журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СОБЫТИЯ

БАНКОВСКИЕ СТРАТЕГИИ

Банковские отделения

Информационные технологии

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Банковское оборудование

Банковская деятельность

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №4, 2004

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Защита конфиденциальных данных начинается на рабочем месте

Банковские департаменты по персоналу учатся культуре информационной безопасности

В результате принятия в финансовом секторе западных стран беспрецедентных мер безопасности, направленных на защиту конфиденциальной информации от похищения, новые программные разработки стирают грани между функциями двух потенциально разных и непохожих подразделений, функционирующих в каждом банке – департаментов по управлению персоналом и информационным технологиям. Происходящий при этом обмен сведениями между сотрудниками этих подразделений помогает отделам информационных технологий лучше понимать вопросы внедрения стратегии безопасности в корпоративные сети, а службы по персоналу, в свою очередь, получают информацию относительно организационной архитектуры. По словам Джона Пейна, президента компании Preventsys, которая занимается вопросами контроля безопасности корпоративных сетей, если раньше департамент по персоналу был просто заказчиком различных программных продуктов и, по сути, клиентом корпоративных отделов информационных технологий, то сейчас взаимодействие между этими службами происходит на качественно новом уровне.

Безопасность

создается изнутри

Такие взаимоотношения стали возможными, благодаря тому что вопросы информационной безопасности затрагивают практически все аспекты управления персоналом, включая наем и увольнение кадров, их обучение, определение прав доступа пользователей к корпоративной информации и оценку результатов.

По официальной информации ФБР, в 2003 году кража конфиденциальной информации только в сфере банковской деятельности нанесла финансовым институтам США $70 млрд. прямых убытков. Для защиты своей информации банки обращаются к специализированным компаниям, поставляющим соответствующее программное обеспечение для предотвращения кражи данных. Однако один или два привлеченных специалиста не в состоянии комплексно решать проблему; для этого необходимы согласованные действия единой команды, хорошо ознакомленной со спецификой деятельности финансового института. Несмотря на это совершенно не обязательно, чтобы такая работа обязательно выполнялась своими специалистами. Многие западные аналитики полагают, что лучшие результаты демонстрируют отнюдь не они, а сторонние компании, специализирующиеся на защите информации, для которых такая деятельность – основной источник дохода.

Специалисты по безопасности, работающие в банке, могут, например, снизить риски при подборе новых сотрудников, применяя передовые способы комплектования персонала. Особенно это касается поиска сотрудников через Интернет, открывающий для этого практически неограниченные возможности. По словам Джейсона Эвербука, директора по управлению персоналом PeopleSoft, на протяжении последних пяти лет объем этого сектора ежегодно удваивается. Одновременно появляются и новые технологии, дающие возможность быстрее и лучше обрабатывать получаемую информацию и проверять данные о кандидатах. Достаточно часто американские финансовые институты при подборе персонала учитывают многие параметры, например, проверяют кредитную историю соискателей, запрашивают информацию о них в Комиссии по ценным бумагам, некоторые заказывают проверку по отпечаткам пальцев в правоохранительных органах и т.п. Если ранее для всего этого требовалось несколько недель, то сейчас весь поиск занимает день-полтора.

Однако привлечение департаментов по персоналу к вопросу охраны информации не ограничивается проблемой найма новых специалистов. Для должностей с доступом к закрытой информации имеет смысл проводить и первоначальное психологическое тестирование. В действительности многие сотрудники могут иметь ряд проблем личного характера (в частности, невыплаченные долги или случаи с компрометирующими ситуациями). В американской армии при проверке благонадежности применяются различные методы контроля, в том числе и оценки финансовых потребностей, например, наличия крупных карточных долгов. При этом, если в жизни человека случаются подобные проблемы, это отражается на степени доверия к нему.

В гражданской жизни такой контроль, конечно, невозможен, и проводить постоянный мониторинг благонадежности сотрудников достаточно сложно. Однако некоторые методы, все-таки, могут быть использованы и финансовыми компаниями. По информации U.S. Secret Service и Carnegie Mellon's CERT Coordination Center, более 70% всех краж и мошенничеств, совершенных сотрудниками банков и финансовых компаний, связаны с тем, что они имели доступ к функциям и информации, которые им не требуются для выполнения прямых служебных обязанностей. Некоторые фирмы уже создали программное обеспечение, ограничивающее доступ авторизованным пользователям лишь к тем данным, которые им необходимы для выполнения конкретных служебных задач. Система People's Soft, например, дает возможность автоматически следить за тем, в какие разделы базы данных заходят сотрудники.

Сейчас, однако, недостаточно просто убеждаться в том, что сотрудники имеют доступ к правильным базам данных. Поскольку в них хранится большой объем корпоративной информации, политика должна строиться на основе разграничения уровня доступа отдельных пользователей. Если, в частности, взять технологию баз данных Oracle, то сотрудник, желающий, например, войти в базу данных по персоналу, получит доступ только к части информации, касающейся его лично. В то же время, служащий отдела кадров, используя то же программное обеспечение, может полностью пользоваться требуемым досье.

Технические решения

Для защиты конфиденциальной информации от кражи или неавторизованного доступа используют ряд современных технологических подходов. Один из них состоит в сканировании информации, которая подлежит охране, а затем контроле всех перемещений данных или полном фиксировании фактов доступа к ней.

Компания Liquid Machines, например, довела данную концепцию до уровня рабочего места, разработав программное обеспечение, контролирующее перемещение информации не только внутри сети, но и в самом компьютере или даже между различными программными приложениями (MS Word, MS Excel и Adobe Acrobat). Таким образом, по словам Эда Гауди, вице-президента Liquid Machines, компания практически создала защитный барьер от возможной кражи сведений, которые мог бы скопировать недобросовестный сотрудник.

Программное обеспечение Microsoft Office 2003 также имеет встроенную систему безопасности, основывающуюся на контроле доступа непосредственно к документу. Электронному письму можно, например, предоставить статус "только для чтения", в результате получатель письма сможет прочесть его, но, при этом, не сможет его распечатать, переправить другому пользователю или скопировать.

Придерживаясь несколько иного подхода к решению проблемы, Sun Microsystems отстаивает идею отказа от стационарных компьютеров везде, где только это возможно, например, в розничных банковских отделениях. Компьютеры на рабочих местах могут быть заменены более простыми электронными устройствами, работающими в операционной среде, которой легко управлять, где несложно обеспечивать безопасность операционной системы – дешевой, свободной от вирусов и прочих проблем, время от времени возникающих на традиционных компьютерах. Таким образом, по мнению разработчиков концепции, для достижения цели в части безопасности необходимо только внедрить технологию, которая вполне применима к банковскому отделению.

Для использования терминалов SunRay пользователю необходимо иметь смарт-карту для получения доступа к необходимой информации с целью выполнения конкретной задачи. Программные приложения и информация хранятся в общей базе данных, размещенной на сервере, который находится либо в самом отделении, либо к нему есть доступ через линии связи. Конечный пользователь получает только самые необходимые для работы элементы (монитор, клавиатуру и мышь, которые активизируются с помощью смарт-карты). Таким образом, поскольку эти устройства не имеют портов для подключения внешних приспособлений, не содержат жестких дисков или иных устройств для хранения и копирования информации, кража данных становится нелегкой задачей. То же самое касается и программ-вирусов, проникновение которых в локальную сеть будет значительно усложнено.

Вопросы, касающиеся различных аспектов информационной безопасности, ранее не были в компетенции отделов по персоналу, у которых не было ни нужды, ни полномочий заниматься ими. Однако последние законодательные изменения в США, касающиеся требований защиты информации, похоже, вполне могут изменить сложившуюся ситуацию, изменив роль департаментов по персоналу, которую данные службы играют в системе корпоративной безопасности. Поскольку для выполнения регуляторных предписаний банковские институты все равно будут вынуждены прикладывать дополнительные усилия к охране информации и инвестировать в эту сферу значительные средства, а также в связи с тем что уже выпущены новые программные продукты, у банков появилась возможность сравнительно безболезненно приспособить их к изменившимся нуждам служб по персоналу.

Так, например, если финансовый институт проводит политику разграничения доступа и имеет программное обеспечение для контроля соблюдения установленных нормативов, на мониторе сотрудников соответствующих служб появляется список компьютеров, выходящих за рамки установленного для них режима доступа. В то же время, если система покажет, что пользователь попытался самостоятельно удалить программу постоянного контроля со своей машины, можно быть уверенным, что такие действия повлекут соответствующие меры предосторожности.

Действительно, увлечение Интернетом и доступ ко Всемирной сети с рабочего места содержат в себе достаточно большую угрозу. Люди часто ведут себя безответственно, посещая различные веб-страницы, где, например, можно бесплатно скачать музыку или картинки, не подозревая, что таким образом они ставят под угрозу всю систему, в которую могут получить доступ злоумышленники. Таким же образом следует относиться и к ноутбукам, которые также могут быть заражены вирусами или вредящими самозагружаемыми программами и при подключении к системе могут нанести непоправимый сбой.

Во многих случаях департаменты по персоналу могут выступать в качестве контрольного органа над собственно департаментами по безопасности или же сотрудниками производственных подразделений. Как свидетельствует практика, в данном случае в наиболее выигрышной позиции будут сотрудники, осуществляющие контроль данных, относящихся непосредственно к их подразделению. Аналитики считают, что создание централизованной команды, находящейся в головном офисе и осуществляющей общий мониторинг доступа к информации по всему институту, будет, скорее, недостатком, чем преимуществом, поскольку они не обязательно смогут правильно оценить значимость информации, к которой получат доступ.

В случае, если система, все-таки, продиагностирует нарушение прав доступа, вступает в игру департамент по персоналу. Как правило, их задача – контролировать ход расследования и правильность интерпретации информации.

Кроме технологических элементов, менеджеры по персоналу должны применять и иные подходы, используемые в работе с персоналом. Наилучшие результаты по обеспечению безопасности в организации дают, как правило, изменения корпоративной культуры и общее информирование, когда каждый сотрудник становится элементом системы безопасности. Такой подход должен стать одной из составляющих частей процесса управления, как считает Джозеф Ансанелли, генеральный директор компании Vontu из Сан-Франциско. Не следует забывать о том, что социотехника (искусство злонамеренного обмана пользователей сети или администраторов, которое употребляют мошенники с целью выведывания паролей, необходимых для проникновения в защищенную систему) постоянно совершенствуется. Пользователи все еще запускают приложения, вложенные в электронные письма, и все еще могут по телефону рассекретить информацию любому человеку, в достаточной мере владеющему искусством убеждения. Однако защита информации не может быть заданием только департаментов по персоналу или банковской службы безопасности. Эта задача должна формулироваться на самом высоком уровне, а департаменты по персоналу должны способствовать созданию всесторонней политики по защите информации, в которой безопасность становится элементом программы профессиональной подготовки сотрудников.

Александр Недилько,
по материалам Bank Systems & Technology

 
© агенство "Стандарт"