· необходимо чёткое разграничение деятельности каждого банковского работника и предоставление информации строго в необходимом для работы объёме;

   · необходим полноценный анализ всех решений кредитований и инвестиций, осуществляемых банком;

   · существенную роль играют системы контроля за деятельностью работников и системы обеспечения безопасности самого производственного процесса.

   Эффективное обеспечение экономической безопасности банка осуществляется в основном экономическими методами, хотя необходимость  проведения определённых мер строго охранного характера так же продолжает присутствовать.

   Служба  экономической безопасности банка  должна представлять собой структуру, состоящую из специалистов по информационной безопасности; экономистов, чётко представляющих себе работу на местах; юристов; специалистов по экономическому анализу и специалиста по обеспечению имущественной безопасности и безопасности остального персонала.

   Руководить  службой безопасности, несомненно, должен человек, обладающий не только большими организаторскими способностями, но и знаниями во всех перечисленных сферах деятельности.

 

3.Безопасность  информации

   3.1. Проблемы безопасности  информационной инфраструктуры  бизнеса. Обеспечение  информационной безопасности  бизнеса в современных  условиях

   В системе  современного бизнеса существуют значительные массивы информации, обеспечение целостности, доступности и конфидециальности которых имеет для бизнеса решающее значение. В современном бизнесе практически вся эта информация хранится и обрабатывается в автоматизированных информационных системах (АИС). Поэтому эффективность деятельности фирмы становится все в большей степени зависима от устойчивости функционирования и защищённости этих систем. Потеря работоспособности АИС может повлечь негативные последствия для бизнес-структуры, а в некоторых случаях привести к гибели системы в целом.

   На  начальных этапах внедрения информационных технологий АИС использовались главным  образом в системах учёта и  контроля. В настоящее время АИС  всё активнее используются в качестве ядра бизнес-процессов. Новый импульс  для применения информационных технологий в бизнесе дал Интернет. Важнейшим для развития Интернет-бизнеса является сектор платежных систем и систем обеспечения безопасности электронного документооборота.

   Расширение  видов деятельности, круга клиентов и поставщиков, освоение новых рынков, появление новых служб – всё это ведет к усложнению структуры и алгоритмов функционирования организации и к постоянному совершению её информационной инфраструктуры на основе новых компьютерных и телекоммуникационных технологий.

   Вместе  с тем, с созданием АИС расширяется число источников угроз нарушения информационной безопасности. источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. К внешним источникам можно отнести:

   · Деятельность конкурентов, использующих методы недобросовестной конкуренции: промышленный и экономический шпионаж, шантаж, дезинформацию, «чёрный» пиар;

   · Действия хакеров и крекеров, стремящихся взломать систему защиты АИС организации с целью её дезорганизации;

   · Агентурную деятельность иностранных спецслужб и систем электронного шпионажа, специализирующихся на промышленном и экономическом шпионаже [В качестве примера такой системы можно привести американскую систему Echelon, о степени, опасности которой можно судить по тем данным и фактам, которые широко обсуждались в руководящих кругах европейского общества, экономика которого понесла существенные потери в результате утечки по каналам системы Echelon информации о ряде крупных контрактов, «перехваченных» американскими подрядчиками у европейских];

   · Недостаточный ассортимент сертифицированных средств защиты информации;

   · Действия недобросовестных клиентов, стремящихся к получению незаконной выгоды;

   · Деятельность недобросовестных клиентов, стремящихся ради собственной выгоды нанести ущерб организации;

   К внутренним источникам  относятся:

   · Использование организацией технологий обработки информации, которые не обеспечивают требуемую защиту информации;

   · Недостаточную надёжность систем защиты информации;

   · Недобросовестность и низкую квалификацию персонала;

   · Использование несертифицированных и закладок, аппаратных и программных средств;

   · Недостаточную безопасность (техническую, пожарную и т.д.) зданий и помещений, в которых расположена АИС;

   · Недостаточная надёжность систем энергоснабжения и жизнедеятельности;

   · Использование «пиратских» копий программного обеспечения;

   Чтобы представить весь круг и всю сложность  задач по обеспечению информационной безопасности в таких условиях, приведём перечень объектов, нуждающихся в  защите, и мер, которые могут быть приняты.

   Объектами обеспечения информационной безопасности являются:

   · Здания, помещения и территории, на которых расположены средства АИС и где могут вестись переговоры и обмен конфидециальной информацией;

   · Технические средства АИС – компьютерное оборудование, оборудование локальных сетей, кабельная система, телекоммуникационное оборудование;

   · Программные средства АИС;

   · информация, хранимая и обрабатываемая в АИС, и передаваемая по каналам связи;

   · автономные носители информации (CD-диски, дискеты и т.д.);

   · сотрудники организации, работающие с АИС и являющиеся носителями конфидециальной  информации и информации по защите АИС.

   Все меры защиты можно разделить на четыре категории:

1. Защита территорий и помещений, где расположена АИС (20%);
2. Защита от технических средств шпионажа (12%);
3. Защита АИС и хранилищ с носителями информации (28%);
4. Меры по работе с персоналом (40%).

   Меры  защиты территории и  помещений включают следующие технические системы:

• Пожарной безопасности;
• Охранной сигнализации;
• Охранного телевидения и видеонаблюдения;
• Управление допуском, включая системы опознавания личности и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и сооружения, а также дающие возможность отслеживать длительность пребывания и маршруты передвижения людей на защищаемых объектах;
• Входного контроля (металлодетекторы, средства обнаружения радиоактивных веществ и т.п.);
• Инженерные средства защиты – специальные замки и двери, решётки на окнах, защитные оконные плёнки, пулестойкие оконные бронемодули и др.

   Меры  защиты от технических  средств шпионажа включают:

• Поиск и уничтожение технических средств шпионажа;
• Шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной связи;
• Подавление технических средств шпионажа постановкой помех;
• Экранирование помещений и источников электромагнитных излучений;
• Заземление, звукоизоляция;

   Меры  защиты АИС включают:

• Выработку политики безопасности в АИС;
• Организационные меры по внедрению политики безопасности;
• Защиту оборудования (компьютеров) от нарушения их целостности;
• Антивирусную защиту программного обеспечения;
• Проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
• Создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
• Определение пользователей при доступе к ресурсам локальной сети и базам данных;
• Протоколирование действий пользователей при работе на компьютере в сетях;
• Аудит протоколов действий пользователей;
• Использование прокси-серверов;
• Установку систем обнаружения атак;
• Применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
• Создание систем учёта и контроля информации, хранимой на автономных носителях информации, и учёта этих носителей;
• Создание систем резервного копирования и хранения информации, по возможности, территориально-распределённых;
• Использование систем резервирования электропитания;
• Проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
• Периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.

• Большинство из указанных мер, как правило, реализуется путём установки в АИС специальных прграммно-аппаратных средств. Вся совокупность программных и технических средств защиты информации в АИС объединяется в подсистему информационной безопасности АИС.

   3.2. Управление информационной  безопасностью бизнеса

   Очевидно, что принятие всех возможных средств  и методов защиты на все случаи жизни нереально. От чрезмерных мер безопасности организационная система может стать неработоспособной и разорительной для собственников. Решение этой коллизии состоит в необходимости создания механизма, который позволил бы, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные для организации меры защиты. Таким механизмом может стать создание системы управления финансами, качеством, проектами, функционирующим в любой организации. Такое решение будет представлять собой тот самый системный комплексный подход к обеспечению информационной безопасности бизнеса, который будет гарантировать защиту от неприятных «сюрпризов», связанных с нарушением защиты информации.

 

 В рамках системы  управления информационной безопасностью  бизнеса должны решаться следующие задачи:

• контроль и управление функционированием подсистемы информационной безопасности;
• регистрация попыток вторжения в АИС, разбор и расследование фактов нарушения информационной безопасности;
• изучение известных моделей хакерских атак и взлома компьютерных систем, анализ возможности их реализации в отношении АИС организации, принятие мер по устранению возможностей реализации такого рода атак и методов взлома;
• организация антивирусной защиты компьютеров организации;
• управление рисками нарушения информационной безопасности;
• подготовка планов и предложений по совершенствованию подсистемы информационной безопасности и политики безопасности;
• разработка новых решений по защите информации;
• внедрение новых средств защиты информации;
• управление персоналом, в аспектах, связанных с обеспечением информационной безопасности организации;
• управление страховыми гарантиями безопасности используемых компьютерных и телекоммуникационных технологий.

   3.3. Коммерческая тайна

   Сейчас  на рынке безопасности наиболее востребованы физическая и техническая защита. Хотя очевидно, что по мере становления такого рынка спрос на них сужается и со временем обратится к технологиям защиты коммерческой тайны, услугам по обеспечению информационной безопасности, защите от риска в сугубо коммерческой (предпринимательской) деятельности, т.е. на специфические навыки контрразведчиков, разведчиков и аналитиков коммерческих служб безопасности.

   Предпринимательская деятельность всегда тесно связана  с получением, накоплением, хранением, обработкой и использованием информации. В настоящее время она приобрела коммерческую ценность, стала продуктом и товаром, имеющим своего владельца, стоимость и рынки сбыта. Конкуренция, желание преуспеть вынуждают российские предприятия копить секреты и создавать структуры по их добыванию и защите своих информационных ресурсов. Сегодня уровень конкурентоспособности зависит от умения защитить свою деловую и техническую информацию от хищения, несанкционированного использования, изменения или уничтожения.