Необходимость усиления информационной безопасности банковского сектора - Развитие информационных банковских технологий

Информационные системы для кредитных организаций прошли достаточно долгий путь развития от простых, разработанных на персональных системах управления базами данных СУБД (например, Clipper, dBase, Foxpro), до современных на основе клиент/серверных решений промышленных СУБД (Oracle, Informix, Sybase, MS SQL Server), которые позволяют автоматизировать весь спектр банковских бизнес-процессов: управление ликвидностью, кадрами, банковскими рисками и т. д. При обращении в кредитную организацию за любым набором продуктов/ услуг (расчетно-кассовое обслуживание, валютно-обменные операции, кредитование, размещение денежных средств в депозиты) клиенты (как физические, так и юридические лица) интересуются технической оснащенностью продуктов, возможностью настройки интересующих данных из набора, платформой, на базе которой данные услуги будут поддержаны и реализованы, уровнем защищенности информационных и сервисных каналов Денисов, В. В. Перспективы развития современных экономических информационных систем и технологий. Ставрополь: Мир данных, 2012 - С. 115..

Этим требованиям в настоящее время удовлетворяют большинство систем для финансовых организаций, представленных на рынке программных продуктов. Для противостояния угрозам со стороны внешних пользователей и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов информационной безопасности в организациях банковской системы РФ следует обеспечить и сохранить достаточный ее уровень.

Деятельность, относящаяся к обеспечению информационной безопасности, должна контролироваться. Исходя из этого разработан Стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0 (далее - Стандарт).

Основными целями внедрения Стандарта являются: - повышение доверия к банковской системе Российской Федерации; - повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе -- стабильности функционирования банковской системы Российской Федерации в целом; - достижение адекватности мер по защите от реальных угроз информационной безопасности; - предотвращение и(или) снижение ущерба от инцидентов информационной безопасности. Таким образом, вышеуказанный стандарт позволяет установить и использовать систему единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации, чтобы в долгосрочной перспективе повысить эффективность мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации Билятдинов, К. З. Информационные технологии в управлении качеством и защиты информации. Санкт-Петербург : [б. и.] , 2014 - С. 101..

Большинство банков движется в направлении стандарта Банка России по информационной безопасности. 41,7% банков уже внедрили некоторые положения стандарта, а еще 40,8% приняли решение об их реализации в ближайшем будущем. Например, согласно исследованию "Global Security Survey", в ходе которого компания Deloitte опросила 169 международных финансовых компаний, 1-3% от ИТ-бюджета на информационную безопасность тратят 44% компаний, а 4-6% - 36% организаций. Опрос показал, что банки готовы не только вкладывать деньги в информационную безопасность, но и говорить о ней публично. Из комментариев респондентов, в частности, следует, что безопасность стала неотъемлемой частью риск-менеджмента организации. Доля расходов на безопасность в банках традиционно оказалась достаточно высокой. Согласно данным CNews Analytics, по доле расходов на информационную безопасность банковский сектор делит первое место в России вместе с вертикальным рынком телекоммуникаций. По сведениям того же аналитического агентства, доля расходов на информационную безопасность во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. На данный момент финансовые и кредитные организации продолжают деятельность по созданию консолидированного центра обработки данных, непрерывному повышению надежности ИТ - инфраструктуры и реализации проектов создания единого информационного пространства организации с учетом требований для перехода на централизованную обработку данных.

Стратегия развития информационных систем для кредитных организаций включает план построения и развития центров обработки данных, серверных мощностей, коммуникационных каналов как для обеспечения соответствующих объемам операций мощностей, так и для поддержки территориальной распределенности бизнеса. Развитие этих направлений призвано преодолеть излишнюю громоздкость и сложность бизнес-процессов, недостаточный уровень специализации и разделения труда, позволит унифицировать процессы в масштабах всей организации. Максимальная централизация выполнения операций и функций поддержки, обеспечиваемая консолидацией вычислительных мощностей и дистанционных систем обслуживания, создаст условия для роста эффективности банковского бизнеса и качества предоставляемых клиентам услуг вне зависимости от территории получения услуги клиентом.

Таким требованиям отвечает, например, технология "прозрачной ЭП", обеспечивающая гарантированную безопасность операций клиентов-юридических лиц, использующих для управления своими счетами систему дистанционного банковского обслуживания ПТК "Интернет-Банк". Новый уровень безопасности работы со всеми сервисами ПТК "Интернет-Банк" обеспечивается многоуровневой аутентификацией. Кроме логина и пароля каждому клиенту Банка выдается уникальный защищенный носитель - eToken ГОСТ.

ЕToken ГОСТ - это высоконадежное и технологичное устройство, позволяющие защитить хранящиеся на нем данные от несанкционированного доступа как на программном уровне, так и на физическом уровне, позволяющий обеспечить требования нормативных правовых документов Российской Федерации по информационной безопасности: №63-ФЗ "Об электронной подписи", СТР-К, СТО БР ИББС-1.0-2010, сертификат ФСБ России СФ/124-1671.

Организации, входящие в банковскую систему РФ, активно совершенствуют систему информационной безопасности и развивают в эксплуатацию следующие подсистемы Борисов, М. А. Основы программно-аппаратной защиты информации. М.: ЛЕНАНД, 2014 - С. 202.:

    1. Система автоматизированного контроля выдачи кредитов на основе модуля ведения кредитных решений с целью исключения ошибок и злоупотреблений при оформлении кредитных договоров. Является частью работы по созданию единой Системы автоматизированного контроля кредитных операций. 2. Модуль для обеспечения централизованной оценки и корректировки открытой валютной позиции (ОВП) с учетом планируемых валютных операций подразделений. 3. Системы "АРМ Руководителя 2.0", позволяющей в удобном и простом интерфейсе получать необходимую информацию о деятельности подразделения с необходимой детализацией, вплоть до первичных документов. Информация предоставляется как в табличной, так и в графической форме. 4. Многофилиальной версии системы контроля операционной деятельности, которая проводит регулярный анализ различных информационных систем и выдает рекомендации по выполнению набора операций в целях соблюдения регламента и оперативного исправления обнаруженных ошибок. Применение автоматизированного контроля позволяет снизить роль человеческого фактора в своевременности и корректности выполнения операций с одновременным снижением нагрузки на сотрудников, осуществляющих контроль. Для того, чтобы существенно повысить уровень информационной безопасности в кредитных организациях вводятся следующие нормативные требования: 5. Стандарт Банка России - Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (СТО БР ИББС -1.0-2010). 6. Стандарт международных платежных систем Payment Card Industry Data Security Standard версии 2.0 (PCI DSS v. 2.0). На данный момент сертификация PCI DSS v.2.0 является наивысшей версией и предъявляет усиленные требования по информационной безопасности.

Подобная работа банков по информационной безопасности организована в соответствии с вышеуказанными документами и требует разработки и внедрения более 40 нормативных документов, регламентирующих деятельность самой кредитной организации по информационной безопасности. Кроме того, на постоянной основе банкам необходимо проводить мероприятия:

    - по обработке инцидентов информационной безопасности; - обучению и повышению осведомленности работников в области информационной безопасности - приведению информационной безопасности филиалов (структурных подразделений банков) в соответствие требованиям руководящих документов.

В настоящее время система обеспечения информационной безопасности организаций, входящих в банковскую систему РФ основана на передовых технологиях, которые являются основой для обеспечения надежной защиты информационных ресурсов, что подтверждается многолетней практикой ее эксплуатации.

Похожие статьи




Необходимость усиления информационной безопасности банковского сектора - Развитие информационных банковских технологий

Предыдущая | Следующая