Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги — универсальный банк;

Проблемы информационной безопасности банков
Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги — универсальный банк; По характеру воздействия на АСОИБ. По этому критерию различают активное и пассивное воздействие По используемым средствам атаки Если избежать какого-либо нарушения невозможно, необходимо уменьшить вероятность его появления или смягчить последствия от него Каждый компонент должен выполнять строго определенную функцию; Идентификация, аутентификация и авторизация субъектов и объектов системы Контроль целостности субъектов Правила умолчания По топологии сети (классификация по организации физического уровня) Проверка PIN, введенного покупателем, должна производиться системой банка покупателя. При пересылке по каналам связи PIN должны быть зашифрованы Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д
344059
знаков
1
таблица
0
изображений

1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги — универсальный банк;

2. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе — специализированный банк.

Существующий круг клиентов — это ключевой ресурс банка, который необходимо сохранить и попытаться увеличить. С этой целью многие банки приспосабливают свои технологии для продажи новой продукции. Более того, они переопределяют назначение традиционных механизмов распределения (единые филиальные и корпоративные банковские сети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другими банками и корпоративными клиентами).

Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.

Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.

Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:

- мобильные пункты продажи товаров и услуг;

- механизмы прямой продажи товаров и услуг;

- технологии расчета в точке продажи;

- электронное и телефонное банковское обслуживание и др.

Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.

Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями.

Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.

Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.

Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.

Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации. [1, с.60]

Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска — это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более «интеллектуальные» системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

·    электронные платежи и расчеты в точке продажи;

·    клиентские терминалы, осуществляющие прямую связь с банком;

·    домашнее банковское обслуживание с помощью персонального компьютера или телефона;

·    обмен электронными данными в сети с расширенным набором услуг;

·    технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.

Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.

Глава 3. Человеческий фактор в обеспечении информационной безопасности. Угрозы информационной безопасности банка со стороны персонала.

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, — ее необходимый элемент, а с другой — он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах про­тив коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высо­кой степени осведомленности преступников относите­льно режима дня и динамики деятельности предприни­мателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с пред­ельной точностью по времени и месту перехватывали на трассе.

Заблаговременно были изучены основные и запас­ные маршруты перемещения коммерсантов. Преступ­ники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и но­мерных знаках личных и служебных автомашин, сосе­дях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор инфор­мации. Представляется возможным выделить следу­ющие основные методы, которые используются зло­умышленниками в настоящее время для добывания сведений о коммерческих структурах:

·    наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

·    проведение опросов, интервьюирования, анкетиро­вания, «направленных» бесед и т.п.;

·    хищение, скрытое копирование, подделка каких-ли­бо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществ­лять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

·    перехват информации на различных частотных ка­налах внутренней и внешней радио- и телевизионной связи коммерческих структур;

·    получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные ком­пьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

·    добывание информации о коммерческих структурах посредством применения системы аналитических ме­тодов (структурный анализ, финансовый анализ, ана­лиз себестоимости продукции, анализ научно-техничес­ких образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материаль­ных фондов и т.п.).

При всем многообразии и несомненных достоинст­вах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих струк­тур в качестве источников внутренней информации рас­сматривается как наиболее надежный, быстрый и эффек­тивных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопро­сам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, ко­торые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источ­ники сегодня все более активно и настойчиво использу­ются для оказания выгодного криминальным структу­рам, а также конкурентам влияния на стратегию и так­тику поведения руководителей соответствующих ком­мерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экс­портно-импортных квот, землеотвода и т.д. [4, с.268]

При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту -доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group [2] 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений — внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно.

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение — очень квалифицирован и опасен. Проникновение — опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение — наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновении может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы — более жесткая и самая жесткая вместе с постоянным контролем — от проникновении. Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов — это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая — психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [3].

1. Наибольший риск:

- системный контролер;

- администратор безопасности.

2. Повышенный риск:

- оператор системы;

- оператор ввода и подготовки данных;

- менеджер обработки;

- системный программист.

3. Средний риск:

- инженер системы;

- менеджер программного обеспечения.

4. Ограниченный риск:

- прикладной программист;

- инженер или оператор по связи;

- администратор баз данных;

- инженер по оборудованию;

- оператор периферийного оборудования;

- библиотекарь системных магнитных носителей;

- пользователь-программист;

- пользователь-операционист.

5. Низкий риск:

- инженер по периферийному оборудованию;

- библиотекарь магнитных носителей пользователей;

- пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

Кадровая политика с точки зрения информационной безопасности.

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим представляется целесообразным и необходимым в це­лях повышения экономической безопасности этих объектов уделять больше внимания подбору и изуче­ния кадров, проверке любой информации, указыва­ющей на их сомнительное поведение и компромети­рующие связи. При этом необходимо также в обяза­тельном порядке проводить значительную разъясни­тельно-воспитательную работу, систематические инст­руктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах необходимо четко очерчивать персональ­ные функциональные обязанности всех категорий со­трудников коммерческих предприятий и на основе существующего российского законодательства во внутрен­них приказах и распоряжениях определять их ответст­венность за любые виды нарушений, связанных с раз­глашением или утечкой информации, составляющей коммерческую тайну.

Кроме того, в этой связи целесообразно отметить, что ведущие московские коммерческие банки все шире вводят в своих служебных документах гриф «конфиде­нциально» и распространяют различного рода надбав­ки к окладам для соответствующих категорий своего персонала.

Как свидетельствуют многочисленные опросы и проведённые беседы, в настоящее время многие ру­ководители ведущих московских коммерческих струк­тур все более глубоко осознают роль и место своих сотрудников в создании и поддержании общей систе­мы экономической безопасности. Такое понимание этой проблемы ведет к настойчивому внедрению про­цедур тщательного подбора и расстановки персонала.

Так, постепенно приобретают все большую значи­мость рекомендательные письма, научные методы проверки на профпригодность и различного рода те­стирования, осуществляемые кадровыми подразделе­ниями, сотрудниками служб безопасности и группами психологической поддержки, которые созданы в ряде коммерческих структур либо привлекаются в качестве сторонних экспертов.

Несмотря, однако, на некоторые положительные примеры, в целом приходится, к сожалению, констати­ровать тот факт, что руководители подавляющего бо­льшинства коммерческих организаций все же еще не в полной мере осознали необходимость организации комплексной защиты своих структур от уголовных и экономических преступлений и в этой связи потреб­ность постоянного совершенствования процесса под­бора и расстановки кадров.

Как свидетельствует современный опыт, безопа­сность экономической деятельности любой коммер­ческой структуры во многом зависит от того, в какой степени квалификация ее сотрудников, их морально-нравственные качества соответствуют решаемым задачам.

Если объективно оценивать существующие сегодня процедуры отбора кадров, то окажется, что во многих банках и фирмах акцент, к сожалению, делается пре­жде всего на выяснении лишь уровня профессиональ­ной подготовки кандидатов на работу, который опре­деляется зачастую по традиционно-формальным при­знакам: образование; разряд; стаж работы по специальности.

При таком подходе очевидно, что кадровые подра­зделения исходят из все более устаревающей концеп­ции ограниченной материально-финансовой ответст­венности отдельных работников за конечные резуль­таты своей деятельности и сохранность конфиденци­альной информации.

В современных же коммерческих банках при весьма ограниченной численности сотрудников, все более ча­стом совмещении рядовыми исполнителями различ­ных участков работы и стремительно увеличивающих­ся потоках информации и управленческих команд, каж­дый сотрудник во все возрастающей степени становит­ся носителем конфиденциальных сведений, которые могут представлять интерес как для конкурентов, так и криминальных сообществ.

В таких условиях весьма существенно повышаются и изменяются требования к личным и деловым качест­вам сотрудников и, следовательно, к кандидатам на работу. Данное обстоятельство побуждает руководи­телей коммерческих структур все чаще обращаться к методам и процедурам научной психологии, с помо­щью которых можно достаточно быстро, надежно и всесторонне оценивать возможного кандидата и со­ставлять его психологический портрет.

Конечно, было бы ошибкой полагать, что психоло­гический отбор полностью заменяет прежние, достато­чно надежные кадровые процедуры. В этой связи под­черкнем, что только при умелом сочетании психологи­ческих и традиционных кадровых подходов можно с высокой степенью достоверности прогнозировать по­ведение сотрудников в различных, в том числе экст­ремальных, ситуациях.

В настоящее время ведущие банковские струк­туры имеют, как правило, строго разработанные и ут­вержденные руководством организационные структу­ры и функции управления для каждого подразделения. Наибольшей популярностью пользуются методики со­ставления оргсхем или организационных чертежей, на которых графически изображается каждое рабочее ме­сто, прописываются должностные обязанности и опре­деляются информационные потоки для отдельного ис­полнителя.

При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для вы­полнения функций на своем рабочем месте. Внутрен­ними распоряжениями также определяются требова­ния к деловым и личным качествам сотрудников и обусловливаются режимы сохранения или коммерчес­кой тайны.

Кроме того, для большей конкретизации этих про­цедур на каждое рабочее место рекомендуется состав­лять профессиограмму, т.е. перечень личностных ка­честв, которыми в идеале должен обладать потенциаль­ный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабо­чее место они составляются.

Однако обязательными атрибутами подобных до­кументов являются разделы, отражающие профессио­нально значимые качества (психологические характери­стики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, кото­рые делают невозможным зачисление кандидата на кон­кретную должность). В некоторых случаях необходимо не только указывать профессионально значимые каче­ства, но и оценивать степень их выраженности, т.е. сформированности.

После разработки схем управления и составления профессиограмм можно приступать к собеседованиям и применять разнообразные процедуры отбора кан­дидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно, как правило, изуче­ние значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответст­вующая должность. Во втором случае из ограничен­ного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в на­ибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Проблема состоит в том, что даже весьма опыт­ные работники кадровых подразделений не всегда мо­гут правильно, достоверно и быстро оценить подлин­ное психическое состояние лиц, пришедших на собеседо­вание. Этому способствуют повышенное волнение, склонность отдельных кандидатов к предвзятым оцен­кам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконт­рольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи веду­щие московские коммерческие банки требуют от кан­дидатов предоставления справок о состоянии здоровья либо сами выдают направления в определенные поликлиники с рекомендацией прохождения полной диспан­серизации (за счет кандидата).

С точки зрения обеспечения страте­гических интересов коммерческой структуры являются обязательными следующие функции службы безопас­ности:

- определение степени вероятности формирования у кандидата преступных наклонностей в случаях воз­никновения в его окружении определенных благопри­ятных обстоятельств (персональное распоряжение кре­дитно-финансовыми ресурсами, возможность контро­ля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и пр.);

- выявление имевших место ранее преступных на­клонностей, судимостей, связей с криминальной сре­дой (преступное прошлое, наличие конкретных суди­мостей, случаи афер, махинаций, мошенничества, хи­щений на предыдущем месте работы кандидата и уста­новление либо обоснованное суждение о его возмож­ной причастности к этим преступным деяниям).

Для добывания подобной информации использу­ются возможности различных подразделений банковских структур, в первую очередь службы безопасности, отдела кадров, юридического отдела, под­разделений медицинского обеспечения, а также не­которых сторонних организаций, например, детек­тивных агентств, бюро по занятости населения, диспансеров и пр.

Очевидно также, что представители банковских структур должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с те­ми лицами, которые выступают в качестве кандидатов на работу. Это подразумевает тщательную проверку паспортных данных, иных документов, а также получе­ние фотографий кандидатов без очков, контактных линз, парика, макияжа.

Рекомендуется настаивать на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъявле­ния жильцам по месту его проживания или коллегам по работе. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, предпочтительнее также в связи с тем, что они четко и без искажений передают цвет волос, глаз, кожи, возраст и характерные приметы кандидата.

В практике уже известны случаи, когда для допол­нительного анализа анкеты кандидата и его фотогра­фий руководители банковских структур приглашали высокопрофессиональных юристов, графологов, из­вестных психоаналитиков с целью обеспечения максимальной полноты формулировок окончательного заключения и выявления возможных скрытых противоречий в характере проверяемого лица.

В том случае, если результаты указанных проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препят­ствовали приему на работу данного кандидата, с ним заключается трудовое соглашение, в большинстве слу­чаев предусматривающее определенный испытатель­ный срок (1-3 месяца).

Необходимо также подчеркнуть следующее важное обстоятельство - лица, принима­емые на ответственные вакантные должности в ком­мерческих структурах (члены правлений, главные бух­галтеры, консультанты, начальники служб безопасно­сти и охраны, руководители компьютерных центров и цехов, помощники и секретари первых лиц) сегодня подвергаются, как правило, следующей стандартной проверке, включающей:

·    достаточно продолжительные процедуры сбора и верификации установочно-биографических сведений с их последующей аналитической обработкой;

·    предоставление рекомендательных писем от извест­ных предпринимательских структур с их последующей проверкой;

·    проверки по учетам правоохранительных органов; установки по месту жительства и по предыдущим местам работы;

·    серии собеседований и тестов с последующей пси­хоаналитической обработкой результатов.

По мнению экспертов, даже каждый, взятый в от­дельности из упомянутых методов проверки доста­точно эффективен. В совокупности же достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности ка­ндидата, его способностях к творческой работе на конкретном участке в соответствующем коммерческом предприятии.

Серьезное влияние на вопросы безопасности ком­мерческих предприятий оказывают процедуры уволь­нения сотрудников. К сожалению, отдельных руково­дителей порой мало интересуют чувства и пережива­ния персонала, который по тем или иным причинам попадает под сокращение или самостоятельно изъяв­ляет желание покинуть банк или акционерное обще­ство. Как показывает опыт, такой подход приводит, как правило, к серьезным негативным последствиям.

Современные психологические подходы к процессу увольнения позволяют выработать следующую при­нципиальную рекомендацию: каковы бы ни были причи­ны увольнения сотрудника, он должен покидать коммер­ческую организацию без чувства обиды, раздражения и мести.

Только в этом случае можно надеяться на то, что увольняемый сотрудник не предпримет необдуманных шагов и не проинформирует правоохранительные ор­ганы, налоговую инспекцию, конкурентов, криминаль­ные структуры об известных ему аспектах работы банка. Кроме того, известны случаи мести бывших сотрудников с использованием компьютерного проникновения.

Таким образом, представители кадровых подраз­делений и служб безопасности должны быть четко ориентированы на выяснение истинных мотивов уво­льнения всех категорий сотрудников. Зачастую причи­ны, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга. Обычно лож­ный защитный мотив используется потому, что со­трудник в силу прежних привычек и традиций опасает­ся неправильной интерпретации своих действий со сто­роны руководителей и коллег по работе.

Наряду с этим весьма часто имеют место случаи, когда сотрудник внутренне сам уверен в том, что увольняется по откровенно называемой им причине, хотя его решение сформировано и принято под влия­нием совершенно иных, порой скрытых от него обсто­ятельств. Так, в практике уже известны случаи весьма тонких и тайных комбинаций оказания влияния на высококвалифицированных специалистов с целью их переманивания на другое место работы.

В этой связи принципиальная задача состоит в том, чтобы определить истинную причину увольнения со­трудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процеду­ру его спокойного и бесконфликтного увольнения. Ре­шение рекомендуется принимать на основе строго объективных данных в отношении каждого конкрет­ного сотрудника.

При поступлении устного или письменного заявле­ния об увольнении рекомендуется во всех без исключе­ниях случаях провести с сотрудником беседу с участи­ем представителя кадрового подразделения и кого-ли­бо из руководителей коммерческой структуры. Однако до беседы целесообразно предпринять меры по сбору следующей информации об увольняющемся сотруднике:

- характер его взаимоотношений с коллегами в кол­лективе; отношение к работе; уровень профессиональной подготовки; наличие конфликтов личного или служебного хара­ктера;

- ранее имевшие место высказывания или пожелания перейти на другое место работы;

- доступ к информации, в том числе составляющей коммерческую тайну;

- вероятный период устаревания сведений, составля­ющих коммерческую тайну для данного предприятия; предполагаемое в будущем место работы увольня­ющегося (увольняемого) сотрудника.

Беседа при увольнении проводится лишь только после того, когда собраны все необходимые сведения. Конечно, предварительно руководитель коммерческой структуры отрабатывает принципиальный подход к вопросу о том, целесообразно ли предпринимать попытки склонить сотрудника изменить его первона­чальное решение либо санкционировать оформление его увольнения. В любом случае рекомендуется дать собеседнику высказаться и в развернутой форме объяс­нить мотивы своего решения. При выборе места про­ведения беседы предпочтение отдается, как правило, служебным помещениям.

В зависимости от предполагаемого результата беседа может проводиться в официальном тоне либо иметь форму доверительной беседы, задушевного разговора, обмена мнениями. Однако каковы бы ни были планы в отношении данного сотрудника, раз­говор с ним должен быть построен таким образом, чтобы последний ни в коей мере не испытывал чувства униженности, обиды, оскорбленного достоинства. Для этого следует сохранять тон беседы предельно кор­ректным, тактичным и доброжелательным, даже не­смотря на любые критические и несправедливые заме­чания, которые могут быть высказаны сотрудником в адрес банковской структуры и ее конкретных менеджеров.

Если менеджером банка, отделом кадров и службой безопасности все же принято решение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации, то в этом случае от­рабатывается несколько вариантов сохранения в тайне коммерческих сведений (оформление официальной подписи о неразглашении данных, составляющих ком­мерческую тайну, либо устная «джентльменская» до­говоренность о сохранении увольняемым сотрудником лояльности к «своему банку или фирме»).

В этой связи необходимо подчеркнуть, что личное обращение к чувству чести и достоинства увольняемых лиц наиболее эффективно в отношении тех индивиду­умов, которые обладают темпераментом сангвиника и флегматика, высоко оценивающих, как правило, до­верие и доброжелательность.

Что касается лиц с темпераментом холерика, то с этой категорией сотрудников рекомендуется завер­шать беседу на официальной ноте. В ряде случаев объявление им принятого решения об увольнении вы­зывает бурную негативную реакцию, связанную с по­пытками спекулировать на своих истинных, а порой и мнимых профессиональных достоинствах. Поэтому с сотрудниками такого темперамента и склада харак­тера целесообразно тщательно оговаривать и обуслов­ливать в документах возможности наступления для них юридических последствий раскрытия коммерчес­кой тайны.

Несколько иначе рекомендуется действовать в тех случаях, когда увольнения сотрудников происходят по инициативе самих коммерческих структур. В этих об­стоятельствах не следует поспешно реализовывать принятое решение. Если увольняемое лицо располага­ет какими-либо сведениями, составляющими коммерческую тайну, то целесообразно предварительно и под соответствующим предлогом перевести его на другой участок работы, например в такое подразделение, в ко­тором отсутствует подобная информация.

Кроме того, таких лиц традиционно стремятся со­хранить в структуре банка или фирмы (их дочерних предприятий, филиалов) до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения ими сведений, составляющих коммерчес­кую тайну, либо найдены адекватные средства защиты конфиденциальных данных (технические, администра­тивные, патентные, юридические, финансовые и пр.).

Только лишь после реализации этих мер рекомен­дуется приглашать на собеседование подлежащего уво­льнению сотрудника и объявлять конкретные причи­ны, по которым коммерческая организация отказыва­ется от его услуг. Желательно при этом, чтобы эти причины содержали элементы объективности, достове­рности и проверяемости (перепрофилирование произ­водства, сокращение персонала, ухудшение финансово­го положения, отсутствие заказчиков и пр.). При моти­вации увольнения целесообразно, как правило, воздер­живаться от ссылок на негативные деловые и личные качества данного сотрудника.

После объявления об увольнении рекомендуется внимательно выслушивать контрдоводы, аргументы и замечания сотрудника в отношении характера рабо­ты, стиля руководства компанией и т. п. Обычно уво­льняемый персонал весьма критично, остро и правдиво освещает ситуацию в коммерческих структурах, вскры­вая уязвимые места, серьезные недоработки, кадровые просчеты, финансовые неурядицы и т. п.

Если подходить не предвзято и объективно к подо­бной критике, то эти соображения могут быть исполь­зованы в дальнейшем весьма эффективно в интересах самого банка. В ряде случаев увольняемому со­труднику вполне серьезно предлагают даже изложить письменно свои рекомендации, конечно, за соответст­вующее вознаграждение.

При окончательном расчете обычно рекомендуется независимо от личностных характеристик увольняемых сотрудников брать у них подписку о неразглашении конфиденциальных сведений, ставших известными в процессе работ.

В любом случае после увольнения сотрудников, осведомленных о сведениях, составляющих коммер­ческую тайну, целесообразно через возможности служ­бы безопасности банка или фирмы (частного детектив­ного агентства) проводить оперативную установку по их новому месту работы и моделировать возможности утечки конфиденциальных данных.

Кроме того, в наиболее острых и конфликтных ситуациях увольнения персонала проводятся оператив­ные и профилактические мероприятия по новому месту работы, жительства; также в окружении носителей коммерческих секретов.

Персонал оказывает су­щественное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, рас­становка и квалифицированная работа при увольнени­ях в значительной степени повышают устойчивость коммерческих предприятий к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов.

Регулярное изучение всех категорий персонала, по­нимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующих методов объединения от­дельных индивидуумов в работоспособный коллек­тив — все это позволяет руководителям в итоге ре­шать сложные производственные и коммерческо-финансовые задачи, в том числе связанные с обеспечением экономической безопасности.

Обобщая основные рекомендации, представляется, что программа работы с персоналом в коммерческой структуре могла бы быть сформулирована следующим образом:

- добывание в рамках действующего российского за­конодательства максимального объема сведений о ка­ндидатах на работу, тщательная проверка представ­ленных документов как через официальные, так и опе­ративные возможности, в том числе службы безопас­ности банка или частного детективного агент­ства, системность в анализе информации, собранной на соответствующие кандидатуры;

- проведение комплекса проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информа­ции, составляющей коммерческую тайну;

- использование современных методов, в частности собеседований и тестирований, для создания психоло­гического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах харак­тера и прогнозировать их вероятные действия в раз­личных экстремальных ситуациях;

- оценка с использованием современных психологи­ческих методов разноплановых и разнопорядковых фа­кторов, возможно препятствующих приему кандида­тов на работу или их использованию на конкретных должностях;

- определение для кандидатов на работу в коммер­ческих структурах некоторого испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;

- введение в практику регулярных и неожиданных комплексных проверок персонала, в том числе через возможности служб безопасности;

- обучение сотрудников кадровых подразделений и служб безопасности современным психологическим подходам к работе с персоналом, социальным, психо­аналитическим, этико-моральным методам, навыкам использования современных технических средств для фиксирования результатов интервью и собеседований, приемам проведения целевых бесед «втемную» и про­цедурам информационно-аналитической работы с до­кументами кандидатов;

- выделение из числа первых руководителей ком­мерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с пе­рсоналом.

Можно сделать определенный вывод о том, что российские предприниматели во все возрастающей степени меняют свое отношение к «человеческому фак­тору», ставят на вооружение своих кадровых подраз­делений и служб безопасности современные методы работы с персоналом. Очевидно, что дальнейшее раз­витие в этой области связано с активным использова­нием значительного потенциала методов психоанали­за, психологии и этики управления, конфликтологии и ряда других наук и более полного интегрирования соответствующих специалистов в коммерческие пред­приятия.

Глава 4. Безопасность автоматизированных систем обработки информации в банках (АСОИБ). Угрозы безопасности автоматизированных систем.

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

По данным, приведенным в [2], в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год [3].

В настоящей главе приводится классификация умышленных угроз безопасности АСОИБ и их краткое описание. Классификация не является исчерпывающей. Она предназначена для того, чтобы выделить основные типы угроз и методы защиты от них.

Современная АСОИБ — сложный механизм, состоящий из большого количества компонентов различной степени автономности, связанных между собой и обменивающихся данными. Практически каждый из них может выйти из строя или подвергнуться внешнему воздействию.

Под угрозой безопасности понимается потенциально возможное воздействие на АСОИ, которое может прямо или косвенно нанести урон пользователям или владельцам АСОИБ.

Приводимая ниже классификация охватывает только умышленные угрозы безопасности АСОИБ, оставляя в стороне такие воздействия как стихийные бедствия, сбои и отказы оборудования и др. Реализацию угрозы в дальнейшем будем называть атакой.

Угрозы безопасности АСОИБ можно классифицировать по следующим признакам [3]:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасности АСОИБ может преследовать следующие цели:

- нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в АСОИБ, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

- нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) -угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

- нарушение (частичное или полное) работоспособности АСОИБ (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов АСОИБ, их модификация или подмена могут привести к получению неверных результатов, отказу АСОИБ от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным. Так как диапазон услуг, предоставляемых современными АСОИБ, весьма широк, отказ в обслуживании может существенно повлиять на работу пользователя.

2. По принципу воздействия на АСОИБ:

- с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т.д.);

- с использованием скрытых каналов.

Под доступом понимается взаимодействие между субъектом и объектом (выполнение первым некоторой операции над вторым), приводящее к возникновению информационного потока от второго к первому.

Под скрытым каналом (covert channel) понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности. Скрытые каналы бывают двух видов:

а. Скрытые каналы с памятью (covert storage channel), позволяющие осуществлять чтение или запись информации другого процесса непосредственно или с помощью промежуточных объектов для хранения информации (временной памяти);

б. Скрытые временные каналы (covert timing channel), при которых один процесс может получать информацию о действиях другого, используя интервалы между какими-либо событиями (например, анализ временного интервала между запросом на ввод-вывод и сообщением об окончании операции позволяет судить о размере вводимой или выводимой информации).

Коренное различие в получении информации с помощью доступа и с помощью скрытых каналов заключается в том, что в первом случае осуществляется взаимодействие субъекта и объекта АСОИБ и, следовательно, изменяется ее состояние. Во втором случае используются лишь побочные эффекты от взаимодействия двух субъектов АСОИБ, что не оказывает влияния на состояние системы.

Отсюда следует, что воздействие, основанное на первом принципе, проще, более информативнее, но от него легче защититься. Воздействие на основе второго принципа отличается трудностью организации, меньшей информативностью и сложностью обнаружения и устранения.


Информация о работе «Проблемы информационной безопасности банков»
Раздел: Банковское дело
Количество знаков с пробелами: 344059
Количество таблиц: 1
Количество изображений: 0

Похожие работы

Скачать
16028
0
1

... Для того чтобы защитить свои финансы и секретную информацию, а также снизить возможный ущерб от действий вирусов, необходимо, прежде всего, с должным вниманием относиться к информационной безопасности. Проблема не решится сама собой, каждый день появляется около 50 новых модификаций различных вирусов, тысячи антивирусных специалистов постоянно анализируют вредоносные коды и готовят соответствующие ...

Скачать
151892
12
0

... на повышение конкурентоспособности в долгосрочной перспективе, и составляет стратегию банка. Таким образом, в нашем исследовании мы выделяем объект - деятельность коммерческих банков на территории РФ. 1.2. Роль и место обеспечения безопасности в деятельности коммерческого банка Региональный банковский сектор является мезоэкономическим компонентом банковской системы, в связи с чем, на параметры ...

Скачать
38811
2
2

... учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать сравнительный анализ нормативных и правовых документов по организации защиты информации в Донецком отделении Юго-Западного банка Сбербанка России №7749 и разработать рабочую документацию по информационной безопасности банка. 3. Модель угроз на ******* отделении Юго-Западного банка Сбербанка ...

Скачать
84825
3
1

... АРМ, назначение ролей и распечатка предписаний: системному администратору сервера подсистемы, администратору транспортной станции УТП, администратору ключевой системы ЭЦП/КА, администратору информационной безопасности ТЦОИ - на регистрацию пользователя в подсистемах их сферы ответственности. После получения подтверждений о выполнении администраторами смежных подсистем предписанных действий, ...

0 комментариев


Наверх