Критерии информационной прозрачности

Руководство любого банка заинтересовано в том, чтобы он работал устойчиво и эффективно. С этой точки зрения важнейшее свойство безопасности обеспечение прозрачности и контролируемости организации.

Ведущий принцип, активно внедряемый сегодня в практику банковского надзора и регулирования, - контроль контроля. Чтобы убедиться в том, насколько надежна система безопасности, достаточно организовать грамотную процедуру проверки системы ее контроля. Естественно, этот контроль (в терминах ITSEC - аудит) должен быть полным, оперативным, достоверным и эффективным, а сама система - охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности. Все это входит в политику ITSEC, но кроме того при ее разработке должны учитываться и другие важные факторы:

· определение целей защиты;

· определение объекта защиты;

· определение актуальных угроз и их субъектов, выбор профилей защиты;

· разработка методов определения качества защиты или выбор существующих систем критериальных оценок;

· получение гарантий защищенности системы.[5]

К сожалению, достаточно часто банк, заказывая услуги в сфере ITSEC, плохо представляет роль и место конкретного сервиса и его вклад в общий интегральный уровень безопасности. В итоге затраты на обеспечение безопасности резко возрастают - при полной практической неопределенности в оценке достигнутой эффективности. Парадокс в том, что при дальнейшем вложении средств неопределенность оценок не снижается, зато сложность реализации мер безопасности растет. Избежать подобного можно, применив многоуровневую модель структуризации объектов информационной безопасности.[6]

Существует семь различных уровней технологий и реализуемых на них процессов, для которых актуальные для них угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности имеют принципиальные отличия.

I. Физический

II. Сетевой

III. Сетевых приложений

IV. Операционных систем

V. Систем управления базами данных

VI. Приложений

VII. Бизнес-процессов[7]

Как правило, предложения даже по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и обеспечивают защиту от угроз, исходящих от субъекта, не имеющего прав доступа к защищаемым ресурсам.

Очевидно, что на устойчивость настроек, обеспечивающих безопасность, влияет их доступность большому числу пользователей, администраторов систем и программистов. Так как эти специалисты имеют, как правило, много степеней свободы, а мониторинг их деятельности обычно весьма слаб, налицо отсутствие «прозрачности» и высокая степень риска в этой зоне.

Наиболее грамотный выход из подобной ситуации заключается в переходе на централизованные обработку и управление безопасностью, развитие аудита событий в системе (с обязательным оперативным разбором информации, дабы обеспечить их прозрачность для службы безопасности) и усиление административного компонента в управлении персоналом. Именно такой подход характерен для крупнейших и широко представленных на нашем рынке корпораций (IBM, HP и других). За счет реформы IT-сектора они добились централизации как обработки, так и администрирования ресурсов, исключив из этого процесса пользователей и поставив под контроль администраторов. [8]

Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, пользующихся этой системой, - совершенно другой. Значит, и политика безопасности различна, включая в первом случае одну группу уровней модели, а во втором - другую. Есть здесь различия и по видам и агентам угроз, и по методам защиты, и по критериям оценки безопасности. Поэтому при внешней схожести и общей сфере деятельности этих двух организаций, ITSEC в них разительно отличается.

Полезные статьи:

Рыночные принципы «Газпрома»
Либерализация рынка акций «Газпрома» - давно ожидаемое и значимое событие как для самого нефтегазового концерна, так и для всего российского финансового рынка. В январе 2006 года торговля акциями компаний началась на двух основных российских биржах – РТС и ММВБ. Попробуем разобраться, насколько опр ...

Направления развития действующих методов оценки кредитного риска в условиях кризиса
Кризис способствовал значительному росту уровня банковских рисков как в России, так и за рубежом. Негативное воздействие существенно увеличившихся рисков ощущается на уровне отдельных кредитных организаций и всего банковского сектора. Основные проблемы, с которыми столкнулись большинство банков в п ...

Уровни банковской системы
История становления и развития банковского дела свидетельствует о том, что совокупность банковских организаций может существовать, и существовала в трех формах. Первая форма была представлена множеством независимых друг от друга кредитных организаций, каждая из которых была вправе выполнять любые и ...