Критерии информационной прозрачности

Страница 2

Руководство любого банка заинтересовано в том, чтобы он работал устойчиво и эффективно. С этой точки зрения важнейшее свойство безопасности обеспечение прозрачности и контролируемости организации.

Ведущий принцип, активно внедряемый сегодня в практику банковского надзора и регулирования, - контроль контроля. Чтобы убедиться в том, насколько надежна система безопасности, достаточно организовать грамотную процедуру проверки системы ее контроля. Естественно, этот контроль (в терминах ITSEC - аудит) должен быть полным, оперативным, достоверным и эффективным, а сама система - охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности. Все это входит в политику ITSEC, но кроме того при ее разработке должны учитываться и другие важные факторы:

· определение целей защиты;

· определение объекта защиты;

· определение актуальных угроз и их субъектов, выбор профилей защиты;

· разработка методов определения качества защиты или выбор существующих систем критериальных оценок;

· получение гарантий защищенности системы.[5]

К сожалению, достаточно часто банк, заказывая услуги в сфере ITSEC, плохо представляет роль и место конкретного сервиса и его вклад в общий интегральный уровень безопасности. В итоге затраты на обеспечение безопасности резко возрастают - при полной практической неопределенности в оценке достигнутой эффективности. Парадокс в том, что при дальнейшем вложении средств неопределенность оценок не снижается, зато сложность реализации мер безопасности растет. Избежать подобного можно, применив многоуровневую модель структуризации объектов информационной безопасности.[6]

Существует семь различных уровней технологий и реализуемых на них процессов, для которых актуальные для них угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности имеют принципиальные отличия.

I. Физический

II. Сетевой

III. Сетевых приложений

IV. Операционных систем

V. Систем управления базами данных

VI. Приложений

VII. Бизнес-процессов[7]

Как правило, предложения даже по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и обеспечивают защиту от угроз, исходящих от субъекта, не имеющего прав доступа к защищаемым ресурсам.

Очевидно, что на устойчивость настроек, обеспечивающих безопасность, влияет их доступность большому числу пользователей, администраторов систем и программистов. Так как эти специалисты имеют, как правило, много степеней свободы, а мониторинг их деятельности обычно весьма слаб, налицо отсутствие «прозрачности» и высокая степень риска в этой зоне.

Наиболее грамотный выход из подобной ситуации заключается в переходе на централизованные обработку и управление безопасностью, развитие аудита событий в системе (с обязательным оперативным разбором информации, дабы обеспечить их прозрачность для службы безопасности) и усиление административного компонента в управлении персоналом. Именно такой подход характерен для крупнейших и широко представленных на нашем рынке корпораций (IBM, HP и других). За счет реформы IT-сектора они добились централизации как обработки, так и администрирования ресурсов, исключив из этого процесса пользователей и поставив под контроль администраторов. [8]

Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, пользующихся этой системой, - совершенно другой. Значит, и политика безопасности различна, включая в первом случае одну группу уровней модели, а во втором - другую. Есть здесь различия и по видам и агентам угроз, и по методам защиты, и по критериям оценки безопасности. Поэтому при внешней схожести и общей сфере деятельности этих двух организаций, ITSEC в них разительно отличается.

Страницы: 1 2 

Полезные статьи:

Порядок доступа финансовых инструментов к биржевой торговле: листинг, делистинг
Особенностью биржевой торговли является то, что сделки совершаются всегда в одном и том же месте, в строго определённое время проведения биржевого сеанса (или сессии) и по чётко установленным, обязательным для всех участников правилам. Биржа создаёт чёткую организационную структуру, чёткий механизм ...

Оценка финансовой устойчивости ОАО «Мобилбанк»
Из-за отсутствия возможности оценки менеджмента банка и прозрачности структуры его собственности, которые определяются при оценке экономического положения банков[41] и оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов,[42] воспользуемся ...

Фондовые индексы
Биржевые индексы являются обобщающим показателем динамики курсов ценных бумаг. Это средневзвешенная цена курсов акций определенного количества компаний, действующих в различных сферах национальной экономики. Для подсчета индексов обычно выбираются наиболее крупные компании, деятельность которых свя ...

Навигация

Copyright © 2019 - All Rights Reserved - www.mostbanks.ru