Критерии информационной прозрачности

Страница 2

Руководство любого банка заинтересовано в том, чтобы он работал устойчиво и эффективно. С этой точки зрения важнейшее свойство безопасности обеспечение прозрачности и контролируемости организации.

Ведущий принцип, активно внедряемый сегодня в практику банковского надзора и регулирования, - контроль контроля. Чтобы убедиться в том, насколько надежна система безопасности, достаточно организовать грамотную процедуру проверки системы ее контроля. Естественно, этот контроль (в терминах ITSEC - аудит) должен быть полным, оперативным, достоверным и эффективным, а сама система - охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности. Все это входит в политику ITSEC, но кроме того при ее разработке должны учитываться и другие важные факторы:

· определение целей защиты;

· определение объекта защиты;

· определение актуальных угроз и их субъектов, выбор профилей защиты;

· разработка методов определения качества защиты или выбор существующих систем критериальных оценок;

· получение гарантий защищенности системы.[5]

К сожалению, достаточно часто банк, заказывая услуги в сфере ITSEC, плохо представляет роль и место конкретного сервиса и его вклад в общий интегральный уровень безопасности. В итоге затраты на обеспечение безопасности резко возрастают - при полной практической неопределенности в оценке достигнутой эффективности. Парадокс в том, что при дальнейшем вложении средств неопределенность оценок не снижается, зато сложность реализации мер безопасности растет. Избежать подобного можно, применив многоуровневую модель структуризации объектов информационной безопасности.[6]

Существует семь различных уровней технологий и реализуемых на них процессов, для которых актуальные для них угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности имеют принципиальные отличия.

I. Физический

II. Сетевой

III. Сетевых приложений

IV. Операционных систем

V. Систем управления базами данных

VI. Приложений

VII. Бизнес-процессов[7]

Как правило, предложения даже по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и обеспечивают защиту от угроз, исходящих от субъекта, не имеющего прав доступа к защищаемым ресурсам.

Очевидно, что на устойчивость настроек, обеспечивающих безопасность, влияет их доступность большому числу пользователей, администраторов систем и программистов. Так как эти специалисты имеют, как правило, много степеней свободы, а мониторинг их деятельности обычно весьма слаб, налицо отсутствие «прозрачности» и высокая степень риска в этой зоне.

Наиболее грамотный выход из подобной ситуации заключается в переходе на централизованные обработку и управление безопасностью, развитие аудита событий в системе (с обязательным оперативным разбором информации, дабы обеспечить их прозрачность для службы безопасности) и усиление административного компонента в управлении персоналом. Именно такой подход характерен для крупнейших и широко представленных на нашем рынке корпораций (IBM, HP и других). За счет реформы IT-сектора они добились централизации как обработки, так и администрирования ресурсов, исключив из этого процесса пользователей и поставив под контроль администраторов. [8]

Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, пользующихся этой системой, - совершенно другой. Значит, и политика безопасности различна, включая в первом случае одну группу уровней модели, а во втором - другую. Есть здесь различия и по видам и агентам угроз, и по методам защиты, и по критериям оценки безопасности. Поэтому при внешней схожести и общей сфере деятельности этих двух организаций, ITSEC в них разительно отличается.

Страницы: 1 2 

Полезные статьи:

Разработка мероприятий по повышению эффективности системы обслуживания клиентов
банковский розничный услуга затрата Итак, проведенный в 1 главе анализ деятельности ОАО "Сибнефтебанк" показал следующие недостатки в розничном портфеле банка: - недостаточный ассортимент кредитов и различных кредитных предложений; - низкие ставки по депозитным операциям. Для подтверждени ...

Анализ банковского сектора 1990-2007 гг
После финансового кризиса 1998 года стало ясно: на рынке появилась новая сила, диктующая всем свою волю. Если в начале перестройки 1986-1990гг. и позже 1991-1992 гг. государство было занято решением политических проблем, то в постсоветское время руки "дошли" до экономики. Российская эконо ...

Совершенствование банковского сектора
Президент Республики Казахстан Нурсултан Назарбаев в своем послании народу Казахстана отметил, что для дальнейшего развития финансового сектора сейчас приняты программы развития рынка ценных бумаг и развития накопительной пенсионной системы на 2010-2012 годы [2]. Деятельность банков должна стать об ...

Навигация

Copyright © 2020 - All Rights Reserved - www.mostbanks.ru