Кібербезпека банківських та комерційних структур
3. Реалізація політики інформаційної безпеки банківської установи
Реалізація політики інформаційної безпеки банківської установи починається з проведення розрахунку фінансових втрат і вибору відповідних засобів для виконання завдань із захисту інформаційної системи банку. При цьому необхідно врахувати такі фактори як безконфліктність роботи обраних засобів, репутація постачальників засобів захисту, можливість одержання повної інформації про механізми захисту і надані гарантії. Також варто враховувати основні положення з безпеки інформації:
• економічна ефективність - вартість засобів захисту має бути меншою, ніж розміри можливого збитку;
• кожен користувач повинний мати мінімальний набір привілеїв, необхідний під час роботи;
• простота системи захисту інформаційної системи - захист буде тим ефективнішим, чим легше користувачу з ним працювати;
• відключення захисту при нормальному функціонуванні - захист не повинен відключатися, за винятком особливих випадків, коли співробітник із спеціальними повноваженнями може мати можливість відключити систему захисту;
• відкритість проектування і функціонування механізму захисту (для можливості адекватного реагування обслуговуючого персоналу на виникнення збоїв у системі);
• незалежність системи захисту від суб’єктів захисту - розроблювачами не повинні бути ті, кого вона буде контролювати;
• загальний контроль без будь-яких виключень з безлічі контрольованих суб’єктів;
• звітність і підконтрольність системи захисту;
• відповідальність осіб, що займаються інформаційною безпекою;
• об’єкти захисту доцільно розділити на групи так, щоб порушення захисту в одній групі не впливало на безпеку інших груп;
• відмова від замовчування - при збої засобів захисту доступ до обчислювальних ресурсів повинен бути заборонений;
• система захисту об’єкту має бути цілком специфікованою, протестованою та погодженою;
• система повинна допускати зміну своїх параметрів адміністратором;
• важливі критичні рішення повинні прийматися людиною, а не комп’ютером;
• система захисту об’єкта повинна проектуватися в розрахунку на вороже оточення і припускати, що користувачі мають найгірші наміри, будуть робити помилки і шукати шляхи обходу механізмів захисту;
• інформація про існування механізмів захисту повинна бути, по можливості, схована від користувачів, робота яких контролюється.
При підтримці політики інформаційної безпеки банку потрібно постійне спостереження за вторгненнями зловмисників у мережу, виявлення вад і “дір” у системі захисту інформаційної системи, обліку випадків несанкціонованого доступу до конфіденційних даних.
При цьому основна відповідальність за підтримку політики інформаційної безпеки банку лежить на відповідальній особі, призначеній керівництвом банку. Цей фахівець повинен оперативно реагувати на всі випадки зламу конкретної системи захисту, аналізувати їх і використовувати необхідні апаратні та програмні засоби захисту з урахуванням максимальної економії фінансових засобів.