WWW.SIDCON.COM.UA Современные технологии обеспечения информационной безопасности банков Когут Ю.И. УГРОЗЫ БЕЗОПАСНОСТИ ДЛЯ ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Параллельно с увеличением значения IT в бизнесе растет количество инструментов и технологий для несанкционированного доступа к информационным ресурсам Даже у крупных организаций существует риск потери важных данных, что может подорвать их имидж и репутацию на рынке За последние годы были зафиксированы проникновения злоумышленников на серверы таких известных брендов, как Sony, Apple, Bank Morgan Stanley и др. Поэтому эффективная защита информационных систем любой компании / банка становится первостепенной задачей для бизнеса WWW.SIDCON.COM.UA нелояльное поведение персонала (мошенничество, распространение нежелательной информации, несанкционированное общение с прессой и конкурентами, саботаж, сговоры с целью хищения информационных или материальных активов, получения «откатов») WWW.SIDCON.COM.UA утечка платежных данных УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ФИНАНСОВЫХ УЧРЕЖДЕНИЙ злоупотребление доступом утечка коммерческой тайны (данные о межбанковских операциях, маршруты инкассаторских автомобилей, маркетинговые планы, расчеты себестоимости банковских продуктов, стратегии развития) утечка персональных данных утечка ноу-хау ЧТОБЫ ЭФФЕКТИВНО ПРОТИВОСТОЯТЬ УГРОЗЕ КИБЕРТЕРРОРИЗМА, БАНКАМ НЕОБХОДИМО РАССМАТРИВАТЬ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ В КАЧЕСТВЕ ОДНОГО ИЗ КЛЮЧЕВЫХ КОМПОНЕНТОВ СВОЕЙ ОПЕРАЦИОННОЙ ДЕЯТЕЛЬНОСТИ WWW.SIDCON.COM.UA Общие рекомендации для защиты банков от киберугроз Аудит IТ проведение независимого аудита IТ-процессов позволяет получить точную оценку состояния IТ-системы, сгруппировать риски и получить рекомендации по их устранению, а также служит отправной точкой для построения защищенных и контролируемых IТ-процессов. Аудит информационной безопасности независимый аудит информационной безопасности помогает определить уровень «достаточной безопасности», анализируя не только IТ, но и бизнес-процессы. Внимание к персональной технике значительная часть сотрудников используют личные мобильные устройства для подключения к корпоративной сети и работы с конфиденциальной информацией. Политика информационной безопасности компании должна учитывать риски, связанные с использованием персональной мобильной техники персоналом. WWW.SIDCON.COM.UA Общие рекомендации для защиты банков от киберугроз Готовность к целевым кибератакам хотя целевые кибератаки пока не сильно распространены, в будущем их количество будет неуклонно расти. Поэтому необходимо уделять больше внимания превентивным средствам защиты банка. Работа с персоналом значительная часть IТ-специалистов банка не имеют представления о современных киберугрозах, с которыми они должны бороться. Кроме того, низкий уровень компьютерной грамотности персонала является одной из причин заражения вирусами и утечки информации. Поэтому обучение всех сотрудников банка основам информационной безопасности не менее важно, чем установка современного ПО. WWW.SIDCON.COM.UA Меры по обеспечению информационной безопасности банков Аудит системы безопасности банка Разработка концепции (политики) безопасности банка Тестирование устойчивости инфосистем к вмешательству извне, утечкам информации и противодействию инсайдерам Разработка системы информационной безопасности и кибербезопасности (устойчивости к кибератакам) Аудит и разработка системы защиты персональных данных WWW.SIDCON.COM.UA УПРАВЛЕНИЕ РИСКАМИ Цель процесса управления рисками компании/банка – увеличение вероятности ее/его успешного функционирования на рынке через снижение степени воздействия рисков до приемлемого уровня. Основная задача риск-менеджмента – профилактика возникновения рисков, минимизация ущерба, причиненного рисками, максимизация дополнительной прибыли, получаемой в результате управления рисками в компании (банке). 3 этапа реализации интегрированного подхода к управлению рисками: Определение рисков Измерение рисков Использование комплексного подхода при анализе рисков WWW.SIDCON.COM.UA УПРАВЛЕНИЕ РИСКАМИ Международные стандарты ISO по управлению рисками: o ISO 31000:2010 «Менеджмент риска. Принципы и руководство» («Risk management. Principles and guidelines»). o ISO/TR 31004:2013 «Управление рисками. Руководство по внедрению ISO 31000». На основе стандарта ISO/IEC 27003:2010 разработаны соответствующие Методические рекомендации (принятые в марте 2011 г.), в которых изложена методика оценки рисков банковской деятельности. В отечественных банках и крупных коммерческих структурах разрабатываются внутренние документы (политики) по управлению рисками. WWW.SIDCON.COM.UA Эффективным инструментом управления рисками компании/банка является карта рисков Пример построения карты рисков 1 – незначительный риск; 2 – допустимый риск; 3 – повышенный риск; 4 – критический риск; 5 – катастрофический риск. WWW.SIDCON.COM.UA СПАСИБО ЗА ВНИМАНИЕ! Наши контакты: Адрес: 03115, Украина, г. Киев, пр. Победы, 121-Б, оф.224 Тел/факс: +38 (044) 220-29-82 / 78 e-mail: [email protected] www: http://www.sidcon.com.ua WWW.SIDCON.COM.UA