Проблемы информационной безопасности банков - (диплом)

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру “пользователь против системы” ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным “шалостям”. В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение— очень квалифицирован и опасен. Проникновение —опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение —наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновении может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций. Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы— более жесткая и самая жесткая вместе с постоянным контролем — от проникновении. Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности. Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т. д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов —это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них задача администрации системы, вторая—психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [3].

    1. Наибольший риск:
    - системный контролер;
    - администратор безопасности.
    2. Повышенный риск:
    - оператор системы;
    - оператор ввода и подготовки данных;
    - менеджер обработки;
    - системный программист.
    3. Средний риск:
    - инженер системы;
    - менеджер программного обеспечения.
    4. Ограниченный риск:
    - прикладной программист;
    - инженер или оператор по связи;
    - администратор баз данных;
    - инженер по оборудованию;
    - оператор периферийного оборудования;
    - библиотекарь системных магнитных носителей;
    - пользователь-программист;
    - пользователь-операционист.
    5. Низкий риск:
    - инженер по периферийному оборудованию;
    - библиотекарь магнитных носителей пользователей;
    - пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

Кадровая политика с точки зрения информационной безопасности.

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим представляется целесообразным и необходимым в целях повышения экономической безопасности этих объектов уделять больше внимания подбору и изучения кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи. При этом необходимо также в обязательном порядке проводить значительную разъяснительно-воспитательную работу, систематические инструктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах необходимо четко очерчивать персональные функциональные обязанности всех категорий сотрудников коммерческих предприятий и на основе существующего российского законодательства во внутренних приказах и распоряжениях определять их ответственность за любые виды нарушений, связанных с разглашением или утечкой информации, составляющей коммерческую тайну. Кроме того, в этой связи целесообразно отметить, что ведущие московские коммерческие банки все шире вводят в своих служебных документах гриф “конфиденциально” и распространяют различного рода надбавки к окладам для соответствующих категорий своего персонала. Как свидетельствуют многочисленные опросы и проведённые беседы, в настоящее время многие руководители ведущих московских коммерческих структур все более глубоко осознают роль и место своих сотрудников в создании и поддержании общей системы экономической безопасности. Такое понимание этой проблемы ведет к настойчивому внедрению процедур тщательного подбора и расстановки персонала. Так, постепенно приобретают все большую значимость рекомендательные письма, научные методы проверки на профпригодность и различного рода тестирования, осуществляемые кадровыми подразделениями, сотрудниками служб безопасности и группами психологической поддержки, которые созданы в ряде коммерческих структур либо привлекаются в качестве сторонних экспертов.

Несмотря, однако, на некоторые положительные примеры, в целом приходится, к сожалению, констатировать тот факт, что руководители подавляющего большинства коммерческих организаций все же еще не в полной мере осознали необходимость организации комплексной защиты своих структур от уголовных и экономических преступлений и в этой связи потребность постоянного совершенствования процесса подбора и расстановки кадров. Как свидетельствует современный опыт, безопасность экономической деятельности любой коммерческой структуры во многом зависит от того, в какой степени квалификация ее сотрудников, их морально-нравственные качества соответствуют решаемым задачам. Если объективно оценивать существующие сегодня процедуры отбора кадров, то окажется, что во многих банках и фирмах акцент, к сожалению, делается прежде всего на выяснении лишь уровня профессиональной подготовки кандидатов на работу, который определяется зачастую по традиционно-формальным признакам: образование; разряд; стаж работы по специальности. При таком подходе очевидно, что кадровые подразделения исходят из все более устаревающей концепции ограниченной материально-финансовой ответственности отдельных работников за конечные результаты своей деятельности и сохранность конфиденциальной информации. В современных же коммерческих банках при весьма ограниченной численности сотрудников, все более частом совмещении рядовыми исполнителями различных участков работы и стремительно увеличивающихся потоках информации и управленческих команд, каждый сотрудник во все возрастающей степени становится носителем конфиденциальных сведений, которые могут представлять интерес как для конкурентов, так и криминальных сообществ.

В таких условиях весьма существенно повышаются и изменяются требования к личным и деловым качествам сотрудников и, следовательно, к кандидатам на работу. Данное обстоятельство побуждает руководителей коммерческих структур все чаще обращаться к методам и процедурам научной психологии, с помощью которых можно достаточно быстро, надежно и всесторонне оценивать возможного кандидата и составлять его психологический портрет.

Конечно, было бы ошибкой полагать, что психологический отбор полностью заменяет прежние, достаточно надежные кадровые процедуры. В этой связи подчеркнем, что только при умелом сочетании психологических и традиционных кадровых подходов можно с высокой степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных, ситуациях. В настоящее время ведущие банковские структуры имеют, как правило, строго разработанные и утвержденные руководством организационные структуры и функции управления для каждого подразделения. Наибольшей популярностью пользуются методики составления оргсхем или организационных чертежей, на которых графически изображается каждое рабочее место, прописываются должностные обязанности и определяются информационные потоки для отдельного исполнителя. При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для выполнения функций на своем рабочем месте. Внутренними распоряжениями также определяются требования к деловым и личным качествам сотрудников и обусловливаются режимы сохранения или коммерческой тайны.

Кроме того, для большей конкретизации этих процедур на каждое рабочее место рекомендуется составлять профессиограмму, т. е. перечень личностных качеств, которыми в идеале должен обладать потенциальный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабочее место они составляются. Однако обязательными атрибутами подобных документов являются разделы, отражающие профессионально значимые качества (психологические характеристики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, которые делают невозможным зачисление кандидата на конкретную должность). В некоторых случаях необходимо не только указывать профессионально значимые качества, но и оценивать степень их выраженности, т. е. сформированности. После разработки схем управления и составления профессиограмм можно приступать к собеседованиям и применять разнообразные процедуры отбора кандидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно, как правило, изучение значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответствующая должность. Во втором случае из ограниченного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в наибольшей степени соответствует требованиям профессиограммы данного рабочего места. Проблема состоит в том, что даже весьма опытные работники кадровых подразделений не всегда могут правильно, достоверно и быстро оценить подлинное психическое состояние лиц, пришедших на собеседование. Этому способствуют повышенное волнение, склонность отдельных кандидатов к предвзятым оценкам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконтрольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи ведущие московские коммерческие банки требуют от кандидатов предоставления справок о состоянии здоровья либо сами выдают направления в определенные поликлиники с рекомендацией прохождения полной диспансеризации (за счет кандидата).

С точки зрения обеспечения стратегических интересов коммерческой структуры являются обязательными следующие функции службы безопасности:

- определение степени вероятности формирования у кандидата преступных наклонностей в случаях возникновения в его окружении определенных благоприятных обстоятельств (персональное распоряжение кредитно-финансовыми ресурсами, возможность контроля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и пр. );

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20