Критерии информационной прозрачности

Руководство любого банка заинтересовано в том, чтобы он работал устойчиво и эффективно. С этой точки зрения важнейшее свойство безопасности обеспечение прозрачности и контролируемости организации.

Ведущий принцип, активно внедряемый сегодня в практику банковского надзора и регулирования, - контроль контроля. Чтобы убедиться в том, насколько надежна система безопасности, достаточно организовать грамотную процедуру проверки системы ее контроля. Естественно, этот контроль (в терминах ITSEC - аудит) должен быть полным, оперативным, достоверным и эффективным, а сама система - охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности. Все это входит в политику ITSEC, но кроме того при ее разработке должны учитываться и другие важные факторы:

· определение целей защиты;

· определение объекта защиты;

· определение актуальных угроз и их субъектов, выбор профилей защиты;

· разработка методов определения качества защиты или выбор существующих систем критериальных оценок;

· получение гарантий защищенности системы.[5]

К сожалению, достаточно часто банк, заказывая услуги в сфере ITSEC, плохо представляет роль и место конкретного сервиса и его вклад в общий интегральный уровень безопасности. В итоге затраты на обеспечение безопасности резко возрастают - при полной практической неопределенности в оценке достигнутой эффективности. Парадокс в том, что при дальнейшем вложении средств неопределенность оценок не снижается, зато сложность реализации мер безопасности растет. Избежать подобного можно, применив многоуровневую модель структуризации объектов информационной безопасности.[6]

Существует семь различных уровней технологий и реализуемых на них процессов, для которых актуальные для них угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности имеют принципиальные отличия.

I. Физический

II. Сетевой

III. Сетевых приложений

IV. Операционных систем

V. Систем управления базами данных

VI. Приложений

VII. Бизнес-процессов[7]

Как правило, предложения даже по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и обеспечивают защиту от угроз, исходящих от субъекта, не имеющего прав доступа к защищаемым ресурсам.

Очевидно, что на устойчивость настроек, обеспечивающих безопасность, влияет их доступность большому числу пользователей, администраторов систем и программистов. Так как эти специалисты имеют, как правило, много степеней свободы, а мониторинг их деятельности обычно весьма слаб, налицо отсутствие «прозрачности» и высокая степень риска в этой зоне.

Наиболее грамотный выход из подобной ситуации заключается в переходе на централизованные обработку и управление безопасностью, развитие аудита событий в системе (с обязательным оперативным разбором информации, дабы обеспечить их прозрачность для службы безопасности) и усиление административного компонента в управлении персоналом. Именно такой подход характерен для крупнейших и широко представленных на нашем рынке корпораций (IBM, HP и других). За счет реформы IT-сектора они добились централизации как обработки, так и администрирования ресурсов, исключив из этого процесса пользователей и поставив под контроль администраторов. [8]

Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, пользующихся этой системой, - совершенно другой. Значит, и политика безопасности различна, включая в первом случае одну группу уровней модели, а во втором - другую. Есть здесь различия и по видам и агентам угроз, и по методам защиты, и по критериям оценки безопасности. Поэтому при внешней схожести и общей сфере деятельности этих двух организаций, ITSEC в них разительно отличается.

Полезные статьи:

Проблемы и перспективы развития ОМС в России
С 2006 по 2011 годы вклад России в решение проблем, связанных с распространением инфекционных болезней, составило более 450 млн. долларов США. Около половины этой суммы (217 млн. долларов США) идет на возмещение Глобальному фонду для борьбы со СПИДом, туберкулезом и малярией средств, выделенных им ...

Компания American Express
Компания American Express, основанная в 1850 г., на начальном этапе своей деятельности становится известной как надежная курьерская служба, занимающаяся транспортировкой наличных средств между частными лицами, компаниями и банками. Этот бизнес приносит компании солидный доход. И возможно, мировое ф ...

Инвестиционная политика банка. Формирование портфеля ценных бумаг
Инвестиционные операции банка - это вложения денежных и иных резервов банка в ценные бумаги, недвижимость, уставные фонды предприятий от своего имени и по своей инициативе с целью получения прямых и косвенных доходов. Прямые доходы от вложений в ценные бумаги банк получает в форме дивидендов, проце ...