Методы и средства защиты информации кредитно-финансовых организаций

Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения (гриф ХХХ 2)

Строго конфиденциальные сведения (гриф ХХ) включают в себя: - все прочие конфиденциальные сведения о клиентах банка;

Конфиденциальные сведения (гриф Х)

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Результатом этой работы является внутренний (строго конфиденциальный) документ - Перечень сведений, составляющих банковскую и коммерческую тайну. Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений. По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы - клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов

Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите

Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к раз личным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше Перечня, следовательно - обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы: К методам программно-математического характера относятся:

- программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;

- программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами

К методам технического характера

К методам организационного характера относятся:

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:

Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:

Разработку внутренней нормативной базы в составе:

Расчет и выделение финансовых ресурсов

Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами: