria (TCSEC или Orange Book). Данные документы носят рекомендательный характер. Правовой аспект банковской безопасности является основой реализации остальных аспектов безопасности.

Информационный

• криптографические методы шифрования внутренней информации;

• протоколы реализации межбанковской передачи информации;

• сетевые (и несетевые) сервисы клиент-банк, сюда же входят проблемы аутентификации и цифровой подписи.

В современном программном обеспечении (ПО) криптоалгоритмы широко применяются не только для задач шифрования данных, но и для аутентификации и проверки целостности. На сегодняшний день существуют хорошо известные и апробированные криптоалгоритмы, криптостойкость которых либо доказана математически, либо основана на необходимости решения математически сложной задачи (факторизации, дискретного логарифмирования и т.п.). К наиболее известным из них относятся DES, ГОСТ, RSA.

Человеческий фактор. В первую очередь это связано с выбором паролей. Очевидно, что короткие или осмысленные пароли легко запоминаются человеком, но они гораздо проще для вскрытия. Использование длинных и бессмысленных паролей, безусловно, лучше с точки зрения криптостойкости, но человек обычно не может их запомнить и записывает на бумажке, которая потом либо теряется, либо попадает в руки злоумышленнику.

Физический

Главная задача данного аспекта – обеспечить, прежде всего, сохранность всех информационных ресурсов и затем ограниченность доступа к закрытым информационным ресурсам.

Также важной составляющей физической безопасности есть необходимость обеспечения бесперебойной работы банка.

План бесперебойной деятельности банка, как основа комплексной системы безопасности

План обеспечения бесперебойной деятельности банка представляет собой детальный перечень мероприятий, которые должны быть выполнены до, во время и после бедствия. Этот план документируется и регулярно испытывается, чтобы в случае чрезвычайной ситуации он обеспечил продолжение деятельности организации и наличие критически важных ресурсов.

В плане обязательно должны быть указаны следующие сведения:

• имена, адреса и номера телефонов ведущих сотрудников;

• потенциально опасные события и вероятность их наступления;

• оценка возможного ущерба в случае чрезвычайных ситуаций;

• список жизненно важных функций и приоритеты их восстановления;

• цели и обязанности сотрудников при восстановлении нормальной деятельности банка;

• списки необходимых ресурсов, как внешних, так и внутренних, включая технические средства, программное и информационное обеспечение, средства связи, офисное оборудование, документацию и персонал;

• вспомогательная информация – перечень возможных поставщиков оборудования и программных средств, список оповещаемых организаций и т. п.;

• резервные помещения, их оборудование и процедуры организации работ;

• перечень резервируемых технических средств и данных, процедуры создания резервных копий информации;

• пошаговые процедуры, детально описывающие, как должны выполняться действия по восстановлению функционирования банка;

• заблаговременные мероприятия по уменьшению опасности чрезвычайных происшествий и минимизации ущерба от них;

• административные мероприятия по координации работ, связанных с восстановлением деятельности банка;

• механизм регулярных проверок, уточнений и испытаний плана;

• список адресов для рассылки плана.

Промисловий шпіонаж.

Основные термины и понятия промышленного шпионажа.

• Промышленный шпионаж — несанкционированное получение, использование или изменение информации, представляющей коммерческую ценность.

• Торговый секрет — любая формула, образец, изделие, препари­рованная информация, используемая в бизнесе и дающая преимуще­ства перед конкурентами.

К торговому секрету могут относиться сведения о формировании цены на товар и о самом товаре, о размере прибыли и объеме производства продукции, о взаимоотношениях с другими фирмами и о заключенных контрактах. К конфиденциальной информации так­же относятся данные о занятости, организационные расходы, производственная техника, планы расширения и финансирования, производственные затраты, данные исследований и разработок.

• Право промышленной секретности — режим секретности, вводи­мый на совместных предприятиях для защиты вносимой сторонами в уставной фонд или производимой ими в процессе совместной дея­тельности научно-технической информации идокументации; высту­пает в качестве интеллектуальной собственности и имущественных прав, известных за рубежом под названием "джойнтс венчурс".

• Инсайдер — лицо, располагающее конфиденциальной деловой информацией в силу своего служебного положения. В ряде стран законодательство запрещает ему заключение деловых сделок и кон­сультирование третьих лиц при проведении финансовых, торговых и других хозяйственных операций.

• Секретная информация фирмы — не являющаяся общественной информация о технологических секретах фирмы и ее продукции, включая информацию, относящуюся к исследованиям и разработкам,производству, закупкам, финансам, технике, рынку, торговле, продаже.

Промышленный шпионаж и законодательство

Законодательства развитых стран очень слабы отношении защиты предприятий и фирм от промышленного шпионажа. Вот высказы­вание американского специалиста по этому вопросу: "Нет еще зако­нов, обеспечивающих надлежащую защиту от похитителей секретных знаний и данных. Те, кто крадут эту ценную собствен­ность, находятся в выгодном положении по сравнению с теми, кто крадет материальное имущество, так как первые не подпадают под действие "Национального закона о хищении имущества". "Кроме того,—как утверждает Бержье,— промышленный шпион, как правило, рискует получить шесть месяцев тюрьмы за то, за что воен­ный шпион был бы расстрелян, а вознаграждение промышленного шпиона в случае удачи было бы в несколько раз больше воз­награждения промышленного шпиона в случае удачи было бы в не­сколько раз больше вознаграждения военного шпиона".

В Украине действует закон "О хозяйственных обществах", одна из статей которого обязывает участников общества не разгла­шать коммерческую тайну и конфиденциальную информацию о де­ятельности общества. В этом же законе имеется статья, которая обя­зывает должностных лиц сохранять коммерческую тайну и конфи­денциальную информацию. Ответственность за их разглашение пре­дусматривается действующим законодательством и учредительными документами общества. Таким образом, учредители и участники имеют право защищать свои интересы всеми доступными им средст­вами.

Інформаційні загрози

• Інформаційна загроза - це сукупність факторів, які створюють небезпеку для конституційних прав і свобод особистості, державної таємниці, зберігання цінної для суспільства інформації, від несанкціонованого доступу і розповсюдження.

Інформаційна безпека в різних сферах має свою спеціфику:

• політична – ІБ стосується інформаційно-аналітичної діяльності дипломатичних представників і зовнішньо-економічних відомств;

• економічна – захист інформації у банківських системах та мережах зв‘язку, конфіденційної інформації від несанкціонованого доступу.

Об‘єктами захисту інформації є документи, програми ЕВМ, ноу-хау, бази данних, тексти та інші матеріальні носії інформації, захист яких передбачений державними нормативними актами, внутрішньовідомчими постановами, розпорядженнями та спеціальними документами.

Найбільш важливі види інформації, яких стосується ІБ є стратегічна інформація, соціально-еконмічна інформація, воєнна, наукова. Надання інформації на державному рівні повинно включати проблему ІБ. Кожна країна включає питання ро ІБ в компетенцію Національної безпеки.

Інформаційні загрози та їх різновиди

Розглядаються зовнішні і внутрішні загрози ІБ, а також заходи і засоби протистояння і боротьба проти несанкціонованого доступу до інформації.

Зовнішні загрози

• інформаційному простору;

• інформаційному суверенітету;

• внутрішній стабільності;

• діяльності державного або недержавного органів і фірм.

Внутрішні загрози

• національній безпеці;

• для впливу на свідомість суспільства;

• доступу до інформаційних ресурсів країни;

Типи міжнародних інформаційних операцій і основні засоби їх здійснення

Насьогодні у світі розроблені спеціальні міжнародні інфориаційні операції, які називаютья інформаційними війнами, які здійснюються за допомогою спеціальних установ, дипломатичних представників у країнах перебування; спеціальних технологій, які включають в себе новітні досягнення у галузі інформації і комунікацій.

Приклади (інформаційних операцій):

• “Буря в пустелі”, “Грім в пустелі” в районі Перської затоки;

• “Відродження надії “у Сомалі;

• “Спільні зусилля” у Боснії та Герцоговині;

• “Автономія Албанії”;

• “Шторм на Гаваях”;

• Інформаційна операція – це інформаційна підготовка суспільства до проведення певних дій: військового, економічного чи поліітичного втручання.

З точки зору інформаційної безпеки загрози поділяються на зовнішні і внутрішні.

До зовнішніх відносять такі заходи і засоби здійснення інформаційних операцій, наслідком яких є політичний, економічний вплив на інші держави, що здійснюється на основі новітніх інформаційних технологій.

Ідея інформаційної парасольки (див. статтю "Головна сила Америки – її інформаційні можливості") зараз замінює ідею ядерної парасольки і вважається одним із стратегічних напрямків впливу США на нейтральні держави, а також на держави певного блоку.

До інформаційної експансії можна віднести поширення сфери впливу ТНК у певному регіоні з метою конкуренції, завоювання інформаційного ринку і одержання прибутків від видів інформаційної діяльності.

Інформаційна війна

Інформаційні війни здійснюються для забезпечення політичних, економічних інтересів політичних партій, урядів, політичних рухів для реалізації влади і реалізації національних інтересів на території іншої держави або в окремих регіонах.

Інформаційна війна має також іншу назву – "інформаційна операція" і застосовується з метою пропаганди ідей масованого впливу на громадську думку, а також для вивчення реакції міжнародного співтовариства на ті чи інші прогнозовані рішення.

Характеристики

Список файлов реферата