Сутність інформаційної безпеки банківських установ
Тема 4. Інформаційна безпека банківських установ
1. Сутність інформаційної безпеки банківських установ
2. Сутність та поняття комерційної таємниці
3. Роль інсайдерів у забезпеченні інформаційної безпеки банківських установ
4. Технічне забезпечення інформаційної безпеки банківських установ
Сутність інформаційної безпеки банківських установ
Інформація є активом, який подібно іншим важливим діловим активам, є суттєвим для бізнесу організації і тому потребує відповідного захисту. Це суттєво важливо у все більш взаємопов’язаному діловому середовищі. Внаслідок цієї
зростаючої взаємопов’язаності інформація тепер наражається на зростаючу кількість і більшу різноманітність загроз та вразливостей.
Інформація може існувати у багатьох формах. Вона може бути надрукована або написана на папері, збережена в електронному вигляді, переслана поштою або з використанням електронних засобів, показана на плівці або сповіщена у бесіді.
Незалежно від набутого виду інформації або засобів, за допомогою яких вона поширюється або зберігається, вона повинна завжди бути відповідно захищена.
Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес ризику і максимізації рентабельності інвестицій і бізнес можливостей.
Інформаційна безпека досягається впровадженням відповідного набору контролів, який охоплює політику, процеси, процедури, організаційні структури і програмні та апаратні функції. Ці контролі необхідно розробити, впровадити, моніторити, переглядати та, за необхідності, вдосконалювати для гарантування того, що певні безпека та бізнес-цілі організації будуть досягнуті. Це треба виконувати узгоджено з іншими процесами управління бізнесом.
Питання щодо інформаційної безпеки визначаються Законами України:
Про інформацію;
Про захист інформації в інформаційно-телекомуникаційних системах;
Про електронний документ і електронний документообіг;
Про електронний цифровий підпис.
Питання інформаційної безпеки для банківської діяльності визначаються Законами України:
Про Національний банк України;
Про банки і банківську діяльність;
Про платіжні системи та переказ коштів в Україні;
та нормативними документами Національного банку України.
Інформація та допоміжні процеси, системи і мережі є важливими бізнес-активами. Визначення, досягнення, підтримка та вдосконалення інформаційної безпеки може бути суттєвим для підтримки конкурентоспроможності, готівкового обігу, рентабельності, відповідності законодавству та комерційної репутації.
Організації та їхні інформаційні системи й мережі натрапляють на загрози безпеці від широкого кола джерел, охоплюючи комп’ютерне шахрайство, шпіонаж, саботаж, вандалізм, пожежу або повінь. Причини порушень типу зловмисних кодів, комп’ютерного хакерства і атак типу відмови в обслуговуванні стали більш поширеними і значно досконалішими.
Інформаційна безпекає важливою як для державного і приватного секторів бізнесу, так і для захисту критичних інфраструктур. В обох секторах інформаційна безпека буде працювати як фактор сприяння, наприклад, в електронному урядуванні або електронному бізнесі, або для уникнення чи зменшення відповідних ризиків. Взаємозв’язок загальнодоступних і приватних мереж та спільне використання інформаційних ресурсів збільшують труднощі в досягненні контролю доступу. Тенденція до розподіленого оброблення даних може також послабити ефективність централізованого, фахового контролю.
Багато інформаційних систем не проектувалися як безпечні. Безпека, яка може бути досягнута за допомогою технічних засобів, є обмеженою і має підтримуватись відповідним управлінням та процедурами. Визначення, які контролі треба застосовувати на місці, вимагає ретельного планування та уваги до подробиць. Управління інформаційною безпекою вимагає щонайменше участі всього персоналу організації. Воно може також вимагати співучасті від акціонерів, постачальників, третіх сторін, користувачів або інших зовнішніх сторін.
Основні напрями забезпечення економічної безпеки:
1) захист даних та конфіденційність персональної інформації (див. 15.1.4);
2) захист записів організації (див. 15.1.3);
3) права інтелектуальної власності (див. 15.1.2).
4) документ політики інформаційної безпеки (див. 5.1.1);
5) розподіл відповідальностей щодо інформаційної безпеки (див. 6.1.3);
6) поінформованість, освіта і навчання з інформаційної безпеки (див. 8.2.2);
7) правильне оброблення інформації у прикладних програмах (див. 12.2);
8) управління технічною вразливістю (див. 12.6);
9) управління безперервністю бізнесу (див. 14);
10) управління інцидентами інформаційної безпеки та вдосконаленнями