Проблема безпеки банківської інформації

Міжнародний аспект

Вперше проблема інформаційної безпеки внесена США в 1947 році при прийнятті Закону “Про національну безпеку” США. На сьогодні у США в усі підрозділи військ введені спеціалісти з інформації та комунікацій, тобто спеціалісти з інформаційних воєн та технологій.

Інформаційна безпека розглядається як глобальна проблема захисту інформації, захисту інформаційного простору та інформаційного суверенітету, а також як проблема інформаційного забезпечення прийняття урядових рішень. Практичне вирішення проблем інформаційної безпеки, притягнення до відповідальності за порушення або загрозу інформаційній безпеці у кожній державі здійснюється у порядку, передбаченому нормами міжнародного права, відповідними міждержавними договорами а також внутрішнім законодавством. Інформаційна безпека регулюється визначеними нормами міжнародного права, які зафіксовані у документах ООН і ЮНЕСКО, у документах європейських міжнародних організацій, а також у нормативних актах окремих держав.

Так існує міжнародна норма стосовно перекручення інформації, та інформації, що включає заклики до повалення державного ладу в іншій країні. В міжнародних документах зафіксований захист інтелектуальної інформації а також захист комерційної інформації.

Кожна більш-менш розвинена країна має закони про захист інформації в різних галузях. Так:

Франція має закон “Про інформацію, інформаційні файли та права людини”

(1978 рік),

Німеччина – Закон “Про захист інформації” (1990 рік),

Австрія, Бельгія, Данія, Ірландія – Закон “Про захист інформації”,

Фінляндія, Ісландія – Закон “Про захист інформації про особу”

Люксембург – Закон “Про використання інформації в процесі роботи з комп’ютером”.

Захисна діяльність переважної більшості банків будується на аналізі погроз, ризиків їхньої реалізації й вживання адекватних заходів, що зводять ризик до прийнятного для банку рівня. Сьогодні проблема банківської безпеки набула нових аспектів. В умовах корумпованості й криміналізації всіх сфер діяльності (особливо фінансової) багато проблем не можуть бути вирішені традиційними способами, або витрати, необхідні для їхнього рішення, роблять їх практично нездійсненними. У цих умовах потрібне застосування спеціальних методів і засобів по забезпеченню безпеки діяльності банку.

Терміни банківської безпеки:

Інформаційна інфраструктура Банку містить у собі інформаційні ресурси, технічні інформаційні системи й засоби, інженерні системи їхнього життєзабезпечення, а також приміщення, у яких функціонують інформаційні системи, і обробляється банківська інформація. З інформаційною інфраструктурою нерозривно зв’язані персонал і клієнти.

Інформаційні ресурси Банку складаються з вихідної банківської інформації, баз даних, системного, мережевого, операційного й інструментального програмного забезпечення, процесорного устаткування й пристроїв довгострокової й оперативної пам’яті, у яких безпосередньо розміщається (обробляється й зберігається) інформація, представлена як у документальній формі, так й в інший, зручній для електронної обробки формі.

Банківська інформація формується банківським персоналом і безпосередньо обробляється в Автоматизованій Системі Обробки Інформації з використанням інтегрованих пакетів прикладних продуктів, що становлять Автоматизовану Банківську Систему.

Під безпекою інформаційної інфраструктури Банку розуміється її захищеність, виражена в здатності протистояти або протидіяти випадковому або навмисному деструктивному впливам природного або штучного характеру на нормальний процес функціонування банківських електронних технологій, здатним завдати шкоди власникам і користувачам інформації й підтримуючої інфраструктури.

Відповідно до визначень, запропонованими “Погодженими критеріями оцінки безпеки інформаційних технологій Європейських країн (ITSEC)”, інформаційна безпека містить у собі три головні складові:

· конфіденційність (захист від несанкціонованого одержання інформації);

· цілісність (захист від несанкціонованої зміни інформації);

· доступність (захист від несанкціонованого утримання інформації й ресурсів).

З позицій безпеки інформаційної інфраструктури головні складові (головні цілі) у різних законодавчих і рекомендаційних базах формулюються в такий спосіб:

· інформаційний рівень безпеки банківської інформації;

· криптографічні методи шифрування внутрішньої інформації;

· протоколи реалізації міжбанківської передачі інформації;

· мережеві (і немережеві) сервіси клієнт-банк, сюди ж входять проблеми аутентифікації й цифрового підпису.

· людський фактор. У першу чергу це пов’язане з вибором паролів. Очевидно, що короткі або осмислені паролі легко запам’ятовуються людиною, але вони набагато простіше для розкриття. Використання довгих і безглуздих паролів, безумовно, краще з погляду криптостійкості, але людина звичайно не може їх запам’ятати й записує на папірці, що потім або губиться, або попадає в руки зловмисникові.

Промисловий шпіонаж.

Промислове шпигунство — несанкціоноване одержання, використання або зміна інформації, що представляє комерційну цінність.

Торговельний секрет — будь-яка формула, зразок, виріб, інформація, використовувана в бізнесі, яка дає переваги перед конкурентами.

До торговельного секрету можуть відноситися відомості про формування ціни на товар і про самий товар, про розмір прибутку й обсяг виробництва продукції, про взаємини з іншими фірмами й про укладені контракти. До конфіденційної інформації також ставляться дані про зайнятість, організаційні витрати, виробнича техніка, плани розширення й фінансування, виробничі витрати, дані досліджень і розробок.

Право промислової таємності — режим таємності, що вводиться на спільних підприємствах для захисту внесеної сторонами в статутний фонд або виробленої ними в процесі спільної діяльності науково-технічної інформації й документації; виступає як інтелектуальна власність і майнові права, “джойнт венчурс”.

Інсайдер — особа, що має доступ до конфіденційної ділової інформації в силу свого службового становища. У ряді країн законодавство забороняє йому укладання ділових угод і консультування третіх осіб при проведенні фінансових, торговельних й інших господарських операцій.

Секретна інформація фірми — не суспільна інформація про технологічні секрети фірми і її продукції, включаючи інформацію, що відноситься до досліджень і розробок, виробництва, закупівель, фінансів, техніки, ринку, торгівлі, продажу.