Новые технологии предоставляют банкам широкий спектр возможностей для организации собственного бизнеса. Но их активное использование выносит на повестку дня вопрос о защите данных. Для финансового института крайне важно сформировать единую политику информационной безопасности. При этом необходимо использовать реальные оценки уровня информационной защищенности банка и рекомендации по повышению этого уровня.

ОСНОВА ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Для того чтобы конфиденциальная информация не стала достоянием общественности и уж тем более конкурентов, в финансовых компаниях используют самые современные средства защиты. Профессионально настроенные web-фильтры и антивирусные программы во многом позволяют избежать проникновения вредоносного кода. Но все приложения, работающие независимо друг от друга, не гарантируют надежной защиты. Необходимо иметь полное представление о политике информационной безопасности.

Именно она служит основой для внедрения средств обеспечения безопасности, что способствует уменьшению числа уязвимых мест и, как следствие, риска для бизнеса. Поэтому при утверждении политики безопасности необходимо быть полностью уверенным в том, что она отражает все возможные виды угроз и предлагает качественные рекомендации, необходимые для их ликвидации.

Обычно уязвимые места банка констатируются после произошедшего инцидента, а устранение последствий требует значительных финансовых вложений. Но хорошо еще, если все можно исправить деньгами, а что делать в случае, когда урон от неправомерных действий получает репутация банка? Именно она в первую очередь окрашивается в черные тона после любого инцидента.

И застраховаться от резких изменений в отношении клиента к бренду невозможно.

КОРПОРАТИВНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

Для того чтобы не допустить утечки конфиденциальных данных, каждый сетевой администратор должен вести учет информационных систем в своей зоне ответственности. Это позволит обеспечить защиту всех информационных ценностей и быстрое восстановление после инцидента. Необходимо выделить критические приложения, от успешности функционирования которых зависит выполнение банком своего назначения. Примерами критических приложений могут служить платежные и биллинговые системы. Для большинства бизнес-приложений необходима стабильная связь с Интернетом, и обеспечение сохранности передаваемых данных является приоритетным направлением политики.

Для разработки эффективной политики безопасности данные должны быть классифицированы. Правила ПИБ оперируют со значениями грифов критичности информации, показывают, какое решение должно быть принято для операции с информацией данного класса. Кроме того, необходимо определить границы ответственности и отчетности при претворении в жизнь политики. На основании этих документов с целью борьбы с инсайдерами определяется круг лиц в банке, к которым она применяется.

БЕЗОПАСНОСТЬ КЛИЕНТА

Но к сожалению, несмотря на оптимистичные прогнозы банковских специалистов об уровне защиты конфиденциальной информации внутри компании, во многих банках упущен один немаловажный момент. Недостаточно четко сформулированы требования к обязательному наличию антивирусных программ с актуальными сигнатурами на компьютере клиента при работе с системами дистанционного банковского обслуживания. А прецеденты уже имеются - не так давно один из клиентов обвинил банк в недостаточном уровне защиты его данных. По словам клиента, с его счета через Интернет были переведены все денежные средства.

По версии потерпевшего, виновны сотрудники банка, но ему возражают специалисты: по их версии, на компьютере потребителя был вирус. Ситуация крайне спорная, и разрешить ее позволил бы должный уровень информирования собственного клиента о правилах работы с бизнес-приложениями.