Системы информационной безопасности сегодня разрабатываются и применяются на многих предприятиях, но обеспечение информационной безопасности банка – это особенная задача.
Политика информационной безопасности банка, разработка которой является обязательной в соответствии с требованием законодательства, представляет собой официальный документ, на основе которого проектируется и реализуется долгосрочная стратегия развития комплексной системы информационной безопасности.
Основными объектами защиты для обеспечения безопасности информационных отношений в банке являются: защищаемая информация, представленная в виде электронных баз данных на любых носителях; речевая информация, циркулирующая в защищаемых помещениях и сами эти помещения; банковские технологии (процессы обработки информации).
Банковские технологии реализуются с помощью информационной инфраструктуры, которая имеет иерархическую структуру и состоит из следующих уровней: физического; сетевого; уровня сетевых приложений и сервисов; операционных систем; СУБД; банковских процессов и приложений; бизнес-процессов.
На каждом из перечисленных уровней угрозы и их источники, а, следовательно, и методы и средства защиты от потенциальных угроз, являются различными.
Основными источниками угроз информационной безопасности банка являются: неблагоприятные события социального, природного или техногенного характера; террористы и другие криминальные элементы; сбои и отказы программных и технических средств; работники банка, реализующие угрозы с использованием легальных полномочий; зависимость от партнеров, клиентов и прочих организаций.
Политика информационной безопасности банка оценивает вероятность реализации каждой угрозы и степень ее критичности. Прямое нападение на уровне бизнес-процессов (например, раскрытие конфиденциальной банковской информации) более эффективно для злоумышленника и опаснее для банка. Вероятность такой угрозы выше, чем вероятность проникновения в систему через нижние уровни, что требует специфических знаний и опыта.
Система информационной безопасности банка должна, прежде всего, обеспечивать защиту от наиболее вероятных и наиболее опасных угроз. Политика информационной безопасности банка предусматривает реализацию программных, аппаратных и организационных мер для обеспечения высокого уровня информационной безопасности.