Информационная безопасность в финансовых системах

Внимание финансовых организаций к вопросам обеспечения информационной безопасности неуклонно растет. C увеличением числа внедряемых средств защиты возникают проблемы роста, связанные с обслуживанием этих систем, определением целесообразности использования средств для защиты различных категорий данных. Для многих крупных российских банков на первый план вышли вопросы выбора и адаптации методик использования инструментальных средств, а также разработки моделей управления безопасностью и живучестью защищаемых объектов.

Сегодня передовой опыт построения систем управления основывается на использовании процессного подхода. Смысл его заключается в непрерывном улучшении системы защиты через переоценку рисков, анализ, постоянное совершенствование моделей защиты и обеспечения непрерывности бизнеса.

Таким образом, система управления информационной безопасностью должна включать процедуры анализа и переоценки рисков, сравнение показателей по периодам и внесение соответствующих изменений в процедуры обеспечения информационной безопасности.

В частности, периодической оценке должны подлежать следующие позиции:

· состояние информационной системы, определение номенклатуры информационных ресурсов и правила их объединения в рабочие группы;

· категории данных, обрабатываемых информационной системой, материальная оценка ущерба в случае дискредитации данных;

· организация работы пользователей информационной системы, определение принадлежности групп пользователей к определенным информационным ресурсам, виды и права доступа к информации, определение режима доступности информации (время простоя при попытке доступа к информации в каждой из групп пользователей);

· описание бизнес-процессов и их привязки к информационным ресурсам и категориям обрабатываемой информации;

· эффективность организационных мер защиты информации, организация физической защиты доступа к информационным ресурсам, защита рабочих мест, безопасность персонала, управление коммуникациями и процессами, процедуры контроля доступа, возможность внесения изменений в исполняемые файлы и библиотеки информационных ресурсов, функционирование и актуальность плана обеспечения непрерывности бизнеса, соответствие документированным требованиям политики безопасности.

Следующим шагом в управлении рисками видится переход к интегрированной системе менеджмента (ИСМ) банка. Система основывается на гармонизации различных систем управления (IТ, информационной безопасностью, качеством, физической безопасностью, обеспечением бесперебойной работы ключевых сервисов) и внедрении интегрированного подхода к управлению рисками.

Традиционно риски оцениваются на уровне активов (IТ-ресурсы, персонал, репутация, чувствительные данные), и карта рисков заполняется с точки зрения информационной безопасности. ИСМ предлагает расширить область оценки и рассматривать активы как рискообразующие факторы для целого набора систем управления. Таким образом, карта рисков дополняется сведениями и со стороны других систем управления.

Миграция в сторону ИСМ на базе процессного управления позволяет рассматривать риски безопасности банковских структур с учетом всех аспектов деятельности. ИСМ, несомненно, будет служить дальнейшему развитию качества работы профильных подразделений банков.