8.2. Особливості інформаційної безпеки банку
Інформаційна безпека – це стан захищеності життєво-важливих інтересів особи, суспільства і держави в інформаційній сфері від внутрішніх і зовнішніх загроз [32].
Інформація як неодмінний компонент будь-якої організованої системи, з одного боку, легко уразлива (тобто доступна для дестабілізуючої дії великої кількості різнопланових загроз), а з іншою сама може бути джерелом різнопланових загроз як для елементів самої системи, так і для зовнішнього середовища. Звідси витікає, що забезпечення інформаційної безпеки в загальній постановці проблеми може бути досягнуте лише при взаємопов'язаному вирішенні трьох проблем, а саме [32]:
перша – захист інформації, що знаходиться в системі, від деста-білізуючої дії зовнішніх і внутрішніх загроз інформації;
друга – захист елементів системи від дестабілізуючої дії зовнішніх і внутрішніх інформаційних загроз;
третя – захист зовнішнього середовища від інформаційних загроз з боку даної системи.
Інформаційна інфраструктура банку включає [26]:
інформаційні ресурси;
технічні інформаційні системи і засоби (ТІСЗ);
інженерні системи, їх життєзабезпечення;
приміщення, в яких функціонують інформаційні системи і обробля-ється банківська інформація.
З інформаційною інфраструктурою нерозривно пов'язані персонал і клієнти.
Інформаційні ресурси банку складаються з вихідної банківської інформації, баз даних, системного, мережного, операційного і інструмен-тального програмного забезпечення, процесорного обладнання і устроїв довготривалої і оперативної пам'яті, в яких безпосередньо розміщується (обробляється і зберігається) інформація, представлена як в документ-тальній формі, так і в іншій, зручною для електронної обробки.
Банківська інформація формується банківським персоналом і безпосередньо обробляється в Автоматизованій Системі Обробки Інформації (АСОІ) з використанням інтегрованих пакетів прикладних програм, що складає Автоматизовану Банківську Систему (АБС).
Під безпекою інформаційної інфраструктури банку розуміється її властивість захищеності, виражена в здатності протистояти або протидіяти випадковим або навмисним деструктивним діям природного або штучного характеру на нормальний процес функціонування банківських електронних технологій, здатним завдати збитку власникам і користувачам інформації [24].
Неправомірне отримання інформації здійснюється через [35]:
мимовільний її витік (мимовільне поширення інформації за рахунок технічних або експлуатаційних особливостей певного обладнання, втрати, пошкодження, знищення документальних та програмних носіїв інформації у результаті дії стихійного лиха, поширення інформації через потрапляння в інформаційні мережі комп’ютерних вірусів, інші випадки, які не мають навмисного характеру);
розголошення (умисне або необережне повідомлення інформації, опублікування, передавання, надання для ознайомлення, пересилання, втрат її особами, яким вона була відома у зв’язку з їх професійною діяльністю і коли у цьому не було службової необхідності);
несанкціонований доступ (доступ до інформації, що здійснюється з порушенням установлених правил розмежування доступу).
Усі зазначені вище шляхи отримання інформації можуть використовуватись конкурентами, спецслужбами, промисловими шпигунами за допомогою створення так званих каналів витоку та передавання інформації.
Каналами витоку інформації можуть бути [35]: оптичні, радіоелектронні, акустичні, акусто-реформуючі, матеріально-речові. У свою чергу, ці канали передбачають створення відповідних умов для переходу інформації від її носія до споживача.
Носії інформації в каналах витоку інформації наведено на рис. 29 [35]:
-
Н осії інформації в каналах витоку інформації
Оптичний канал |
| Радіоелектронний канал |
| Акустичний канал |
| Акусто-реформуючий канал |
| Матеріально-речовий канал |
|
|
|
|
|
|
|
|
|
Поведінка джерела |
| Електромагнітне поле й електричний струм |
| Звукові, інфразвукові і ультразву-кові хвилі |
| Акусто-радіолектронні, акусто-оптичні джерела |
| Документи, дискети (диски), касе-ти, відходи діловодства |
Рис. 29. Носії інформації в каналах витоку інформації
До факторів, які сприяють створенню умов для витоку (передаванню) інформації відносять [35]:
надмірна балакучість працівників підприємств, фірм, банків;
прагнення працівників підприємств, фірм, банків зробити гроші будь-яким способом і будь-якою ціною, у тому числі й продажем інфор-мації;
відсутність на підприємстві, фірмі, у банку системи заходів спрямованих на захист інформації;
звичка працівників підприємств, фірм, банків ділитись один з одним новинами, чутками, просто інформацією;
безконтрольне використання інформаційних систем і мереж;
наявність передумов для виникнення в колективах та серед праців-ників підприємств, фірм, банків конфліктних ситуацій.
Захистити об’єкти від витоку інформації можна за допомогою [35]:
а) пошукових досліджень на об’єкті:
виявлення вмонтованих пристроїв та їх комунікацій, в інтер’єрі приміщень;
обстеження комунікацій з погляду можливого їх використання для організації каналів витоку інформації;
обстеження діючої апаратури зв’язку, комп’ютерної, розмножуваль-ної техніки з погляду можливої їх обробки з метою створення каналу витоку інформації;
виявлення прихованих засобів оптичного і телевізійного нагляду;
визначення ступеня захищеності місць збереження носіїв інфор-мації;
вимірювання інтенсивності паразитних випромінювань від апара-тури, яка пов’язана з обробкою конфіденційної інформації, визначення дальності перехоплення інформації, що обробляється;
вивчення можливості активного впливу на електронне обладнання і базу даних комп’ютерних мереж;
б) організаційно-режимних заходів:
інформування осіб зайнятих у роботі з інформацією та охоронно-режимних заходах, про можливі канали витоку інформації, заходи захисту і виявлення ознак посягань на інформаційні ресурси банку;
упровадження режиму спеціального діловодства і створення системи збереження документів і носіїв інформації;
формування переліку відомостей, які становлять комерційну таємницю, і визначення правил поводження цими відомостями;
створення системи обліку грифованих документів, фактів і сигналів про спроби несанкціонованого доступу до інформації банку, ознак підго-товки заходів щодо організації каналів витоку інформації, співробітників – носіїв інформації, яка становить банківську або комерційну таємницю;
виділення зон підсиленого і вищого захисту;
правильний вибір копію-вально-розмножувальної і оргтехніки;
обладнання особливо важливих приміщень пристроями захисту та протидії зняття інформації;
обладнання поста радіонагляду для автоматичного виявлення підслуховуючих пристроїв з використанням радіоканалів;
обладнання апаратів зв'язку пристроями для шифрування інформації, яка передається;
обладнання комп'ютерних мереж програмно-апаратними засобами захисту від несанкціонованого доступу до баз даних.
Захистити інформацію, що міститься у системах і мережах передавання та обробки даних банку, можна за допомогою наступних заходів [35]:
1. Апаратних:
перешкоджання візуальному спостереженню і дистанційному підслуховуванню;
нейтралізація паразитних електромагнітних випромінювань і наводок;
виявлення несанкціоновано встановлених технічних засобів підслуховування і технічного запису;
захист інформації, що передається засобами зв’язку і міститься в системах автоматизованої обробки даних;
2. Програмних:
захист інформації від несанкціонованого копіювання або руйнування;
захист інформації від несанкціонованого доступу до неї;
3. Криптографічних:
виконання відповідних дій з перетворення сигналу, який передається, в такий, що є абсолютно незрозумілим для сторонніх осіб;
створення умов дешифрування інформації тільки протягом часу, необхідного для втрати її цінності.
- Модуль 1. Теоретичні та організаційні засади безпеки банківської діяльності
- Тема 1. Основи безпеки банківської діяльності
- 1.1. Суть і зміст безпеки банківської діяльності, її мета та зав-дання
- 1.2. Організація системи безпеки банківської діяльності в Україні
- 1.3. Об’єкти та суб’єкти банківської безпеки
- 1.4. Види безпеки банківської діяльності та форми її організації
- Контрольні запитання для самодіагностики
- Тема 2. Безпека банківських установ за кордоном
- 2.1. Діяльність правоохоронних організацій за кордоном
- 2.2. Досвід зарубіжних держав щодо забезпечення банківської безпеки
- Контрольні запитання для самодіагностики
- Тема 3. Організаційні основи забезпечення безпеки діяльності банку
- 3.1. Способи, структура заходів і методи організації забезпечення безпеки діяльності банку
- 3.2. Організація служби безпеки банку
- 3.3. Діяльність персоналу щодо виконання заходів безпеки банку
- 3.4. Концепція безпеки діяльності банку
- Контрольні запитання для самодіагностики
- Тема 4. Загрози безпеки банку
- 4.1. Характерні особливості понять «ризик» і «загроза»
- Відмітні особливості понять «ризик» і «загроза»
- 4.2. Класифікація та структура загроз банку
- 4.3. Внутрішні і зовнішні загрози, їх характеристика та тенденції розвитку
- 4.4. Заходи банку щодо захисту від внутрішніх і зовнішніх загроз
- 4.5. Банківське шахрайство та зловживання службовим становищем працівників банку
- Шахрайство за кордоном
- Контрольні запитання для самодіагностики
- Тема 5. Недобросовісна конкуренція та промислове шпигунство в банку
- 5.1. Недобросовісна конкуренція, її прояви в банку
- Способи ведення недобросовісної конкуренції
- 5.2. Промислове шпигунство в банку, його прояви
- 5.3. Захист банку від недобросовісної конкуренції і промис-лового шпигунства
- Контрольні запитання для самодіагностики
- Тема 6. Охорона та режим у банку
- 6.1. Обладнання та технічна оснащеність банку
- 6.2. Режими охорони установ банку
- 6.3. Обов’язки персоналу банку щодо дотримання режиму охорони
- Контрольні запитання для самодіагностики
- Модуль 2. Методичні основи безпеки банківської діяльності
- Тема 7. Економічна безпека банківської установи
- 7.1. Суть і зміст економічної безпеки банку
- Заходи захисту від чинників, які впливають на економічну безпеку банку
- 7.2. Захист матеріальних цінностей, обладнання та технічних засобів від протиправних посягань
- 7.3. Забезпечення безпеки банківських операцій
- 7.4. Боротьба з легалізацією (відмиванням) грошей, отриманих незаконним шляхом
- Контрольні запитання для самодіагностики
- Тема 8. Інформаційна безпека банківської установи
- 8.1. Банківська інформація
- Особливості захисту комерційної і банківської таємниці
- 8.2. Особливості інформаційної безпеки банку
- 8.3. Класифікація загроз інформаційній безпеці банку
- Системна класифікація загроз інформації
- Контрольні запитання для самодіагностики
- Тема 9. Інформаційно-аналітичне забезпечення діяльності банку
- 9.1. Інформаційні ресурси банку
- 9.2. Інформаційний аудит та моніторинг
- 9.3. Інформаційно-аналітичні підрозділи банку
- Контрольні запитання для самодіагностики
- Тема 10. Забезпечення безпеки в роботі з персоналом банку
- 10.1. Кадрова політика банку
- 10.2. Заходи щодо забезпечення безпеки в роботі з персоналом банку
- Контрольні запитання для самодіагностики
- Тема 11. Дії банківської установи в екстремальних ситуаціях
- 11.1. Екстремальні ситуації
- 11.2. Заходи банку щодо підготовки до дій в екстремальних умовах
- Контрольні запитання для самодіагностики
- Рекомендована література
- Ресурси мережі Internet
- Навчальне видання
- Безпека банківської діяльності
- Конспект лекцій
- Для студентів спеціалізації «Банківська справа» денної форми навчання