КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Информационная безопасность в финансовых системахВнимание финансовых организаций к вопросам обеспечения информационной безопасности неуклонно растет. C увеличением числа внедряемых средств защиты возникают проблемы роста, связанные с обслуживанием этих систем, определением целесообразности использования средств для защиты различных категорий данных. Для многих крупных российских банков на первый план вышли вопросы выбора и адаптации методик использования инструментальных средств, а также разработки моделей управления безопасностью и живучестью защищаемых объектов. Сегодня передовой опыт построения систем управления основывается на использовании процессного подхода. Смысл его заключается в непрерывном улучшении системы защиты через переоценку рисков, анализ, постоянное совершенствование моделей защиты и обеспечения непрерывности бизнеса. Таким образом, система управления информационной безопасностью должна включать процедуры анализа и переоценки рисков, сравнение показателей по периодам и внесение соответствующих изменений в процедуры обеспечения информационной безопасности. В частности, периодической оценке должны подлежать следующие позиции: · состояние информационной системы, определение номенклатуры информационных ресурсов и правила их объединения в рабочие группы; · категории данных, обрабатываемых информационной системой, материальная оценка ущерба в случае дискредитации данных; · организация работы пользователей информационной системы, определение принадлежности групп пользователей к определенным информационным ресурсам, виды и права доступа к информации, определение режима доступности информации (время простоя при попытке доступа к информации в каждой из групп пользователей); · описание бизнес-процессов и их привязки к информационным ресурсам и категориям обрабатываемой информации; · эффективность организационных мер защиты информации, организация физической защиты доступа к информационным ресурсам, защита рабочих мест, безопасность персонала, управление коммуникациями и процессами, процедуры контроля доступа, возможность внесения изменений в исполняемые файлы и библиотеки информационных ресурсов, функционирование и актуальность плана обеспечения непрерывности бизнеса, соответствие документированным требованиям политики безопасности. Следующим шагом в управлении рисками видится переход к интегрированной системе менеджмента (ИСМ) банка. Система основывается на гармонизации различных систем управления (IТ, информационной безопасностью, качеством, физической безопасностью, обеспечением бесперебойной работы ключевых сервисов) и внедрении интегрированного подхода к управлению рисками. Традиционно риски оцениваются на уровне активов (IТ-ресурсы, персонал, репутация, чувствительные данные), и карта рисков заполняется с точки зрения информационной безопасности. ИСМ предлагает расширить область оценки и рассматривать активы как рискообразующие факторы для целого набора систем управления. Таким образом, карта рисков дополняется сведениями и со стороны других систем управления. Миграция в сторону ИСМ на базе процессного управления позволяет рассматривать риски безопасности банковских структур с учетом всех аспектов деятельности. ИСМ, несомненно, будет служить дальнейшему развитию качества работы профильных подразделений банков.
|