การรักษาความปลอดภัยของข้อมูลธนาคารเริ่มต้นที่ไหน? ความปลอดภัยของข้อมูลของธนาคาร

กิจกรรมของธนาคารเกี่ยวข้องกับการประมวลผลข้อมูลจำนวนมาก ซึ่งส่วนใหญ่เป็นข้อมูลของลูกค้าที่เป็นความลับ

ซึ่งรวมถึงข้อมูลส่วนบุคคลของผู้ใช้ สำเนาเอกสาร หมายเลขบัญชี ข้อมูลการดำเนินงานที่ดำเนินการ ธุรกรรม ฯลฯ

ในกระบวนการทำงานกับข้อมูลนี้ สิ่งสำคัญคือต้องไม่ตกไปอยู่ในมือของผู้บุกรุก ไม่เปลี่ยนแปลงหรือสูญหาย

เมื่อพิจารณาถึงความสำคัญของเอกสารสำคัญที่จัดเก็บไว้ในสภาพแวดล้อมข้อมูลของธนาคาร คุณค่าและข้อกำหนดในการปกป้องข้อมูลธนาคารได้เพิ่มขึ้นอย่างมาก

ความยากในการรักษาความปลอดภัยของข้อมูลคือธนาคารจะต้องตรวจสอบให้แน่ใจว่าผู้ใช้สามารถเข้าถึงข้อมูลนี้ได้ และบล็อกความพยายามในการรับข้อมูลจากคนแปลกหน้าและผู้โจมตี

เพื่อให้งานนี้สำเร็จลุล่วงได้ จำเป็นต้องมีชุดมาตรการเพื่อสนับสนุนการรักษาความลับของข้อมูล ความปลอดภัยและความปลอดภัยของข้อมูลที่ประมวลผล รวมถึงการเข้าถึงข้อมูลที่เชื่อถือได้ในระหว่างธุรกรรมทางการเงิน

เหตุใดความปลอดภัยของข้อมูลจึงมีความสำคัญในสถาบันการธนาคาร?

เพื่อให้เข้าใจถึงบทบาทของความปลอดภัยของข้อมูลในระบบธนาคาร คุณต้องเข้าใจว่าข้อมูลธนาคารใดบ้างที่ต้องการการปกป้อง และเพราะเหตุใด

ความสำคัญของการรักษาความปลอดภัยของข้อมูลธนาคาร

ข้อมูลการธนาคารประกอบด้วยชุดข้อมูลที่ทำให้สามารถเป็นตัวแทนของสถาบันการเงินในสภาพแวดล้อมของข้อมูลได้ เช่นเดียวกับข้อมูลที่ทำให้สามารถทำธุรกรรมทางการเงินระหว่างลูกค้ากับธนาคารได้ เช่นเดียวกับระหว่างลูกค้าหลายรายที่ใช้สถาบันการเงิน เป็นตัวกลางทางการเงิน

ข้อมูลธนาคารมีสองประเภท - เป็นข้อมูลที่ใช้ในสภาพแวดล้อมข้อมูลเพื่อแสดงถึงกิจกรรมของสถาบันการเงินสำหรับลูกค้า รวมถึงข้อมูลทั้งหมดจากลูกค้าของสถาบันการเงินทั้งทางกฎหมายและส่วนบุคคล

แม้ว่าข้อมูลหนึ่งจะถูกเปิดและอีกข้อมูลหนึ่งถูกปิด แต่ทั้งสองข้อมูลนั้นต้องการการป้องกันที่เชื่อถือได้

1. ความปลอดภัยของข้อมูลเปิดอยู่ที่ว่าข้อมูลนี้จะต้องเชื่อถือได้เสมอและนำเสนอต่อลูกค้าในมุมมองที่ธนาคารเลือกเอง หากข้อมูลนี้ได้รับการแก้ไขหรือแทนที่ด้วยเหตุผลบางประการ ธนาคารอาจไม่เพียงประสบกับความสูญเสียทางการเงินที่สำคัญเท่านั้น แต่ยังส่งผลกระทบต่อภาพลักษณ์และชื่อเสียงของธนาคารด้วย
2. อันตรายของการได้มาซึ่งข้อมูลที่เป็นกรรมสิทธิ์คือหากข้อมูลนั้นตกไปอยู่ในมือของอาชญากร พวกเขาสามารถใช้ข้อมูลนั้นเพื่อรับผลประโยชน์ทางการเงินที่ผิดกฎหมายสำหรับตนเองได้ ซึ่งสามารถทำได้ผ่านธุรกรรมทางการเงินที่ผิดกฎหมายหรือการขู่กรรโชกโดยขู่ว่าจะเผยแพร่ข้อมูลที่ซ่อนอยู่เกี่ยวกับลูกค้าธนาคาร

ดังที่เราเห็น การปกป้องข้อมูลในระบบธนาคารเป็นส่วนสำคัญของกิจกรรมของสถาบันการเงิน ซึ่งควรเป็นกุญแจสำคัญในบรรดางานใหญ่ที่ธนาคารต้องเผชิญเสมอ

พยายามเข้าถึงข้อมูลธนาคารที่เป็นความลับ

ในบรรดาวิธีการเข้าถึงข้อมูลธนาคารโดยไม่ได้รับอนุญาตในปัจจุบัน วิธีที่พบบ่อยที่สุดมีดังต่อไปนี้

• การเข้าถึงทางกายภาพและการโจรกรรมข้อมูลที่จำเป็นในภายหลัง มีตัวเลือกมากมายสำหรับการนำวิธีนี้ไปใช้ โดยเริ่มจากการขโมยข้อมูลที่เป็นความลับโดยพนักงานธนาคารคนหนึ่งที่เข้าถึงข้อมูลได้ และจบลงด้วยความเป็นไปได้ที่จะมีการโจมตีด้วยอาวุธเพื่อให้ได้มาซึ่งเอกสารสำคัญ ฐานข้อมูล ฯลฯ
• วิธีที่สองของการโจรกรรมคือสามารถรับไฟล์เก็บถาวรได้อย่างไม่เหมาะสมระหว่างการสำรองข้อมูล ทุกคนรู้ดีว่ามีสถาบันใด ๆ สำรองและจัดเก็บข้อมูลสำคัญเพื่อไม่ให้สูญหายในระหว่างที่ระบบข้อมูลล้มเหลวหรือภัยพิบัติระดับโลกอื่น ๆ สถาบันการธนาคารส่วนใหญ่เก็บข้อมูลโดยใช้เทปไดรฟ์ โดยบันทึกข้อมูลลงในเทปที่จัดเก็บไว้ในห้องแยกต่างหาก ในระหว่างกระบวนการขนส่งเทปและจัดเก็บ คุณสามารถคัดลอกข้อมูลและแจกจ่ายออกไปนอกสภาพแวดล้อมข้อมูลของธนาคารได้
• หนึ่งในวิธีการรั่วไหลของข้อมูลที่พบบ่อยและเป็นไปได้มากที่สุดคือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตผ่านสิทธิ์ของผู้ดูแลระบบข้อมูลหรือผ่านโปรแกรมพิเศษที่ช่วยให้คุณข้ามการป้องกันและเข้าถึงข้อมูลที่จำเป็นได้ บางครั้งพนักงานอาจทำสิ่งนี้โดยไม่ได้ตั้งใจ เช่น โดยรับงานกลับบ้าน ราวกับว่าไม่มีอะไรเป็นอันตราย โอกาสที่ข้อมูลจะตกอยู่ในมือของผู้ไม่ประสงค์ดีในกรณีนี้ก็เพิ่มขึ้นอย่างมาก
• อีกวิธีหนึ่งในการรับข้อมูลที่เป็นความลับคือการแจกจ่ายสปายแวร์ ไวรัส ปลั๊กอิน และซอฟต์แวร์พิเศษประเภทต่างๆ

วิธีการปกป้องข้อมูลธนาคาร

เมื่อคำนึงถึงภัยคุกคามต่อการสูญเสียข้อมูลสำคัญที่ระบุไว้ข้างต้น จะต้องเลือกวิธีการและวิธีการปกป้องข้อมูลธนาคาร

การป้องกันการเข้าถึงทางกายภาพ

ธนาคารส่วนใหญ่ให้ความสำคัญกับระดับความปลอดภัยทางกายภาพของข้อมูลค่อนข้างมาก

กระบวนการนี้เริ่มต้นด้วยความจริงที่ว่าสถานที่ที่เก็บข้อมูลถาวรและติดตั้งเซิร์ฟเวอร์ของธนาคารมีระดับการป้องกันที่สูงกว่าจากการถูกเจาะและความเป็นไปได้ที่บุคคลภายนอกจะอยู่ที่นั่น

นอกจากนี้ อยู่ระหว่างดำเนินการสรรหาบุคลากรที่จะสามารถเข้าถึงข้อมูลที่เป็นความลับของธนาคารและลูกค้า การใช้ปัจจัยเหล่านี้ช่วยลดโอกาสของการโจรกรรมไฟล์เก็บถาวรได้อย่างมาก แต่ไม่ได้กำจัดออกไปทั้งหมด

การสร้างการสำรองข้อมูล

การสำรองข้อมูลและบันทึกไว้ในอาร์ไคฟ์เป็นขั้นตอนสำคัญในการบันทึกข้อมูลที่คุณต้องการ

แต่เพื่อที่จะแยกความเป็นไปได้ที่พวกเขาจะตกไปอยู่ในมือของผู้โจมตี กระบวนการนี้จะต้องเกิดขึ้นโดยใช้ระบบการเข้ารหัส

การใช้การป้องกันการเข้ารหัสที่ทันสมัยจะลดโอกาสที่ใครบางคนจะใช้ข้อมูลที่ถูกขโมยไปเป็นศูนย์

ปัจจุบันมีผลิตภัณฑ์ซอฟต์แวร์ต่างๆ มากมายที่ให้การเข้ารหัสข้อมูล ณ เวลาที่ถ่ายโอนไปยังไฟล์เก็บถาวร

กระบวนการทั้งหมดเป็นไปโดยอัตโนมัติโดยสมบูรณ์ และไม่มีค่าใช้จ่ายที่สำคัญสำหรับธนาคารในแง่การเงินและในแง่ของความต้องการพนักงานเพิ่มเติม

สิ่งสำคัญคือในกระบวนการสร้างไฟล์เก็บถาวรที่เข้ารหัส ระบบจัดเก็บข้อมูลที่สร้างขึ้นบนฟิสิคัลไดรฟ์จะถูกใช้ ไม่ใช่บนไดรฟ์เสมือน

สิ่งนี้รับประกันความปลอดภัยของข้อมูลอีกระดับหนึ่ง เนื่องจากพื้นที่เก็บข้อมูลเสมือนนั้นถูกแฮ็กได้ง่ายกว่าพื้นที่เก็บข้อมูลจริง

การป้องกันข้อมูลภายใน

การป้องกันการรั่วไหลของข้อมูลภายในบางครั้งเป็นสิ่งที่ทำได้ยากที่สุด การป้องกันโดยใช้เครื่องมือซอฟต์แวร์ต่างๆ เป็นเพียงครึ่งหนึ่งของวิธีแก้ปัญหาเท่านั้น ในกรณีนี้ ปัจจัยด้านมนุษย์มีบทบาทสำคัญ

การสูญเสียข้อมูลสำคัญมักเกิดขึ้นผ่านทางพนักงานซึ่งต่อมาส่งผลกระทบต่อกิจกรรมในอนาคตและกิจกรรมปัจจุบันของธนาคาร

ดังนั้นการคัดเลือกบุคลากร การทำงานที่มีประสิทธิภาพของบริการรักษาความปลอดภัยภายใน ตลอดจนการใช้ระบบจำกัดการเข้าถึง จะช่วยลดความเสี่ยงในการสูญเสียข้อมูลภายในได้

บทสรุป

วิธีหลักในการปกป้องข้อมูลธนาคารได้ถูกกล่าวถึงข้างต้น

เพื่อรับประกันการป้องกัน 100% สิ่งสำคัญคือต้องใช้วิธีการที่มีอยู่ทั้งหมดร่วมกัน

เมื่อพิจารณาว่าอาชญากรรมในโลกไซเบอร์มีการพัฒนาอย่างรวดเร็วในช่วงนี้ และการปกป้องข้อมูลก็เริ่มยากขึ้นเรื่อยๆ จึงเป็นสิ่งสำคัญที่กระบวนการนี้จะต้องได้รับการจัดการโดยผู้เชี่ยวชาญ

พวกเขาจะช่วยคุณเลือกฮาร์ดแวร์และซอฟต์แวร์ที่เหมาะสม และยังสร้างกลยุทธ์การปกป้องข้อมูลที่เหมาะสมสำหรับสภาพแวดล้อมข้อมูลเฉพาะของธนาคารอีกด้วย

วิดีโอ: กฎในการปกป้องบัตรธนาคารจากการฉ้อโกง

การรักษาความปลอดภัยของข้อมูลของธนาคาร

ส.ส. มายเทนคอฟ

ดังที่คุณทราบตั้งแต่เริ่มก่อตั้ง ธนาคารมักกระตุ้นความสนใจทางอาญาอยู่เสมอ และความสนใจนี้ไม่เพียงเกี่ยวข้องไม่เพียงกับการจัดเก็บเงินทุนในสถาบันสินเชื่อเท่านั้น แต่ยังรวมถึงข้อเท็จจริงที่ว่าข้อมูลที่สำคัญและมักเป็นความลับเกี่ยวกับกิจกรรมทางการเงินและเศรษฐกิจของผู้คน บริษัท องค์กร และแม้แต่รัฐจำนวนมากกระจุกตัวอยู่ในธนาคาร

ในปัจจุบัน ในส่วนของข้อมูลทั่วไปและการใช้คอมพิวเตอร์ของกิจกรรมการธนาคาร ความสำคัญของความปลอดภัยของข้อมูลของธนาคารได้เพิ่มขึ้นหลายครั้ง เมื่อ 30 ปีที่แล้ว เป้าหมายของการโจมตีข้อมูลคือข้อมูลเกี่ยวกับลูกค้าธนาคารหรือกิจกรรมของธนาคารเอง ในเวลานั้น การโจมตีดังกล่าวเกิดขึ้นไม่บ่อยนัก กลุ่มลูกค้าของพวกเขาแคบมาก และความเสียหายอาจมีนัยสำคัญเฉพาะในกรณีพิเศษเท่านั้น ในปัจจุบัน ผลจากการแพร่กระจายอย่างกว้างขวางของการชำระเงินทางอิเล็กทรอนิกส์ บัตรพลาสติก เครือข่ายคอมพิวเตอร์ และความนิยมในการให้บริการแก่ลูกค้าที่เติบโตอย่างรวดเร็วผ่านเทคโนโลยีอินเทอร์เน็ต เงินทุนของทั้งสองธนาคารและลูกค้าของพวกเขาจึงกลายเป็นเป้าหมายของการโจมตีข้อมูล ใครๆ ก็สามารถขโมยข้อมูลได้ - เพียงคุณมีคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต นอกจากนี้ยังไม่จำเป็นต้องเข้าธนาคาร คุณสามารถ "ทำงาน" ได้ห่างออกไปหลายพันกิโลเมตร

ตัวอย่างเช่นในเดือนสิงหาคม พ.ศ. 2538 วลาดิมีร์ เลวิน นักคณิตศาสตร์ชาวรัสเซียวัย 24 ปีถูกจับกุมในสหราชอาณาจักร ซึ่งใช้คอมพิวเตอร์ที่บ้านของเขาในเซนต์ปีเตอร์สเบิร์ก เพื่อรับกุญแจสำหรับระบบรักษาความปลอดภัยของธนาคารของหนึ่งในชาวอเมริกันที่ใหญ่ที่สุด ธนาคารซิตี้แบงก์ และพยายามถอนเงินจำนวนมากออกจากบัญชีของเขา ตามที่สำนักงานตัวแทนของ Citibank ในกรุงมอสโกจนถึงตอนนั้นยังไม่มีใครประสบความสำเร็จในการทำเช่นนี้ บริการรักษาความปลอดภัยของ Citibank พบว่าพวกเขาพยายามขโมยเงิน 2.8 ล้านดอลลาร์จากธนาคาร แต่ระบบควบคุมตรวจพบได้ทันเวลาและบล็อกบัญชีดังกล่าว วลาดิมีร์ เลวิน ทำได้เพียงแค่ขโมยเท่านั้น

400,000 ดอลลาร์ เพื่อจะได้ไปอังกฤษซึ่งเขาถูกจับกุม

การใช้คอมพิวเตอร์ในกิจกรรมการธนาคารทำให้สามารถเพิ่มประสิทธิภาพการทำงานของพนักงานธนาคารได้อย่างมากและแนะนำผลิตภัณฑ์และเทคโนโลยีทางการเงินใหม่ ๆ อย่างไรก็ตาม ความก้าวหน้าในเทคโนโลยีอาชญากรรมยังรวดเร็วไม่น้อยไปกว่าการพัฒนาเทคโนโลยีการธนาคาร

ปัจจุบัน กว่า 90% ของอาชญากรรมทั้งหมดในพื้นที่นี้เกี่ยวข้องกับการใช้ระบบประมวลผลข้อมูลธนาคารอัตโนมัติ (ASIP) ดังนั้น เมื่อสร้างและปรับปรุง ISIS ให้ทันสมัย ​​ธนาคารจำเป็นต้องใส่ใจอย่างใกล้ชิดเพื่อให้มั่นใจในความปลอดภัยของ ISIS

ปัญหานี้เป็นปัญหาเร่งด่วนที่สุดและอนิจจามีการศึกษาน้อยที่สุด หากแนวทางที่กำหนดไว้ได้รับการพัฒนามานานแล้วในการรับรองความปลอดภัยของข้อมูลทางกายภาพและแบบคลาสสิก1 (แม้ว่าการพัฒนาจะเกิดขึ้นที่นี่เช่นกัน) ดังนั้นเนื่องจากการเปลี่ยนแปลงครั้งใหญ่ในเทคโนโลยีคอมพิวเตอร์บ่อยครั้ง วิธีการรักษาความปลอดภัยของ ISIS จึงจำเป็นต้องมีการปรับปรุงและอัปเดตอย่างต่อเนื่อง ตามที่แสดงในทางปฏิบัติ ไม่มีระบบคอมพิวเตอร์ที่ซับซ้อนที่ไม่มีข้อผิดพลาด และเนื่องจากอุดมการณ์ในการสร้าง ISIS ขนาดใหญ่เปลี่ยนแปลงอยู่เป็นประจำ การแก้ไขข้อผิดพลาดที่พบและ “ช่องโหว่” ในระบบรักษาความปลอดภัยจึงเกิดขึ้นได้ไม่นาน เนื่องจากระบบคอมพิวเตอร์ใหม่นำมาซึ่งปัญหาและข้อผิดพลาดใหม่ ๆ และจำเป็นต้องมีการปรับโครงสร้างระบบรักษาความปลอดภัยที่เพียงพอ

ปัญหานี้มีความเกี่ยวข้องอย่างยิ่งในรัสเซีย ในธนาคารตะวันตก ซอฟต์แวร์ได้รับการพัฒนาโดยเฉพาะสำหรับธนาคารแต่ละแห่ง และโครงสร้างของ ASOIB นั้นส่วนใหญ่เป็นความลับทางการค้า ในรัสเซียพวกเขาได้รับค-

1 การรักษาความปลอดภัยของข้อมูลแบบคลาสสิก หมายถึง ระบบการแบ่งสิทธิ์การเข้าถึงข้อมูล มาตรการป้องกันการดักฟัง ป้องกันการรั่วไหลของบุคลากร และมาตรการอื่นๆ ที่ไม่เกี่ยวข้องโดยตรงกับ ISIS

การแจกจ่ายแพ็คเกจธนาคาร "มาตรฐาน" ซึ่งเป็นข้อมูลที่เป็นที่รู้จักอย่างกว้างขวางซึ่งอำนวยความสะดวกในการเข้าถึงระบบคอมพิวเตอร์ของธนาคารโดยไม่ได้รับอนุญาต ยิ่งกว่านั้นประการแรกความน่าเชื่อถือของซอฟต์แวร์ "มาตรฐาน" นั้นต่ำกว่าเนื่องจากข้อเท็จจริงที่ว่านักพัฒนาไม่ได้มีความคิดที่ดีเสมอไปเกี่ยวกับเงื่อนไขเฉพาะที่ซอฟต์แวร์นี้จะต้องทำงานและประการที่สอง แพ็คเกจธนาคารรัสเซียบางอันทำ ไม่เป็นไปตามเงื่อนไขด้านความปลอดภัย ตัวอย่างเช่น เวอร์ชันแรกๆ (ซึ่งธนาคารขนาดเล็กยังคงใช้อยู่) ของแพ็คเกจธนาคารรัสเซียที่ได้รับความนิยมมากที่สุด จำเป็นต้องมีดิสก์ไดรฟ์ในคอมพิวเตอร์ส่วนบุคคล และใช้คีย์ฟล็อปปี้ดิสก์เป็นเครื่องมือรักษาความปลอดภัย วิธีแก้ปัญหาดังกล่าว ประการแรกไม่น่าเชื่อถือในทางเทคนิค และประการที่สอง ข้อกำหนดด้านความปลอดภัยประการหนึ่งของ ASOIB คือการปิดดิสก์ไดรฟ์และพอร์ต I/O ในคอมพิวเตอร์ของพนักงานที่ไม่ได้ทำงานกับข้อมูลภายนอก

สำหรับธนาคาร (ไม่เหมือนกับธุรกิจอื่นๆ) ความปลอดภัยของข้อมูลถือเป็นสิ่งสำคัญ เราไม่ควรลืมเกี่ยวกับการพัฒนาเทคโนโลยีสารสนเทศด้านการธนาคาร (IT) เนื่องจากเป็นเทคโนโลยีเหล่านี้ที่กำหนดระบบรักษาความปลอดภัยข้อมูลของธนาคารเป็นส่วนใหญ่

ลองดูแผนภาพต่างๆ (รูปที่ 1-6) ที่แสดงให้เห็นถึงแนวโน้มหลักในการพัฒนาการจัดการเทคโนโลยีสารสนเทศในธนาคารพาณิชย์โดยอิงจาก Forrester Research แหล่งข้อมูลระหว่างประเทศที่เชี่ยวชาญ อิงค์ แผนการเหล่านี้ถูกสุ่มเลือกและมีคุณค่าเนื่องจากมีอยู่จริง ดังนั้นจึงขอแนะนำให้คำนึงถึงสิ่งเหล่านี้เมื่อเลือกและสร้างกลยุทธ์ด้านไอทีของคุณเอง

แนวโน้มแรกที่ฉันต้องการทราบคือความสำคัญที่เพิ่มขึ้นของพารามิเตอร์ทางเศรษฐกิจเมื่อทำการตัดสินใจเลือกโครงการ (รูปที่ 1) แผนภาพที่นำเสนอแสดงให้เห็นว่าใน 80% ของกรณี เหตุผลอย่างเป็นทางการสำหรับการเริ่มต้นโครงการเทคโนโลยีคือผลตอบแทนจากการลงทุนหรือระยะเวลาคืนทุนของโครงการ

แนวโน้มอื่นๆ เกี่ยวข้องกับการเปลี่ยนแปลงบทบาทของแผนกไอทีของธนาคาร (รูปที่ 2) ข้อมูลที่นำเสนอแสดงให้เห็นว่าผู้ตอบแบบสอบถามส่วนใหญ่สังเกตเห็นการเพิ่มขึ้นของความร่วมมือกับหน่วยธุรกิจ การเปลี่ยนแปลงต่างๆ เช่น การรวมศูนย์และการควบคุมที่เพิ่มขึ้น การมุ่งเน้นไปที่ผลลัพธ์ทางธุรกิจ และการแนะนำเทคโนโลยีและโซลูชั่นใหม่ๆ ก็มีการบันทึกเช่นกัน มีผู้ตอบแบบสอบถามเพียงประมาณ 10% เท่านั้นที่ทราบว่าไม่มีการเปลี่ยนแปลงใดๆ

ธนาคารของคุณใช้กระบวนการให้เหตุผลอย่างเป็นทางการใดในการตัดสินใจว่าจะดำเนินการโครงการเทคโนโลยีหรือไม่

ระยะเวลาคืนทุน

ข้าว. 1. แนวโน้มแนวทางการหาเหตุผลของโครงการ

ผลประโยชน์ของชาติ: ลำดับความสำคัญและความปลอดภัย

เพิ่มความร่วมมือกับธุรกิจ

เสริมสร้างการควบคุมแบบรวมศูนย์

ให้ความสำคัญกับผลลัพธ์ทางธุรกิจมากขึ้น

ให้ความสำคัญกับเทคโนโลยีใหม่ๆ เพิ่มขึ้น

ไม่มีการเปลี่ยนแปลง

ข้าว. 2. การเปลี่ยนบทบาทของแผนกไอที

กราฟต่อไปนี้ (รูปที่ 3) แสดงให้เห็นถึงการมีส่วนร่วมที่เพิ่มขึ้นของผู้บริหารระดับสูงของธนาคารในกระบวนการตัดสินใจด้านไอที จากการสำรวจ 40% ของผู้ตอบแบบสอบถาม โครงการไอทีใดๆ จำเป็นต้องได้รับเหตุผลและอนุมัติจากผู้บริหารระดับสูง และความจำเป็นในการอนุมัติโครงการที่มีราคามากกว่า 100,000 ดอลลาร์ ได้รับการยอมรับจากผู้ตอบแบบสอบถามประมาณ 87%

เมื่อเร็ว ๆ นี้ ส่วนแบ่งบริการของบุคคลที่สามเพิ่มขึ้นอย่างมาก องค์กรต่างๆ หันมาใช้บริการเอาท์ซอร์สมากขึ้น ในเวลาเดียวกัน พวกเขามุ่งมั่นที่จะถ่ายโอนฟังก์ชันทางธุรกิจที่ไม่ใช่คีย์เกือบทั้งหมดไปยังบุคคลที่สาม (รูปที่ 4) ในปัจจุบัน โดยเฉลี่ยแล้ว 28% ของงบประมาณด้านไอทีตกเป็นของโซลูชันและผู้ให้บริการจากภายนอก ซึ่งไม่สามารถส่งผลกระทบต่อความปลอดภัยโดยรวมได้ ประมาณ 40% ของผู้ตอบแบบสอบถามทราบว่าพวกเขาได้ว่าจ้างฟังก์ชันด้านเทคโนโลยีของตนจากภายนอก (ทั้งหมดหรือบางส่วน) เช่น การพัฒนาแอปพลิเคชัน การสนับสนุน และการดำเนินการ ให้กับซัพพลายเออร์รายอื่น

แผนภาพต่อไปนี้ (รูปที่ 5) แสดงแนวโน้มการเปลี่ยนแปลงโครงสร้างของบริการไอทีและตัวบ่งชี้พื้นฐานสำหรับการประเมินกิจกรรม แนวโน้มหลัก ได้แก่ การรวมศูนย์ที่เพิ่มขึ้น ความปรารถนาที่จะสอดคล้องกับผลประโยชน์ทางธุรกิจมากขึ้น จำนวนการใช้งานที่เพิ่มขึ้น

□ โครงการเทคโนโลยีโครงสร้างพื้นฐานประเภทใดที่ต้องการเหตุผลสำหรับผู้บริหารระดับสูง

$10,000 และ $25,000 และ $50,000 และ $100,000 $250,000 $500,000 $1 ล้านและ $3 ล้านและ $5 ล้านและ $10 ล้านและโครงการมากขึ้นเรื่อยๆ มากขึ้นเรื่อยๆ มากขึ้นเรื่อยๆ

ข้าว. 3. การมีส่วนร่วมของผู้บริหารระดับสูงในกระบวนการตัดสินใจด้านไอที

งบประมาณด้านไอทีของคุณมีไว้เพื่อจ่ายเงินให้กับผู้ให้บริการเทคโนโลยีภายนอกกี่เปอร์เซ็นต์

P ในอีก 2 ปีข้างหน้า – เฉลี่ย 34% P วันนี้ - เฉลี่ย 28%

อุปทานทางเทคนิค

การพัฒนา การสนับสนุน และการทำงานของแอปพลิเคชัน Leb

การพัฒนา การสนับสนุน และการทำงานของแอปพลิเคชัน

ผู้ใช้/เวิร์กสเตชัน

โครงสร้างพื้นฐาน / แบ็คออฟฟิศ

คุณทำงานด้านเทคโนโลยีใดบ้าง (อย่างน้อยก็ในบางส่วน)

ข้าว. 4. การใช้บริการของบุคคลที่สาม (เอาท์ซอร์ส)

โครงสร้างองค์กรของแผนกไอทีของคุณจะเปลี่ยนไปอย่างไรในอีกสองปีข้างหน้า

คุณใช้ตัวชี้วัดใดในการวัดความสำเร็จของกิจกรรมด้านไอทีและแสดงให้เห็นถึงคุณค่าของมัน

การพัฒนาศูนย์บริการร่วม

มาตรฐานการควบคุมที่มากขึ้น

ไม่มีทาง: เราไม่สามารถเปลี่ยนแปลงได้อีกต่อไป

เหมาะสมกับธุรกิจมากขึ้น

ไม่มีทาง: โครงสร้างที่มีอยู่ตรงตามความต้องการอย่างเต็มที่

การรวมศูนย์จะเพิ่มขึ้น

ตัวชี้วัดมุ่งเน้นไปที่ลูกค้าธนาคาร

ลดต้นทุน

ประสิทธิภาพทางธุรกิจ

ตัวบ่งชี้ทางยุทธวิธีเท่านั้น

ข้าว. 5. แนวโน้มการเปลี่ยนแปลงโครงสร้างและการประเมินแผนกไอที

มาตรฐานเพื่อวัตถุประสงค์ในการควบคุมไอที ในธนาคารส่วนใหญ่ การประมวลผลข้อมูลจะดำเนินการจากส่วนกลางเพื่อลดต้นทุนและเพิ่มประสิทธิภาพกระบวนการ นอกจากนี้ยังมีข้อโต้แย้งอื่น ๆ ที่สนับสนุนการตัดสินใจดังกล่าว: การเพิ่มประสิทธิภาพการจัดการและการควบคุมรวมถึงการจัดทำรายงานการจัดการและการขจัดความซ้ำซ้อนของข้อมูล

รวมถึงการจัดระเบียบความปลอดภัยของข้อมูล ลดต้นทุนการบำรุงรักษาอุปกรณ์ การลดจำนวนพนักงาน การกำหนดมาตรฐานของระบบและขั้นตอนการบัญชี

จากมุมมองของการประเมินประสิทธิภาพของการจัดการเทคโนโลยีสารสนเทศ การใช้ตัวบ่งชี้ทางยุทธวิธีถือเป็นแนวทางที่พบบ่อยที่สุด

ธนาคารพาณิชย์บางแห่งสังเกตตัวชี้วัดประสิทธิภาพทางธุรกิจและการลดต้นทุน

แนวโน้มที่สำคัญอีกประการหนึ่งของการจัดการเทคโนโลยีสารสนเทศคือความเร็วในการตัดสินใจที่เพิ่มขึ้นเมื่อซื้อโซลูชันไอที: การตัดสินใจส่วนใหญ่ในด้านนี้ทั้งหมดจะเกิดขึ้นภายในเวลาไม่ถึงสามเดือน (รูปที่ 6)

ดังที่เห็นได้จากข้างต้น กลยุทธ์ด้านไอทีไม่สามารถเกิดขึ้นได้หากไม่เข้าใจกลยุทธ์ทางธุรกิจ และจะต้องยึดตามกลยุทธ์ดังกล่าว ขอแนะนำให้จัดทำแผนกลยุทธ์ในรูปแบบของเอกสารสองฉบับ - กลยุทธ์ระยะยาวและระยะสั้น กลยุทธ์ระยะยาวจัดทำขึ้นเป็นเวลา 3-5 ปีและรวมถึงงานและเป้าหมายที่เกี่ยวข้องในระยะสั้น - เป็นระยะเวลา 1 ถึง 3 ปี

เอกสารทั้งสองจะต้องได้รับการปรับปรุงอย่างสม่ำเสมอ สำหรับเอกสารระยะยาว นี้สามารถเกิดขึ้นได้ทุกครึ่งปี สำหรับเอกสารระยะสั้น - ทุกไตรมาส การอัปเดตทั้งหมดจัดทำขึ้นโดยความร่วมมืออย่างใกล้ชิดกับผู้จัดการธุรกิจและประสานงานกับผู้บริหารระดับสูงขององค์กร

กลยุทธ์ด้านไอทีได้รับการอนุมัติจากผู้บริหารอาวุโสของธนาคารโดยพิจารณาจากผลการศึกษาเบื้องต้นร่วมกันโดยหัวหน้าฝ่ายไอทีและธุรกิจ งานดังกล่าวสามารถทำได้ใน

ภายในกรอบการประชุมของคณะกรรมการเทคโนโลยีสารสนเทศ (หรือด้านเทคนิค) ของธนาคาร

นอกจากนี้ องค์ประกอบที่สำคัญที่สุดของการวางแผนเชิงกลยุทธ์คือการควบคุมการดำเนินการ กลยุทธ์ไม่ควรเป็นเอกสารประกาศ และวิธีหลักในการบรรลุเป้าหมายนี้คือการควบคุมการดำเนินการ รวมถึงโดยคณะกรรมการบริหารอาวุโสและเทคโนโลยีสารสนเทศของธนาคาร

ตามสถิติ การก่ออาชญากรรมต่อธนาคารส่วนใหญ่เกิดขึ้นโดยใช้ข้อมูลภายใน ในเรื่องนี้จำเป็นต้องให้ความสนใจอย่างต่อเนื่องในการรับรองความปลอดภัยของข้อมูลในด้านการทำงานกับบุคลากร

เมื่อขอบเขตของการประยุกต์ใช้เทคโนโลยีคอมพิวเตอร์พัฒนาและขยายตัว ความเร่งด่วนของปัญหาในการรับรองความปลอดภัยของระบบคอมพิวเตอร์และการปกป้องข้อมูลที่จัดเก็บและประมวลผลจากภัยคุกคามต่างๆ ก็เพิ่มมากขึ้น มีเหตุผลหลายประการสำหรับเรื่องนี้

สิ่งสำคัญคือระดับความไว้วางใจที่เพิ่มขึ้นในระบบประมวลผลข้อมูลอัตโนมัติ พวกเขาได้รับความไว้วางใจให้ทำงานที่มีความรับผิดชอบมากที่สุดโดยคำนึงถึงคุณภาพชีวิตและความเป็นอยู่ที่ดีของผู้คนจำนวนมาก คอมพิวเตอร์ถูกควบคุม

ฮาร์ดแวร์เครือข่าย

อุปกรณ์จัดเก็บข้อมูล

■ น้อยกว่า 1 ปี P น้อยกว่า 6 เดือน 30% □ น้อยกว่า 3 เดือน ] 31% □ น้อยกว่าหนึ่งเดือน P น้อยกว่าหนึ่งสัปดาห์

ข้าว. 6. ความเร็วในการตัดสินใจด้านไอที ผลประโยชน์ของชาติ: ลำดับความสำคัญและความปลอดภัย

กระบวนการทางเทคโนโลยีในสถานประกอบการและโรงไฟฟ้านิวเคลียร์ การเคลื่อนย้ายเครื่องบินและรถไฟ ทำธุรกรรมทางการเงิน และประมวลผลข้อมูลที่เป็นความลับ

ปัจจุบันปัญหาในการปกป้องระบบคอมพิวเตอร์เริ่มมีความสำคัญมากขึ้นเนื่องจากการพัฒนาและการแพร่กระจายของเครือข่ายคอมพิวเตอร์ ระบบแบบกระจายและระบบที่มีการเข้าถึงระยะไกลได้นำเสนอประเด็นสำคัญในการปกป้องข้อมูลที่ประมวลผลและส่งผ่าน

ความพร้อมใช้งานของเทคโนโลยีคอมพิวเตอร์ และคอมพิวเตอร์ส่วนบุคคลเป็นหลัก ได้นำไปสู่การเผยแพร่ความรู้ด้านคอมพิวเตอร์ในหมู่ประชากรทั่วไป สิ่งนี้ทำให้เกิดความพยายามหลายครั้งที่จะแทรกแซงงานของรัฐบาลและการพาณิชย์ โดยเฉพาะอย่างยิ่งการธนาคาร ระบบ ทั้งที่มีเจตนาร้ายและไม่ใช่เพื่อ "ผลประโยชน์ด้านกีฬา" เพียงอย่างเดียว ความพยายามหลายครั้งเหล่านี้ประสบความสำเร็จและก่อให้เกิดความเสียหายอย่างมากต่อเจ้าของข้อมูลและระบบคอมพิวเตอร์

ในขอบเขตใหญ่ สิ่งนี้ใช้กับโครงสร้างเชิงพาณิชย์และองค์กรต่างๆ โดยเฉพาะอย่างยิ่งผู้ที่จัดเก็บและประมวลผลข้อมูลที่มีค่า (ในแง่การเงิน) โดยธรรมชาติของกิจกรรม ซึ่งส่งผลต่อผลประโยชน์ของผู้คนจำนวนมากด้วย ในธนาคาร เมื่อพูดถึงการชำระเงินทางอิเล็กทรอนิกส์และการจัดการบัญชีอัตโนมัติ ข้อมูลดังกล่าวแสดงถึงเงินในทางใดทางหนึ่ง

การสร้างภาพองค์รวมของความสามารถในการป้องกันทั้งหมดนั้นค่อนข้างยาก เนื่องจากยังไม่มีทฤษฎีการป้องกันระบบคอมพิวเตอร์แบบครบวงจร มีแนวทางและมุมมองเกี่ยวกับวิธีการก่อสร้างหลายวิธี อย่างไรก็ตาม มีความพยายามอย่างจริงจังในทิศทางนี้ ทั้งในทางปฏิบัติและทางทฤษฎี มีการใช้ความสำเร็จล่าสุดของวิทยาศาสตร์ และเกี่ยวข้องกับเทคโนโลยีขั้นสูง นอกจากนี้ บริษัทคอมพิวเตอร์และซอฟต์แวร์ชั้นนำ มหาวิทยาลัยและสถาบัน ตลอดจนธนาคารขนาดใหญ่และบริษัทระหว่างประเทศต่างกำลังเผชิญกับปัญหานี้

มีตัวเลือกต่างๆ ในการปกป้องข้อมูล ตั้งแต่เจ้าหน้าที่รักษาความปลอดภัยที่ทางเข้า ไปจนถึงวิธีการซ่อนข้อมูลที่ได้รับการตรวจสอบทางคณิตศาสตร์ นอกจากนี้ เราสามารถพูดคุยเกี่ยวกับการป้องกันทั่วโลกและแต่ละแง่มุม: การป้องกันคอมพิวเตอร์ส่วนบุคคล เครือข่าย ฐานข้อมูล ฯลฯ

ควรสังเกตว่าไม่มีระบบที่ปลอดภัยอย่างแน่นอน เราสามารถพูดคุยเกี่ยวกับความน่าเชื่อถือของระบบได้ ประการแรก เฉพาะกับความน่าจะเป็นที่แน่นอนเท่านั้น และประการที่สอง เกี่ยวกับการป้องกันจากบางอย่าง

หมวดหมู่ของผู้กระทำผิด อย่างไรก็ตามสามารถคาดการณ์การเจาะเข้าสู่ระบบคอมพิวเตอร์ได้ การป้องกันคือการแข่งขันประเภทหนึ่งระหว่างการป้องกันและการโจมตี ใครก็ตามที่รู้มากกว่าและเตรียมมาตรการที่มีประสิทธิภาพจะเป็นผู้ชนะ

องค์กรของการป้องกัน ASOIB เป็นชุดมาตรการเดียวที่ต้องคำนึงถึงคุณลักษณะทั้งหมดของกระบวนการประมวลผลข้อมูล แม้ว่าผู้ใช้จะเกิดความไม่สะดวกระหว่างการใช้งาน แต่ในหลายกรณี อุปกรณ์ป้องกันอาจมีความจำเป็นอย่างยิ่งต่อการทำงานปกติของระบบ ความไม่สะดวกหลักๆ ที่กล่าวถึงได้แก่:

1) ปัญหาเพิ่มเติมในการทำงานกับระบบที่ปลอดภัยที่สุด

2) การเพิ่มขึ้นของต้นทุนของระบบที่ได้รับการป้องกัน

3) โหลดทรัพยากรระบบเพิ่มเติมซึ่งจะต้องเพิ่มเวลาทำงานเพื่อทำงานเดียวกันให้สำเร็จเนื่องจากการเข้าถึงข้อมูลช้าลงและการดำเนินการโดยทั่วไป

4) ความจำเป็นในการดึงดูดบุคลากรเพิ่มเติมที่รับผิดชอบในการรักษาการทำงานของระบบป้องกัน

เป็นเรื่องยากที่จะจินตนาการถึงธนาคารสมัยใหม่ที่ไม่มีระบบข้อมูลอัตโนมัติ คอมพิวเตอร์บนโต๊ะของพนักงานธนาคารกลายเป็นเครื่องมือที่คุ้นเคยและจำเป็นมานานแล้ว การสื่อสารของคอมพิวเตอร์ระหว่างกันและกับคอมพิวเตอร์ที่ทรงพลังกว่า เช่นเดียวกับคอมพิวเตอร์ของธนาคารอื่น ก็เป็นเงื่อนไขที่จำเป็นสำหรับการดำเนินงานของธนาคารให้ประสบความสำเร็จเช่นกัน จำนวนการดำเนินการที่ต้องดำเนินการภายในระยะเวลาอันสั้นคือ ใหญ่เกินไป

ขณะนี้มีสถานการณ์อาชญากรรมที่ยากลำบากในขอบเขตข้อมูลของสหพันธรัฐรัสเซีย ความเปราะบางของระบบข้อมูลและเครือข่ายที่มีอยู่จากอิทธิพลที่ผิดกฎหมายในรูปแบบต่างๆ ได้กำหนดขอบเขตของกิจกรรมทางอาญาในวงกว้าง ในช่วงปี 2543 ถึง 2547 จำนวนอาชญากรรมที่จดทะเบียนในรัสเซียโดยใช้เทคโนโลยีสารสนเทศเพิ่มขึ้นมากกว่า 9 เท่าและในปีที่แล้วเกิน 13,000 ยิ่งกว่านั้น จำเป็นต้องคำนึงถึงไม่เพียงแต่จำนวนความเสียหายโดยตรงเท่านั้น แต่ยังต้องคำนึงถึงอย่างมากด้วย มาตรการราคาแพงที่ดำเนินการหลังจากพยายามแฮ็กระบบคอมพิวเตอร์สำเร็จ

บริการของธนาคารในปัจจุบันส่วนใหญ่ขึ้นอยู่กับการใช้งาน

วิธีการโต้ตอบทางอิเล็กทรอนิกส์ระหว่างธนาคาร ธนาคาร และลูกค้าและคู่ค้า ปัจจุบัน การเข้าถึงบริการธนาคารสามารถทำได้จากจุดห่างไกลต่างๆ รวมถึงเครื่องปลายทางที่บ้านและคอมพิวเตอร์ในสำนักงาน ข้อเท็จจริงนี้บีบให้เราต้องละทิ้งแนวคิด "ประตูล็อค" ที่เป็นลักษณะเฉพาะของธนาคารในทศวรรษ 1960 เมื่อคอมพิวเตอร์ส่วนใหญ่ถูกใช้ในโหมดแบตช์เป็นเครื่องมือเสริม และไม่มีส่วนเกี่ยวข้องกับโลกภายนอก

ระบบคอมพิวเตอร์ซึ่งธนาคารสมัยใหม่ไม่สามารถทำได้หากไม่มี เป็นแหล่งของภัยคุกคามใหม่ๆ ที่ไม่รู้จักมาก่อน ส่วนใหญ่เกิดจากการใช้เทคโนโลยีสารสนเทศใหม่ๆ ในการธนาคาร และมีลักษณะเฉพาะไม่เฉพาะกับธนาคารเท่านั้น ควรจำไว้ว่าในหลายประเทศแม้ว่าระบบประมวลผลทางอิเล็กทรอนิกส์จะมีบทบาทเพิ่มขึ้น แต่ปริมาณการทำธุรกรรมด้วยเอกสารกระดาษก็สูงกว่าคู่ค้าทางอิเล็กทรอนิกส์ถึง 3-4 เท่า

ระดับของอุปกรณ์อัตโนมัติมีบทบาทสำคัญในกิจกรรมของธนาคาร ดังนั้นจึงส่งผลโดยตรงต่อตำแหน่งและรายได้ของธนาคาร การแข่งขันที่เพิ่มขึ้นระหว่างธนาคารนำไปสู่ความจำเป็นในการลดเวลาในการชำระหนี้ เพิ่มขอบเขต และปรับปรุงคุณภาพของบริการที่มีให้

ยิ่งใช้เวลาในการชำระหนี้ระหว่างธนาคารและลูกค้าน้อยลงเท่าใด มูลค่าการซื้อขายของธนาคารก็จะยิ่งสูงขึ้น และส่งผลให้กำไรก็จะสูงขึ้นตามไปด้วย นอกจากนี้ธนาคารจะสามารถตอบสนองการเปลี่ยนแปลงของสถานการณ์ทางการเงินได้รวดเร็วยิ่งขึ้น ความหลากหลายของบริการของธนาคาร (โดยหลักแล้วสิ่งนี้เกี่ยวข้องกับความเป็นไปได้ของการชำระเงินที่ไม่ใช่เงินสดระหว่างธนาคารและลูกค้าโดยใช้บัตรพลาสติก) สามารถเพิ่มจำนวนลูกค้าได้อย่างมาก และเป็นผลให้กำไรเพิ่มขึ้น

สามารถอ้างอิงข้อเท็จจริงหลายประการเพื่อยืนยันวิทยานิพนธ์นี้ได้:

ความสูญเสียของธนาคารและองค์กรทางการเงินอื่นๆ จากผลกระทบต่อระบบประมวลผลข้อมูลมีมูลค่าประมาณ 3 พันล้านดอลลาร์ ในปี;.

ปริมาณความสูญเสียที่เกี่ยวข้องกับการใช้บัตรพลาสติกอยู่ที่ประมาณ 2 พันล้านดอลลาร์ ต่อปี ซึ่งคิดเป็น 0.03-2% ของปริมาณการชำระเงินทั้งหมด ขึ้นอยู่กับระบบที่ใช้

27 ล้านเหรียญสหรัฐ ปอนด์สเตอร์ลิงถูกขโมยไปจากสาขาลอนดอนของ Union Bank of Switzerland;

5 ล้านเครื่องหมายถูกขโมยจาก Chase Bank (แฟรงก์เฟิร์ต); พนักงานโอนเงินไปที่ธนาคารฮ่องกง พวกเขาถูกพรากไปจากบัญชีจำนวนมาก (การโจมตีซาลามิ) การโจรกรรมสำเร็จ

3 ล้านเหรียญ - ธนาคารแห่งสตอกโฮล์ม การโจรกรรมเกิดขึ้นโดยใช้ตำแหน่งสิทธิพิเศษของพนักงานหลายคนในระบบข้อมูลของธนาคารและยังประสบความสำเร็จอีกด้วย

เพื่อปกป้องตนเองและลูกค้า ธนาคารส่วนใหญ่ใช้มาตรการป้องกันที่จำเป็น ซึ่งการป้องกัน ASOIB ก็ไม่สำคัญแม้แต่น้อย มีความจำเป็นต้องคำนึงว่าการปกป้อง ASOIB ของธนาคารนั้นเป็นงานที่มีราคาแพงและซับซ้อน ตัวอย่างเช่น Barclays Bank ทุ่มเงินประมาณ 20 ล้านดอลลาร์ในการปกป้องระบบอัตโนมัติ เป็นประจำทุกปี

ในช่วงครึ่งแรกของปี 1994 Datapro Information Services Group ได้ทำการสำรวจทางไปรษณีย์ของผู้จัดการระบบข้อมูลที่สุ่มเลือก วัตถุประสงค์ของการสำรวจคือเพื่อชี้แจงสถานการณ์ในด้านการคุ้มครอง ได้รับแบบสอบถามจำนวน 1,153 ข้อ ได้ผลดังนี้

1) ประมาณ 25% ของการละเมิดทั้งหมดเป็นภัยธรรมชาติ

2) ประมาณครึ่งหนึ่งของระบบประสบปัญหาการหยุดชะงักอย่างกะทันหันในแหล่งจ่ายไฟหรือการสื่อสารซึ่งเป็นสาเหตุของการประดิษฐ์

3) ประมาณ 3% ของระบบประสบกับการละเมิดจากภายนอก (การเจาะเข้าสู่ระบบขององค์กร)

4) 70-75% - การละเมิดภายในซึ่ง:

10% กระทำโดยพนักงาน-ผู้ใช้ ASOIB ของธนาคารที่ขุ่นเคืองและไม่พอใจ - 10%

มุ่งมั่นด้วยเหตุผลเห็นแก่ตัวโดยบุคลากรของระบบ - 50-55% - เป็นผลจากความผิดพลาดโดยไม่ตั้งใจของบุคลากร และ/หรือ ผู้ใช้ระบบ อันเป็นผลจากความประมาทเลินเล่อ ความประมาทเลินเล่อ หรือไร้ความสามารถ

ข้อมูลเหล่านี้บ่งชี้ว่าการละเมิดที่พบบ่อยที่สุดที่เกิดขึ้นไม่ใช่การละเมิดเช่นการโจมตีโดยแฮกเกอร์หรือการขโมยคอมพิวเตอร์ที่มีข้อมูลอันมีค่า แต่เป็นการละเมิดที่พบบ่อยที่สุดที่เกิดจากกิจกรรมในชีวิตประจำวัน ในขณะเดียวกัน การโจมตีระบบคอมพิวเตอร์โดยเจตนาซึ่งก่อให้เกิดความเสียหายครั้งเดียวครั้งใหญ่ที่สุด และมาตรการในการป้องกันมีความซับซ้อนและมีราคาแพงที่สุด ในเรื่องนี้ปัญหาของการเพิ่มประสิทธิภาพการป้องกัน ASOIB เป็นปัญหาเร่งด่วนที่สุดในด้านความปลอดภัยของข้อมูลของธนาคาร

มีสองประเด็นที่ทำให้ธนาคารแตกต่างจากระบบการค้าอื่นๆ:

1. ข้อมูลในระบบธนาคาร หมายถึง “เงินจริง” ที่สามารถ รับ โอน ใช้ ลงทุน ฯลฯ

2. มีผลกระทบต่อผลประโยชน์ขององค์กรและบุคคลจำนวนมาก

ดังนั้นการรักษาความปลอดภัยของข้อมูลของธนาคารจึงเป็นเงื่อนไขที่สำคัญอย่างยิ่งในการดำรงอยู่ ด้วยเหตุนี้ ระบบธนาคารจึงมีข้อกำหนดที่เพิ่มขึ้นเกี่ยวกับความปลอดภัยของการจัดเก็บและการประมวลผลข้อมูล ธนาคารในประเทศจะไม่สามารถหลีกเลี่ยงชะตากรรมของระบบอัตโนมัติทั้งหมดได้ด้วยเหตุผลดังต่อไปนี้:

การแข่งขันที่เพิ่มขึ้นระหว่างธนาคาร

ความจำเป็นในการลดเวลาในการคำนวณ

จำเป็นต้องปรับปรุงการบริการ

ในสหรัฐอเมริกา ประเทศในยุโรปตะวันตก และประเทศอื่นๆ อีกมากมายที่ต้องเผชิญกับปัญหานี้มาระยะหนึ่งแล้ว ขณะนี้อุตสาหกรรมทั้งหมดสำหรับการปกป้องข้อมูลทางเศรษฐกิจได้ถูกสร้างขึ้น รวมถึงการพัฒนาและการผลิตฮาร์ดแวร์และซอฟต์แวร์ที่ปลอดภัย อุปกรณ์ต่อพ่วง วิทยาศาสตร์ การวิจัย ฯลฯ

สาขาความปลอดภัยของข้อมูลเป็นสาขาที่มีพลวัตมากที่สุดในการพัฒนาอุตสาหกรรมความปลอดภัยโดยรวม หากการรับรองความปลอดภัยทางกายภาพมีประเพณีและแนวทางที่มีมายาวนาน การรักษาความปลอดภัยของข้อมูลจำเป็นต้องมีโซลูชันใหม่อยู่ตลอดเวลา เนื่องจาก เทคโนโลยีคอมพิวเตอร์และโทรคมนาคมได้รับการปรับปรุงอย่างต่อเนื่อง และระบบคอมพิวเตอร์ก็ได้รับความรับผิดชอบมากขึ้นเรื่อยๆ

สถิติแสดงให้เห็นว่าองค์กรขนาดใหญ่ส่วนใหญ่มีแผนพร้อมกฎเกณฑ์ในการเข้าถึงข้อมูลตลอดจนแผน

การกู้คืนระบบ. ความปลอดภัยของระบบธนาคารอิเล็กทรอนิกส์ขึ้นอยู่กับปัจจัยหลายประการที่ต้องนำมาพิจารณาในขั้นตอนการออกแบบระบบนี้ ในขณะเดียวกัน การดำเนินงานธนาคารและการชำระเงินทางอิเล็กทรอนิกส์แต่ละประเภทหรือวิธีอื่นในการแลกเปลี่ยนข้อมูลที่เป็นความลับก็มีคุณสมบัติการป้องกันเฉพาะของตัวเอง ดังนั้นการจัดระบบป้องกันระบบธนาคารจึงเป็นมาตรการทั้งชุดที่ควรคำนึงถึงทั้งแนวคิดทั่วไปและคุณลักษณะเฉพาะ

เห็นได้ชัดว่าระบบอัตโนมัติและคอมพิวเตอร์ของกิจกรรมธนาคาร (และการหมุนเวียนเงินโดยทั่วไป) ยังคงเพิ่มขึ้นอย่างต่อเนื่อง การเปลี่ยนแปลงที่สำคัญในอุตสาหกรรมการธนาคารในช่วงหลายทศวรรษที่ผ่านมามีความเกี่ยวข้องอย่างแม่นยำกับการพัฒนาเทคโนโลยีสารสนเทศ เราสามารถคาดการณ์การลดลงอีกของการหมุนเวียนเงินสดและการค่อยๆ เปลี่ยนไปใช้การชำระเงินที่ไม่ใช่เงินสดโดยใช้บัตรพลาสติก อินเทอร์เน็ต และเทอร์มินัลระยะไกลสำหรับจัดการบัญชีของนิติบุคคล

จากข้อเท็จจริงที่ว่าปัจจัยที่กำหนดแนวโน้มการพัฒนาอาชญากรรมในสาขาเทคโนโลยีสารสนเทศอาจไม่มีการเปลี่ยนแปลงที่สำคัญในอนาคตอันใกล้นี้เห็นได้ชัดว่าเราไม่ควรคาดหวังการเปลี่ยนแปลงที่รุนแรงในสถานการณ์อาชญากรรมในขอบเขตข้อมูล หากอัตราการเติบโตของจำนวนอาชญากรรมที่จดทะเบียนต่อปียังคงอยู่ที่ระดับไม่เกิน 30% ภายในปี 2558 จำนวนอาชญากรรมเหล่านั้นอาจเกิน 200,000 อาชญากรรมต่อปี อย่างไรก็ตามการคาดการณ์อาจไม่เป็นจริงหากมีการใช้มาตรการที่เหมาะสมโดยใช้ประสบการณ์จากต่างประเทศ?

บทความนี้มีวัตถุประสงค์เพื่อรับรองความปลอดภัยของข้อมูลในสถาบันการธนาคารตามข้อกำหนดภายในประเทศของมาตรฐานอุตสาหกรรมของธนาคารแห่งรัสเซีย STO BR IBBS-1.0-2014 บางแง่มุมของการป้องกันในระบบธนาคารอัตโนมัติ (ABS) ปัญหาการปกป้องข้อมูลส่วนบุคคลในภาคการธนาคาร การตรวจสอบภายในและการประเมินตนเองเพื่อให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยของข้อมูล ตลอดจนคุณลักษณะและปัญหาบางประการที่เกี่ยวข้องกับข้อมูลเฉพาะด้านความปลอดภัย ในธนาคารถือว่า

การแนะนำ

ไม่มีความลับใดที่ธนาคารเป็นรากฐานที่สำคัญของระบบเครดิตและการเงินของรัฐ และเป็นสถาบันการเงินที่สำคัญที่สุดในสังคมยุคใหม่ ในเรื่องนี้พวกเขาอยู่ภายใต้ข้อกำหนดพิเศษเพื่อรับรองความปลอดภัยของข้อมูล จนกระทั่งมาตรฐานการรักษาความปลอดภัยของข้อมูลอุตสาหกรรมภายในประเทศ STO BR IBBS ธนาคารจัดการความปลอดภัยตามข้อกำหนดของเอกสารกำกับดูแลภายใน แต่แม้หลังจากการนำเอกสารเหล่านี้ไปใช้แล้ว ยังมีอีกหลายประเด็นที่ต้องมีการแก้ไข ปัญหาบางส่วนที่กล่าวถึงในบทความนี้เกี่ยวข้องกับการแก้ไข “คอขวด” ของระบบรักษาความปลอดภัยข้อมูลของธนาคาร และการปรับนโยบายความปลอดภัยให้เข้ากับข้อกำหนดใหม่ โดยคำนึงถึง “สัมภาระ” ที่มีอยู่ในด้านการปกป้องข้อมูล

การพัฒนามาตรฐาน IS ของธนาคารแห่งรัสเซีย

ในรัสเซียจนถึงกลางทศวรรษ 2000 คำนี้ "ความปลอดภัย"เกี่ยวข้องกับการจัดการเป็นส่วนใหญ่ "ความเสี่ยงของธนาคาร", เช่น. การควบคุมสถานการณ์ที่อาจส่งผลให้สถาบันสินเชื่อเกิดความสูญเสีย และ/หรือ สภาพคล่องลดลงอันเนื่องมาจากเหตุการณ์ไม่พึงประสงค์ หมวดหมู่เช่น “ความปลอดภัยของข้อมูล”หรือ "การป้องกันข้อมูล"ไม่มีอยู่ในหลักการ เฉพาะกฎหมายของรัฐบาลกลาง "กิจกรรมการธนาคาร" ลงวันที่ 2 ธันวาคม 1990 N 395-1 FZ ในมาตรา 26 การรักษาความลับด้านการธนาคารเท่านั้นที่ให้สิทธิ์และโอกาสที่จำกัดในการปกป้องข้อมูลที่เป็นความลับในภาคการธนาคาร กว่าหนึ่งทศวรรษต่อมา นักเคลื่อนไหวฝ่ายขวาในประเทศได้เผยแพร่กฎหมายของรัฐบาลกลางเรื่อง "ความลับทางการค้า" เมื่อวันที่ 29 กรกฎาคม พ.ศ. 2547 N 98-FZ ซึ่งในที่สุดก็อนุญาตให้พวกเขาประกาศกิจกรรมประเภทใหม่ได้อย่างเต็มที่และแยกหมวดหมู่ของปัญหาเช่น " ความปลอดภัยของข้อมูลของธนาคาร”

ในปีเดียวกันนั้น กระแสนิยมเกิดขึ้นในชุมชนการธนาคารในประเทศสำหรับการนำมาตรฐานการธนาคารระหว่างประเทศมาใช้ โดยเฉพาะมาตรฐาน Basel II ในการตีความ มาตรฐานนี้ถือว่าความปลอดภัยของข้อมูลเป็นความเสี่ยงในการปฏิบัติงาน และโดยทั่วไปแล้ว จำเป็นต้องมีมาตรการในการตรวจสอบและควบคุมขอบเขตข้อมูล ซึ่งเป็นนวัตกรรมที่สมบูรณ์แบบสำหรับธนาคารรัสเซียในขณะนั้น อย่างไรก็ตาม ยังไม่เพียงพอ - การพัฒนาเทคโนโลยีสารสนเทศสมัยใหม่และความปรารถนาอย่างต่อเนื่องที่จะนำเสนอผลิตภัณฑ์ด้านการธนาคารใหม่ ๆ ออกสู่ตลาดจำเป็นต้องให้ความสนใจกับปัญหาเหล่านี้มากขึ้น

พัฒนาการครั้งสำคัญครั้งต่อไปในการพัฒนาคือปี 2547 โดยธนาคารกลางแห่งรัสเซียได้เผยแพร่ชุดมาตรฐานอุตสาหกรรมในประเทศสำหรับการรักษาความปลอดภัยข้อมูลฉบับพิมพ์ครั้งแรกของ STO BR IBSS มาตรฐานของธนาคารกลางด้านความปลอดภัยด้านไอทีถือเป็นมาตรฐานอุตสาหกรรมที่ดีที่สุดในขณะนั้น เนื่องจากมีการดูดซึมประสบการณ์และแนวปฏิบัติที่ดีที่สุดในโลก ผสมผสานข้อกำหนดหลักของมาตรฐานสำหรับการจัดการความปลอดภัยด้านไอที (ISO 17799, 13335) ควบคุมคำอธิบายของชีวิต วงจรของซอฟต์แวร์และเกณฑ์การประเมินความปลอดภัยด้านไอที (GOST R ISO/IEC 15408-1-2-3) เอกสารนี้ยังสะท้อนถึงเทคโนโลยีสำหรับการประเมินภัยคุกคามและช่องโหว่ ตลอดจนข้อกำหนดบางประการของวิธีการของอังกฤษในการประเมินความเสี่ยงของข้อมูล CRAMM (ดูรูปที่ 1)

รูปที่ 1 ความสัมพันธ์ระหว่างข้อกำหนดและมาตรฐานต่างๆ ในด้านไอที ความปลอดภัย และการจัดการ

ในบรรดาข้อกำหนดหลักของมาตรฐานของธนาคารกลาง อาจสังเกตได้ว่าการมุ่งเน้นที่การแก้ปัญหาของคนใน เพื่อให้บรรลุเป้าหมายนี้ ธนาคารแห่งรัสเซียจึงรวมการควบคุมการไหลเวียนของข้อมูลที่เป็นความลับภายในสภาพแวดล้อมขององค์กร มีการให้ความสนใจอย่างมากต่อภัยคุกคามภายนอก: บทบัญญัติของมาตรฐานกำหนดให้ธนาคารต้องมีการป้องกันไวรัสด้วยฐานข้อมูลที่อัปเดตเป็นประจำ เครื่องมือกรองสแปม การควบคุมการเข้าถึง ควบคุมขั้นตอนการตรวจสอบภายใน ใช้การเข้ารหัสเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต ฯลฯ

แม้จะมีข้อได้เปรียบที่ชัดเจนเหล่านี้ แต่มาตรฐานดังกล่าวมีลักษณะเป็นคำแนะนำ - ธนาคารในประเทศสามารถนำข้อกำหนดดังกล่าวไปใช้ได้ตามความสมัครใจเท่านั้น อย่างไรก็ตาม จากผลการศึกษาของผู้ตอบแบบสอบถามที่นำเสนอในการประชุมระหว่างธนาคารครั้งที่ 3 มีแนวโน้มที่ชัดเจนในการนำเอกสารเหล่านี้เป็นกรอบพื้นฐานบังคับสำหรับธนาคารรัสเซีย

ควบคู่ไปกับการพัฒนามาตรฐานการธนาคารในช่วงกลางทศวรรษ 2000 กระบวนการสร้างกฎหมายภายในประเทศในด้านความปลอดภัยของข้อมูลก็กำลังดำเนินการในรัสเซียเช่นกัน ประเด็นสำคัญคือการอัปเดตกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการคุ้มครองข้อมูล" ลงวันที่ 27 กรกฎาคม 2549 N 149-FZ ซึ่งให้คำจำกัดความใหม่ที่ทันสมัยของข้อมูลเทคโนโลยีสารสนเทศและกระบวนการโดยมีข้อกำหนดแยกต่างหาก หัวข้อเน้น "การปกป้องข้อมูล" ต่อไปนี้ หมวดหมู่แยกต่างหากในแนวทางปฏิบัติในการปกป้องข้อมูลได้รับการทำเครื่องหมายโดยการเปิดตัวกฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" ลงวันที่ 27 กรกฎาคม 2549 N 152-FZ

เมื่อคำนึงถึงนวัตกรรมเหล่านี้และความเป็นจริงที่เปลี่ยนแปลงไปของสังคม STO BR IBBS ฉบับใหม่จึงได้รับการเผยแพร่ ดังนั้นในมาตรฐานฉบับที่สามตั้งแต่ปี 2551 จึงมีการแก้ไขชุดเอกสารอย่างมีนัยสำคัญ มีการแนะนำข้อกำหนดและแนวคิดใหม่ ข้อกำหนดด้านความปลอดภัยบางประการได้รับการชี้แจงและมีรายละเอียด ข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูลได้รับการปรับปรุงแล้ว มาตรฐานนี้ยังได้รับรูปแบบภัยคุกคามและผู้ละเมิดความปลอดภัยของข้อมูลขององค์กร RF BS ของตัวเองอีกด้วย บล็อกใหม่ได้รับการแนะนำตามข้อกำหนดด้านความปลอดภัยของข้อมูลในระบบธนาคารอัตโนมัติ กระบวนการชำระเงินทางธนาคารและกระบวนการทางเทคโนโลยีสารสนเทศได้รับการควบคุม และการใช้วิธีการป้องกันข้อมูลการเข้ารหัสได้ถูกกล่าวถึงแยกต่างหาก

ท่ามกลางเหตุการณ์โลกล่าสุดในปี 2014 และการคว่ำบาตรทางเศรษฐกิจของประเทศตะวันตกต่อรัสเซีย มีแนวโน้มที่ชัดเจนต่อการพัฒนาและการเปลี่ยนไปใช้ระบบบัตรชำระเงินระดับชาติ ด้วยเหตุนี้ จึงกำหนดข้อกำหนดเพิ่มเติมเกี่ยวกับความน่าเชื่อถือและความปลอดภัยของระบบดังกล่าว ซึ่งส่งผลให้มาตรฐานความปลอดภัยของข้อมูลภายในประเทศมีความสำคัญเพิ่มขึ้น

ผลลัพธ์ของเหตุการณ์ทั้งหมดนี้คือการออกมาตรฐานใหม่อีกครั้งหนึ่ง และในเดือนมิถุนายน 2014 STO BR IBBS - 2014 ฉบับอัปเดตครั้งที่ 5 และล่าสุดมีผลใช้บังคับจนถึงขณะนี้ ในฉบับใหม่ ข้อบกพร่องของฉบับก่อนๆ ได้รับการแก้ไขแล้ว และที่สำคัญมากคือ ข้อกำหนดและคำแนะนำของ STO ได้รับการปรับปรุงให้สอดคล้องกับ 382-P ที่อธิบายไว้ข้างต้น ตัวอย่างเช่น มีการชี้แจงรายการธุรกรรมที่ต้องลงทะเบียนใน RBS รายการข้อมูลที่ได้รับการคุ้มครองได้รับการขยายตาม P-382 และตารางการติดต่อระหว่างตัวบ่งชี้การประเมินภาคเอกชนจาก STO และตัวบ่งชี้จาก 382-P ฉบับปัจจุบัน ได้รับการจัดเตรียมไว้แล้ว

ความสำเร็จที่สำคัญไม่แพ้กันคือฐานข้อกำหนดด้านกฎระเบียบที่ได้รับการปรับปรุง โดยคำนึงถึงการเปลี่ยนแปลงล่าสุดในกฎหมายในด้านการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ ลิงก์ไปยังพระราชกฤษฎีกาของรัฐบาลหมายเลข 1119 และคำสั่งของ FSTEC ของรัสเซียหมายเลข 21

ทั้งหมดนี้ได้สร้างแพลตฟอร์มด้านระเบียบวิธีและกฎระเบียบแบบครบวงจรเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลที่ครอบคลุม โดยคำนึงถึงข้อมูลเฉพาะทางของธนาคาร ชุดเอกสาร STO BR IBBS ทำให้ธนาคารรัสเซียแตกต่างโดยการสร้างระบบรักษาความปลอดภัยในธนาคารเหล่านั้นจากมุมมองของอุตสาหกรรม แต่ในขณะเดียวกันก็ซึมซับแนวปฏิบัติที่ดีที่สุดของโลกและประสบการณ์ของเพื่อนร่วมงานชาวต่างชาติในการรับรองความปลอดภัยของข้อมูล

ความปลอดภัยของข้อมูลในธนาคารโดยคำนึงถึง STO BR IBBS-2014

ปัจจุบันตามคำสั่งของธนาคารแห่งรัสเซีย ชุดเอกสาร STO BR IBBS ประกอบด้วยส่วนต่างๆ ดังต่อไปนี้:

1. STO BR IBBS-1.2-2014 “ วิธีการประเมินการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1.0-2014 (ฉบับที่ 4)”;

นอกจากนี้ธนาคารแห่งรัสเซียยังได้พัฒนาและแนะนำคำแนะนำต่อไปนี้ในด้านมาตรฐานความปลอดภัยของข้อมูล:

1. อาร์เอส BR IBBS-2.0-2007 “คำแนะนำวิธีการสำหรับเอกสารในด้านความปลอดภัยข้อมูลตามข้อกำหนดของ STO BR IBBS-1.0”;
2. อาร์เอส BR IBBS-2.1-2007 “แนวทางการประเมินตนเองในการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1 0";
3. อาร์เอส BR IBBS-2.2-2009 “ วิธีการประเมินความเสี่ยงของการละเมิดความปลอดภัยของข้อมูล”;
4. อาร์เอส BR IBBS-2.5-2014 “การจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ”

เอกสารสามชุดแรกมีผลบังคับใช้สำหรับทุกธนาคารที่ใช้มาตรฐานนี้เป็นนโยบายพื้นฐาน เอกสาร “บทบัญญัติทั่วไป”เป็นพื้นฐานสำหรับการสร้างมาตรการปกป้องข้อมูลทั้งหมด โครงสร้างทั้งหมดแบ่งออกเป็นบล็อกแยกกัน โดยจะอธิบายรายละเอียดข้อกำหนดด้านความปลอดภัยและจัดเตรียมรายการมาตรการป้องกันเฉพาะสำหรับบล็อกเฉพาะ (ดูตารางที่ 1)

ตารางที่ 1. ข้อกำหนดด้านความปลอดภัยของข้อมูล

- เมื่อมอบหมายและกระจายบทบาทและสร้างความมั่นใจในบุคลากร

- ในระบบธนาคารอัตโนมัติ (ABS) ในขั้นตอนของวงจรชีวิต

- เมื่อจัดการการเข้าถึงและการลงทะเบียนผู้ใช้

- เครื่องมือป้องกันไวรัส

- เมื่อใช้ทรัพยากรอินเทอร์เน็ต

- เมื่อใช้วิธีการป้องกันข้อมูลการเข้ารหัส

- ในกระบวนการทางเทคโนโลยีการชำระเงินทางธนาคาร

- ในการประมวลผลข้อมูลส่วนบุคคล

- หัวข้อแยกต่างหากประกอบด้วยข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล

เอกสาร “การตรวจสอบความมั่นคงปลอดภัยสารสนเทศ”หน้าที่เล็กที่สุดของทั้งหมด ระบุถึงความจำเป็นในการดำเนินการตรวจสอบระบบรักษาความปลอดภัยข้อมูล และยังให้การอ้างอิงถึงการดำเนินการประเมินตนเองประจำปีตามข้อกำหนดของมาตรฐาน ข้อมูลจากการประเมินตนเองขั้นสุดท้ายทำหน้าที่เป็นพื้นฐานสำหรับทั้งแบบฟอร์มการรายงานในกรณีที่มีการตรวจสอบโดยธนาคารกลาง และสำหรับการสรุปการปฏิบัติตามระดับความปลอดภัยของระบบรักษาความปลอดภัยข้อมูลของธนาคารกับความเสี่ยงที่ระบุ และภัยคุกคามต่อความปลอดภัยของข้อมูล

และเอกสารสุดท้ายที่อยู่ระหว่างการพิจารณา “วิธีการประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล”-- นี่คือชุดวิธีการประเมินและตารางที่มีช่องข้อมูลที่เกี่ยวข้องให้กรอก กิจกรรมและมาตรการป้องกันแต่ละรายการจะให้น้ำหนักที่แน่นอนในการประเมิน เรียกว่าตัวบ่งชี้กลุ่ม จากผลลัพธ์ของตัวบ่งชี้กลุ่ม แผนภูมิวงกลมของการปฏิบัติตามข้อกำหนดของ STO BR IBBS จะถูกสร้างขึ้น (ดูรูปที่ 2) ค่าทั้งหมดของตัวบ่งชี้กลุ่มอยู่ในช่วงตั้งแต่ 0 ก่อน 1 ซึ่งในการพิจารณาผลรวมทั้งหมด จะมีการระบุการปฏิบัติตามมาตรฐานอีก 6 ระดับโดยเริ่มจากศูนย์ ธนาคารแห่งรัสเซียแนะนำระดับ 4 และ 5 (ดูรูปที่ 2) ดังนั้นยิ่งค่าสูง ระบบก็จะยิ่งมีความปลอดภัยมากขึ้น บนแผนภูมิวงกลม ส่วนเหล่านี้เป็นสีเขียว ในขณะที่สีแดงเป็นตัวบ่งชี้ระดับวิกฤต

รูปที่ 2 แผนภูมิวงกลมแสดงการปฏิบัติตามข้อกำหนดของ STO BR IBBS

มีอะไรอีกที่สามารถเพิ่มได้ - ให้ความสนใจเป็นอย่างมากกับกระบวนการจัดการของระบบความปลอดภัยของข้อมูลโดยเฉพาะอย่างยิ่งเราสามารถเน้นได้ วงจรเดมิงซึ่งใช้โดยผู้จัดการระดับสูงในการจัดการคุณภาพ (รูปที่ 3)

รูปที่ 3 วงจร Deming สำหรับ SOIB STO BR IBBS

ในฉบับใหม่ ธนาคารแห่งรัสเซียได้อัปเดตวิธีการประเมินการปฏิบัติตามความปลอดภัยของข้อมูล การเปลี่ยนแปลงหลักส่งผลต่อแนวทางการประเมิน:

• ข้อกำหนดทั้งหมดได้รับการจัดประเภทเป็นหนึ่งในสามประเภท ( เอกสารประกอบ, ผลงาน , เอกสารและการดำเนินการ);
• การประเมินตัวบ่งชี้กลุ่มถูกกำหนดให้เป็นค่าเฉลี่ยเลขคณิต (ไม่มีค่าสัมประสิทธิ์การถ่วงน้ำหนักสำหรับตัวบ่งชี้เฉพาะ)
• มีการแนะนำแนวคิดเรื่องค่าสัมประสิทธิ์การแก้ไขซึ่งส่งผลต่อการประเมินในพื้นที่และขึ้นอยู่กับจำนวนข้อกำหนดของมาตรฐานที่ยังไม่ได้นำไปใช้อย่างเต็มที่
• ค่าของตัวบ่งชี้ M9 (ข้อกำหนดทั่วไปสำหรับการประมวลผลข้อมูลส่วนบุคคล) คำนวณตามรูปแบบทั่วไป (และไม่ใช่ค่าขั้นต่ำของตัวบ่งชี้ส่วนตัวที่รวมอยู่ในเวอร์ชันก่อนหน้าของมาตรฐาน)

เป็นที่น่าสังเกตว่ามีการให้ความสนใจมากขึ้นในการจัดทำเอกสารขั้นตอนการรักษาความปลอดภัยในเอกสารกำกับดูแลภายในของธนาคาร ดังนั้นแม้ว่าจะไม่ได้ปฏิบัติตามขั้นตอนจริง แต่มีการกำหนดและจัดทำเป็นเอกสารไว้ สิ่งนี้จะเพิ่มผลลัพธ์ของการตรวจสอบภายใน

เมื่อเทียบกับรุ่นก่อนหน้า จำนวนตัวบ่งชี้ส่วนตัวเพิ่มขึ้น และค่าการถ่วงน้ำหนักของการประเมินก็เปลี่ยนไปด้วย (ดูรูปที่ 4)

รูปที่ 4 การเปลี่ยนแปลงใน STO BR IBBS รุ่นก่อนหน้าและปัจจุบัน (อ้างอิงจาก InfoConstal Management, www. km-ltd.com, 2014)

ควรจะกล่าวถึงการเพิ่มที่สำคัญอีกประการหนึ่งเกี่ยวกับกลไกความปลอดภัยในตัวใน ABS - ธนาคารแห่งรัสเซียได้ออกคำแนะนำ "การรับรองความปลอดภัยของข้อมูลในขั้นตอนของวงจรชีวิตของระบบธนาคารอัตโนมัติ" (RS BR IBBS-2.6-2014 ). สาระสำคัญของพวกเขาคือตอนนี้ธนาคารสามารถกำหนดข้อกำหนดสำหรับนักพัฒนาเกี่ยวกับการทำงานของซอฟต์แวร์ในแง่ของกลไกการป้องกันได้ตามเอกสารนี้ เราต้องไม่ลืมว่าสิ่งเหล่านี้เป็นคำแนะนำ ไม่ใช่ข้อกำหนด และธนาคารแห่งรัสเซียเองก็ไม่สามารถกำหนดสิ่งใดได้ แต่อนุญาตให้เผยแพร่คำแนะนำเหล่านี้ในนามของชุมชนธนาคาร และนี่คือการเปลี่ยนแปลงที่ดีขึ้นแล้ว

การคุ้มครองข้อมูลส่วนบุคคลในธนาคาร

ก่อนการเปิดตัว STO BR IBBS-2014 ฉบับที่ 5 การปกป้องข้อมูลส่วนบุคคลในธนาคารใช้เอกสารสองฉบับ: BR IBBS-2.3-2010 “ ข้อกำหนดสำหรับการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระบบข้อมูลข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย” และ RS BR IBBS-2.4-2010 “รูปแบบเฉพาะอุตสาหกรรมของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย”

ในทางปฏิบัติ ดูเหมือนว่า: พวกเขาใช้โมเดลภัยคุกคามอุตสาหกรรมภาคเอกชนที่เสนอโดยธนาคารกลางไม่เปลี่ยนแปลง ตามคำแนะนำด้านระเบียบวิธี กำหนดข้อกำหนดในการป้องกันสำหรับแต่ละ ISPD ตามปริมาณและรายการข้อมูลที่ประมวลผล จากนั้นจึงสร้างรายการ ของมาตรการที่จำเป็นตามนั้น

ความปวดหัวหลักสำหรับผู้เชี่ยวชาญจนถึงทุกวันนี้คือข้อกำหนดเหล่านี้มีผลบังคับใช้จนถึง STO BR IBBS - 2014 ฉบับถัดไป แม้ว่าในเวลานั้นการปกป้องข้อมูลส่วนบุคคลจะถูกสร้างขึ้นตามคำสั่ง PP-1119 และ FSTEC หมายเลข 21 แล้ว เนื่องจากธนาคารจะต้องปฏิบัติตามแพ็คเกจ STO BR IBBS ที่ได้รับการยอมรับ หลายธนาคารจึงใช้วิธีการที่ล้าสมัย และไม่สอดคล้องกับความเป็นจริงด้านความปลอดภัยใหม่

เมื่อมีการเผยแพร่เอกสารกำกับดูแลทั้งสองฉบับที่กล่าวถึง สถานการณ์ก็เปลี่ยนไปในทางที่ดีขึ้น - ข้อกำหนดใบอนุญาตที่เข้มงวดบางประการถูกยกเลิก ขั้นตอนการจัดหมวดหมู่สำหรับ ISPD ง่ายขึ้น และผู้ปฏิบัติงาน PD ได้รับสิทธิ์มากขึ้นในการเลือกมาตรการป้องกัน ข้อกำหนดสำหรับการป้องกัน ISPD ถูกกำหนดโดยตารางการติดต่อของ "ระดับความปลอดภัย" และขั้นตอนการรักษาความปลอดภัยที่ใช้กับพวกเขา โดยมีรายละเอียดแสดงไว้ในคำสั่ง FSTEC หมายเลข 21 ทำให้สามารถแยกแยะระดับของ ความแตกต่างในวิธีการปกป้อง PD ในมาตรฐานอุตสาหกรรมของธนาคารกลางและกฎหมายทั่วไปของรัสเซีย

มาตรฐานที่ได้รับการปรับปรุงมีคำศัพท์ใหม่ “ทรัพยากร PD” ซึ่งมีการกำหนดข้อกำหนดสำหรับการจัดทำเอกสารของแต่ละขั้นตอนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล (ส่วนที่ 7.10) ปัญหาที่เกี่ยวข้องกับการทำลายข้อมูลส่วนบุคคลจะได้รับการพิจารณาแยกกัน: องค์กรต่างๆ จะได้รับโอกาสในการทำลายข้อมูลส่วนบุคคลไม่ใช่ในทันที แต่เป็นระยะๆ แต่อย่างน้อยหนึ่งครั้งทุกๆ หกเดือน

Roskomnadzor ชี้แจงแยกต่างหากเกี่ยวกับข้อมูลส่วนบุคคลไบโอเมตริกซ์ เช่น ภาพถ่ายของพนักงาน หากใช้เพื่อวัตถุประสงค์ในการควบคุมการเข้าถึงหรือโพสต์บนเว็บไซต์ของบริษัทเป็นข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับการจัดการ จะไม่ตกอยู่ภายใต้ข้อกำหนดการป้องกันพิเศษ

ธนาคารที่เคยปฏิบัติตามข้อกำหนดในการปกป้องข้อมูลส่วนบุคคลตามมาตรฐานเก่า เพื่อให้เป็นไปตามข้อกำหนดใหม่ จำเป็นต้องปรับเปลี่ยนเอกสารกำกับดูแลภายใน จัดประเภทใหม่และเปลี่ยนเส้นทาง ISPD และเพื่อให้สอดคล้องกับ ระดับความปลอดภัย กำหนดรายการมาตรการป้องกันใหม่ด้วยตนเอง ฉันอยากจะทราบว่าขณะนี้ธนาคารมีอิสระมากขึ้นในการเลือกวิธีการและวิธีการป้องกัน อย่างไรก็ตาม การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่จัดเรียงตาม FSTEC ยังคงเป็นสิ่งจำเป็น

ความมั่นคงปลอดภัยสารสนเทศของระบบการชำระเงินของประเทศ

จากเหตุการณ์ล่าสุด ระบบการชำระเงินแห่งชาติ (NPS) กำลังกลายเป็นประเด็นที่มีลำดับความสำคัญมากขึ้นในนโยบายภายในประเทศของรัฐ ประธานาธิบดีรัสเซีย วลาดิมีร์ ปูติน ลงนามกฎหมายเกี่ยวกับการสร้างระบบบัตรชำระเงินแห่งชาติ (NSCP) ในรัสเซีย และรับรองว่าระบบการชำระเงินระหว่างประเทศจะดำเนินการได้อย่างต่อเนื่อง ตัวดำเนินการ NSPK ถูกสร้างขึ้นในรูปแบบของ OJSC ซึ่ง 100% ของสินทรัพย์เป็นของธนาคารแห่งรัสเซีย เป้าหมายของโครงการคือการปิดกระบวนการโอนเงินภายในรัสเซียในลักษณะโครงสร้างพื้นฐานและข้อมูล เพื่อรวมศูนย์ปฏิบัติการและศูนย์หักบัญชีการชำระเงินในอาณาเขตภายในประเทศ

ในความเป็นจริง ก่อนที่กฎหมายจะผ่านไป เงินอาจปรากฏขึ้นจาก "ไม่มีที่ไหนเลย" และหายไป "ไม่มีที่ไหนเลย" ด้วยการประกาศกฎหมายสถานการณ์กำลังเปลี่ยนแปลง NPS ทำให้สามารถตรวจสอบธุรกรรมทางการเงินทั้งหมดได้ รวมถึงการจัดหาเงินทุนสำหรับธุรกรรมที่น่าสงสัยและธุรกรรมฉ้อโกงที่อาจคุกคามความปลอดภัยของประชาชนหรือประเทศโดยรวม นอกจากนี้ รัฐบาลระบุว่า การย้ายออกจากการไหลเวียนของเงินสด ถือเป็นอีกก้าวหนึ่งในการต่อสู้กับการติดสินบน

เพื่อให้มั่นใจในความปลอดภัยของ NPS จึงได้มีการออกข้อบังคับทั้งชุดรวมถึงข้อบังคับพื้นฐานเกี่ยวกับการปกป้องข้อมูลในระบบการชำระเงิน" ลงวันที่ 13 มิถุนายน 2555 ฉบับที่ 584 แต่กฎระเบียบเกี่ยวกับข้อกำหนดในการรับรองการปกป้องข้อมูลเมื่อทำการโอนเงินที่ออกโดยแผนกที่รับผิดชอบของธนาคารแห่งรัสเซียนั้นตอบสนองได้ดีกว่า..." ลงวันที่ 06/09/2555 N 382-P)

ด้วยการอัพเดต P-382 แนวโน้มการป้องกันจะเปลี่ยนไปใช้:

• การใช้ตู้เอทีเอ็มและเครื่องชำระเงิน
• การใช้บัตรชำระเงินพลาสติก
• การใช้อินเทอร์เน็ต (ระบบธนาคารระยะไกล (RBS) และธนาคารบนมือถือ)
• ข้อกำหนดสำหรับขั้นตอนการพัฒนาและการจำหน่ายซอฟต์แวร์พิเศษที่มีไว้สำหรับลูกค้าเมื่อโอนเงิน
• สิ่งที่น่ายินดีอย่างยิ่งคือการขยายข้อกำหนดเพื่อเพิ่มการรับรู้ของลูกค้าเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นจากการเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาต และมาตรการที่แนะนำเพื่อลดความเสี่ยงเหล่านั้น
• ข้อกำหนดสำหรับความจำเป็นในการจำแนกตู้เอทีเอ็มและเครื่องชำระเงินซึ่งต้องคำนึงถึงผลลัพธ์เมื่อเลือกมาตรการป้องกัน
• ขั้นตอนในการระงับการชำระเงินโดยผู้ดำเนินการโอนเงินหากตรวจพบสัญญาณของการฉ้อโกง
• มีขั้นตอนการป้องกันภัยคุกคามความปลอดภัยสมัยใหม่ เช่น การข้ามผ่าน (โดยใช้เครื่องมือพิเศษที่ป้องกันการอ่านแทร็กบัตรชำระเงินโดยไม่ได้รับอนุญาต การป้องกันบริการบนอินเทอร์เน็ตจากการโจมตีภายนอก (การโจมตี DoS) การป้องกันจากฟิชชิ่ง (จากการปลอมแปลงเท็จ) แหล่งข้อมูลทางอินเทอร์เน็ต)
• ข้อกำหนดสำหรับการใช้บัตรชำระเงินที่ติดตั้งไมโครโปรเซสเซอร์ตั้งแต่ปี 2558 และการห้ามการออกบัตรที่ไม่ได้ติดตั้งไมโครโปรเซสเซอร์หลังจากวันที่ 1 มกราคม 2558
• 29 ตัวชี้วัดการประเมินใหม่

ความปลอดภัยของข้อมูลของระบบการชำระเงิน

สถานการณ์ที่คล้ายกันเกิดขึ้นกับการใช้บัตรพลาสติก ในชุมชนทั่วโลก มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ซึ่งได้รับการพัฒนาโดยสภา PCI SSC ถือเป็นมาตรฐานความปลอดภัยที่ได้รับการยอมรับ รวมถึงบัตรแบรนด์ต่างๆ เช่น Visa, MasterCard, American Express, JCB และ Discovery

มาตรฐาน PCI DSS อธิบายข้อกำหนดสำหรับการปกป้องข้อมูลผู้ถือบัตร โดยแบ่งออกเป็นสิบสองหัวข้อ จุดเน้นหลักในมาตรฐาน PCI DSS คือการรับรองความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายและการปกป้องข้อมูลที่เก็บไว้เกี่ยวกับผู้ถือบัตรชำระเงิน ซึ่งเป็นสถานที่ที่มีความเสี่ยงมากที่สุดในแง่ของภัยคุกคามความเป็นส่วนตัว ควรสังเกตว่ามาตรฐานนี้ควบคุมกฎสำหรับการพัฒนาที่ปลอดภัย การสนับสนุน และการทำงานของระบบการชำระเงิน รวมถึงขั้นตอนในการติดตาม มาตรฐานกำหนดบทบาทที่สำคัญเท่าเทียมกันในการพัฒนาและสนับสนุนฐานเอกสารกำกับดูแลสำหรับระบบการจัดการความปลอดภัยของข้อมูล

ระบบการชำระเงินระหว่างประเทศบังคับให้องค์กรที่อยู่ภายใต้ข้อกำหนดของมาตรฐานต้องได้รับการตรวจสอบการปฏิบัติตามข้อกำหนดเหล่านี้เป็นประจำซึ่งอาจส่งผลกระทบต่อ NSPK ไม่ช้าก็เร็ว อย่างไรก็ตามการรับรองของธนาคารรัสเซียตามมาตรฐาน PCI DSS ต่างประเทศค่อนข้างช้าและในปัจจุบันไม่มีอะนาล็อกในประเทศ

อย่างไรก็ตาม ด้วยการปฏิบัติตามข้อกำหนดของ P-382 และ STO BR IBBS-2014 ฉบับล่าสุด คุณสามารถเตรียมความพร้อมสำหรับการรับรอง PCI DSS ได้เป็นส่วนใหญ่ เนื่องจากข้อกำหนดหลายข้อทับซ้อนกับข้อกำหนดจากเอกสารภายในประเทศ: ความปลอดภัยในการป้องกันไวรัส การเข้ารหัส การกรองโดยใช้ไฟร์วอลล์ การเข้าถึงการแยกส่วน การติดตามเซสชันการสื่อสาร ตลอดจนการตรวจสอบ การตรวจสอบ และการจัดการระบบรักษาความปลอดภัยข้อมูล (ดูรูปที่ 5)

รูปที่ 5 การเปรียบเทียบหมวดหมู่ของข้อมูลที่ได้รับการคุ้มครองตามมาตรฐานต่างๆ (อ้างอิงจาก Ural Center for Security Systems, www.usssc.ru, 2014)

แตกต่างจากมาตรฐานต่างประเทศทั้งหมด Russian 382-P มีวัตถุประสงค์เพื่อกระตุ้นนักพัฒนาในประเทศและผู้ผลิตเครื่องมือรักษาความปลอดภัยข้อมูล (ISIS) ตัวอย่างเช่น โดยกำหนดให้อาสาสมัคร NPS รับรองว่าใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ไม่เข้ารหัสลับจากการเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงผู้ที่ ได้ผ่านขั้นตอนการประเมินความสอดคล้องตามขั้นตอนที่กำหนด ขณะเดียวกันก็อนุญาตให้ใช้การตัดสินใจของต่างประเทศได้อย่างชัดเจน

นอกจากนี้ ธนาคารแห่งรัสเซียกำลังเสริมสร้างการควบคุมการปฏิบัติตามกฎเกณฑ์ที่กำหนดไว้ ในเอกสารคำสั่งหมายเลข 2831-U ลงวันที่ 06/09/2555 “การรายงานความปลอดภัยของข้อมูลในระบบการชำระเงิน…” ระบุอย่างชัดเจนในรูปแบบและความถี่ที่หน่วยงานระบบการชำระเงินต้องรายงานเกี่ยวกับสถานะของความปลอดภัยของข้อมูลใน ระบบการชำระเงิน

แม้จะได้รับความนิยมและมีการใช้ PCI DSS อย่างแพร่หลาย แต่ก็มีมาตรฐานความปลอดภัยสากลอื่น ๆ สำหรับระบบเคสซึ่งฉันอยากจะพูดถึงเล็กน้อย หนึ่งในนั้นคือมาตรฐาน PCI PA-DSS (มาตรฐานความปลอดภัยของข้อมูลแอปพลิเคชันการชำระเงินสำหรับอุตสาหกรรมบัตรชำระเงิน) ซึ่งกำหนดข้อกำหนดสำหรับแอปพลิเคชันที่ประมวลผลข้อมูลผู้ถือบัตรและกระบวนการพัฒนา และประการที่สอง มาตรฐานความปลอดภัยในการทำธุรกรรม PIN ของอุตสาหกรรมบัตรชำระเงิน (PCI PTS) ซึ่งเดิมเรียกว่า PCI PED เกี่ยวข้องกับผู้ผลิตที่กำหนดและใช้พารามิเตอร์ทางเทคนิคและระบบการจัดการสำหรับอุปกรณ์ที่รองรับการโทรด้วยรหัส PIN และใช้เพื่อทำธุรกรรมผ่านบัตรชำระเงิน

ข้อสรุป

STO BR IBBS เป็นเหตุการณ์สำคัญที่สำคัญมากในเส้นทางวิวัฒนาการของการพัฒนาระบบรักษาความปลอดภัยข้อมูลภายในประเทศ นี่เป็นหนึ่งในมาตรฐานอุตสาหกรรมแรกที่ปรับให้เข้ากับความเป็นจริงของรัสเซีย แน่นอนว่านี่ไม่ใช่ยาครอบจักรวาลสำหรับความเจ็บป่วยทั้งหมด ยังคงมีปัญหามากมายที่ผู้เชี่ยวชาญกำลังดิ้นรน แต่นี่เป็นประสบการณ์ครั้งแรกและประสบความสำเร็จอย่างมากที่ทำให้เราใกล้ชิดกับมาตรฐานการปฏิบัติที่ดีที่สุดของต่างประเทศมากขึ้น

การปฏิบัติตามข้อกำหนดของมาตรฐาน ธนาคารหลายแห่งกำลังเตรียมตัวสำหรับการรับรองความปลอดภัยระบบการชำระเงิน PCI DSS ในระดับสากล รับประกันการปกป้องข้อมูลส่วนบุคคลตามข้อกำหนดด้านกฎระเบียบล่าสุด การตรวจสอบภายในประจำปีช่วยให้เราสามารถตรวจสอบความปลอดภัยของธนาคารได้อย่างเป็นกลางจากความเสี่ยงที่สำคัญและภัยคุกคามด้านความปลอดภัยของข้อมูล และช่วยให้ผู้จัดการสามารถวางแผนการก่อสร้างและการจัดการระบบรักษาความปลอดภัยที่ครอบคลุมได้อย่างมีประสิทธิภาพมากขึ้น

เราหวังว่าข้อบกพร่องที่มีอยู่และข้อผิดพลาดที่ชัดเจนจะได้รับการแก้ไขในฉบับถัดไป ซึ่งใกล้จะเปิดตัวเร็วๆ นี้แล้ว ในฤดูใบไม้ผลิปี 2558 P-382 ที่อัปเดตกำลังรอเราอยู่และอาจตามมาด้วยการเปลี่ยนแปลงในระบบขีปนาวุธ IBBS สำหรับตอนนี้ เราพอใจกับการเปิดตัว “มาตรฐานธุรกรรมทางการเงิน” TK 122 ในเดือนตุลาคม และอย่าลืมว่าไม่ว่าหน่วยงานระดับสูงจะพยายามอย่างดีเพียงใด ความปลอดภัยของเราก็ยังอยู่ในมือของเราเท่านั้น!

19 มิถุนายน 2556

เจ้าหน้าที่รักษาความปลอดภัยจำเป็นต้องรู้หรือไม่?

สำหรับธนาคาร ในส่วนที่เกี่ยวข้องกับสินทรัพย์ข้อมูล การคุ้มครองข้อมูลสามารถแบ่งออกได้ตามวิธีการป้องกัน: กฎหมาย องค์กร และทางเทคนิค

แต่ละรัฐมีส่วนร่วมในการสร้างพื้นฐานทางกฎหมาย (กฎหมาย) ในด้านการรักษาความปลอดภัยข้อมูล โดยพยายามปกป้องทรัพยากรและเทคโนโลยีข้อมูลของตน และรัสเซียก็ไม่มีข้อยกเว้นที่นี่ กรอบกฎหมายด้านกฎระเบียบสำหรับความปลอดภัยของข้อมูลประกอบด้วย:

• รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย (ต่อไปนี้จะเรียกว่า RF);
• รหัสของสหพันธรัฐรัสเซีย
• สนธิสัญญาและข้อตกลงระหว่างประเทศ
• กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซีย
• คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย;
• คำสั่งของรัฐบาลสหพันธรัฐรัสเซีย;
• มาตรฐานและกฎระเบียบทางเทคนิค
• เอกสารแนะนำและเอกสารเชิงบรรทัดฐานและระเบียบวิธีอื่น ๆ ของหน่วยงานราชการที่ได้รับอนุญาต

รายการโดยละเอียดของกฎหมายปัจจุบันเกี่ยวกับความปลอดภัยของข้อมูล (โดยไม่คำนึงถึงการคุ้มครองความลับของรัฐ) สำหรับธนาคาร จะมีลักษณะเช่นนี้:

1. รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย

1. ลำดับที่ 63-FZ ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียลงวันที่ 13 มิถุนายน 2539 (เกี่ยวกับความรับผิดในการเข้าถึงข้อมูลที่ผิดกฎหมาย ความเสียหาย การละเมิดลิขสิทธิ์และสิทธิ์ที่เกี่ยวข้อง การละเมิดความลับของการติดต่อทางจดหมายและการสนทนาทางโทรศัพท์ การรับและการเปิดเผยอย่างผิดกฎหมาย ข้อมูลที่ก่อให้เกิดความลับทางการค้า ภาษีหรือธนาคาร การละเมิดความเป็นส่วนตัว)
2. ลำดับที่ 174-FZ ประมวลกฎหมายวิธีพิจารณาความอาญาของสหพันธรัฐรัสเซีย ลงวันที่ 18 ธันวาคม 2544 (เกี่ยวกับความปลอดภัยของข้อมูลและการปกป้องข้อมูลที่เป็นความลับ)
3. เลขที่ 197-FZ ประมวลกฎหมายแรงงานของสหพันธรัฐรัสเซียลงวันที่ 30 ธันวาคม 2544 (เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน)
4. ประมวลกฎหมายความผิดทางปกครองหมายเลข 195-FZ ของสหพันธรัฐรัสเซีย ลงวันที่ 30 ธันวาคม 2544 (เกี่ยวกับการคุ้มครองข้อมูลและทรัพย์สินทางปัญญา)

3. สนธิสัญญาและข้อตกลงระหว่างประเทศ:

• Basel II และ Basel III (ในแง่ของความปลอดภัยของข้อมูล)

4. กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซีย:

1. เลขที่ 98-FZ “เกี่ยวกับความลับทางการค้า” ลงวันที่ 29 กรกฎาคม 2547
2. หมายเลข 149-FZ “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล” ลงวันที่ 27 กรกฎาคม 2549
3. หมายเลข 152-FZ “เกี่ยวกับข้อมูลส่วนบุคคล” ลงวันที่ 27 กรกฎาคม 2549
4. ฉบับที่ 395-1 “เรื่องธนาคารและกิจกรรมการธนาคาร” ลงวันที่ 2 ธันวาคม 2533
5. เลขที่ 63-FZ “บนลายเซ็นอิเล็กทรอนิกส์” ลงวันที่ 04/06/2011
6. ฉบับที่ 99-FZ “เกี่ยวกับการอนุญาตกิจกรรมบางประเภท” ลงวันที่ 4 พฤษภาคม 2554
7. เลขที่ 184-FZ “เกี่ยวกับกฎระเบียบทางเทคนิค” ลงวันที่ 27 ธันวาคม 2545
8. ฉบับที่ 161-FZ “ในระบบการชำระเงินแห่งชาติ” ลงวันที่ 27 มิถุนายน 2554

5. กลยุทธ์และหลักคำสอน:

1. เลขที่ Pr-212 “ยุทธศาสตร์การพัฒนาสังคมสารสนเทศในสหพันธรัฐรัสเซีย” ลงวันที่ 02/07/2551
2. เลขที่ Pr-1895 “หลักคำสอนด้านความปลอดภัยของข้อมูล” ลงวันที่ 09.09.2000

6. คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย:

1. ฉบับที่ 334 “เกี่ยวกับมาตรการเพื่อให้สอดคล้องกับกฎหมายในด้านการพัฒนา การผลิต การขาย และการทำงานของเครื่องมือเข้ารหัส ตลอดจนการให้บริการในด้านการเข้ารหัสข้อมูล” ลงวันที่ 04/03/1995
2. ลำดับที่ 21 “มาตรการเพื่อปรับปรุงการพัฒนา การผลิต การขาย การซื้อกิจการเพื่อวัตถุประสงค์ในการขาย การนำเข้าในสหพันธรัฐรัสเซีย และการส่งออกนอกขอบเขต รวมถึงการใช้วิธีการทางเทคนิคพิเศษที่มีจุดประสงค์เพื่อรับข้อมูลอย่างลับๆ” ลงวันที่ 01 /09/1996.
3. ลำดับที่ 188 “เมื่อได้รับอนุมัติรายการข้อมูลที่เป็นความลับ” ลงวันที่ 03/06/2540

7. กฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย:

1. หมายเลข 687 “ในการอนุมัติกฎระเบียบเฉพาะของการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยไม่ต้องใช้เครื่องมืออัตโนมัติ” ลงวันที่ 15 กันยายน 2551
2. ฉบับที่ 584 “เมื่อได้รับอนุมัติหลักเกณฑ์การคุ้มครองข้อมูลในระบบการชำระเงิน” ลงวันที่ 13 มิถุนายน พ.ศ.2555
3. หมายเลข 1119 “ในการอนุมัติข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล” ลงวันที่ 1 พฤศจิกายน 2555
4. ลำดับที่ 171 “กิจกรรมการออกใบอนุญาตเพื่อการพัฒนาและการผลิตวิธีการปกป้องข้อมูลที่เป็นความลับ” ลงวันที่ 03.03.2555
5. ลำดับที่ 79 “กิจกรรมการออกใบอนุญาตเพื่อการคุ้มครองทางเทคนิคของข้อมูลที่เป็นความลับ” ลงวันที่ 02/03/2555
6. ลำดับที่ 313 “ในการอนุมัติกฎระเบียบเกี่ยวกับกิจกรรมการออกใบอนุญาตสำหรับการพัฒนา การผลิต การจำหน่ายเครื่องมือการเข้ารหัส (การเข้ารหัส) ระบบข้อมูลที่ป้องกันโดยใช้เครื่องมือการเข้ารหัส (การเข้ารหัส) ประสิทธิภาพการทำงาน การให้บริการในด้านการเข้ารหัสข้อมูล การบำรุงรักษาทางเทคนิคของเครื่องมือเข้ารหัส (การเข้ารหัส) ระบบข้อมูล และระบบโทรคมนาคมที่ได้รับการป้องกันโดยใช้วิธีการเข้ารหัส (การเข้ารหัส) (ยกเว้นกรณีที่การบำรุงรักษาวิธีการเข้ารหัส (การเข้ารหัส) ระบบข้อมูลและระบบโทรคมนาคมที่ได้รับการป้องกันโดยใช้วิธีการเข้ารหัส (การเข้ารหัส) คือ ดำเนินการเพื่อให้มั่นใจว่านิติบุคคลเป็นความต้องการของบุคคลหรือผู้ประกอบการรายบุคคล)" ลงวันที่ 16 เมษายน พ.ศ. 2555
7. หมายเลข 214 “ในการอนุมัติกฎระเบียบเกี่ยวกับการนำเข้าและส่งออกจากสหพันธรัฐรัสเซียเกี่ยวกับวิธีการทางเทคนิคพิเศษที่มีวัตถุประสงค์เพื่อรับข้อมูลอย่างลับๆ การนำเข้าและส่งออกซึ่งต้องได้รับใบอนุญาต” ลงวันที่ 10 มีนาคม 2543
8. หมายเลข 512 “ในการอนุมัติข้อกำหนดสำหรับสื่อวัสดุของข้อมูลส่วนบุคคลไบโอเมตริกซ์และเทคโนโลยีสำหรับการจัดเก็บข้อมูลดังกล่าวนอกระบบข้อมูลส่วนบุคคล” ลงวันที่ 07/06/2008

8. มาตรฐานสากล ประเทศอังกฤษ และมาตรฐานระบบการชำระเงิน:

1. PCI DSS 2.0 มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน ข้อกำหนดและขั้นตอนการตรวจสอบความปลอดภัย เวอร์ชัน 2.0
2. พีเอดีเอสเอส 2.0. ข้อกำหนดและขั้นตอนการประเมินความปลอดภัย
3. ISO/IEC 27001:2005 - "เทคโนโลยีสารสนเทศ - เทคนิคความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด"
4. ISO/IEC 27005:2011 - "เทคโนโลยีสารสนเทศ - เทคนิคความปลอดภัย - ระบบการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล"
5. ISO/IEC 17799:2005 - "เทคโนโลยีสารสนเทศ - เทคโนโลยีความปลอดภัย - แนวทางปฏิบัติในการจัดการความปลอดภัยของข้อมูล"
6. BS 7799-1:2005 - British Standard BS 7799 ส่วนที่หนึ่ง กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล
7. BS 7799-2:2005 - มาตรฐานอังกฤษ BS 7799 เป็นส่วนที่สองของมาตรฐาน ข้อกำหนดระบบการจัดการความปลอดภัยของข้อมูล
8. BS 7799-3:2006 - British Standard BS 7799 ส่วนที่สามของมาตรฐาน คู่มือการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล
9. BS 25999-1:2006 การจัดการความต่อเนื่องทางธุรกิจ
10. CobiT 5.0 (วัตถุประสงค์การควบคุมข้อมูลและเทคโนโลยีที่เกี่ยวข้อง)

9. มาตรฐานและข้อบังคับทางเทคนิค

1. GOST R 28147-89 “ระบบประมวลผลข้อมูล การป้องกันการเข้ารหัส อัลกอริธึมการแปลงการเข้ารหัส”
2. GOST R 34.11-2012 “เทคโนโลยีสารสนเทศ การปกป้องข้อมูลการเข้ารหัส ฟังก์ชั่นแฮช”
3. GOST R 34.10-2012 “เทคโนโลยีสารสนเทศ การปกป้องข้อมูลการเข้ารหัส กระบวนการสร้างและตรวจสอบลายเซ็นอิเล็กทรอนิกส์”
4. GOST 19.781-90 ซอฟต์แวร์สำหรับระบบประมวลผลข้อมูล ข้อกำหนดและคำจำกัดความ
5. GOST 34.003-90 เทคโนโลยีสารสนเทศ ชุดมาตรฐานสำหรับระบบอัตโนมัติ ระบบอัตโนมัติ ข้อกำหนดและคำจำกัดความ
6. GOST 34.201-89 เทคโนโลยีสารสนเทศ ชุดมาตรฐานสำหรับระบบอัตโนมัติ ประเภท ความสมบูรณ์ และการกำหนดเอกสารเมื่อสร้างระบบอัตโนมัติ
7. GOST 34.601-90 เทคโนโลยีสารสนเทศ ชุดมาตรฐานสำหรับระบบอัตโนมัติ ระบบอัตโนมัติ ขั้นตอนของการสร้างสรรค์
8. GOST 34.602-89 เทคโนโลยีสารสนเทศ ชุดมาตรฐานสำหรับระบบอัตโนมัติ เงื่อนไขการอ้างอิงสำหรับการสร้างระบบอัตโนมัติ
9. GOST 34.603-92 เทคโนโลยีสารสนเทศ ประเภทของการทดสอบระบบอัตโนมัติ
10. GOST 21552-84 สิ่งอำนวยความสะดวกด้านคอมพิวเตอร์ ข้อกำหนดทางเทคนิคทั่วไป การยอมรับ วิธีทดสอบ การติดฉลาก การบรรจุ การขนส่ง และการเก็บรักษา
11. GOST 22505-97 ความเข้ากันได้ทางแม่เหล็กไฟฟ้าของอุปกรณ์ทางเทคนิค การรบกวนทางวิทยุทางอุตสาหกรรมจากเครื่องรับกระจายเสียงวิทยุ โทรทัศน์ และอุปกรณ์วิทยุอิเล็กทรอนิกส์ในครัวเรือนอื่นๆ มาตรฐานและวิธีการทดสอบ
12. GOST 27201-87 คอมพิวเตอร์ส่วนบุคคลอิเล็กทรอนิกส์ ประเภท พารามิเตอร์หลัก ข้อกำหนดทางเทคนิคทั่วไป
13. GOST 28195-89 การประเมินคุณภาพของซอฟต์แวร์ บทบัญญัติทั่วไป
14. GOST 28388-89 ระบบประมวลผลข้อมูล เอกสารบนสื่อบันทึกแม่เหล็ก ลำดับการดำเนินการและการจัดการ
15. GOST 28806-90 คุณภาพของซอฟต์แวร์ ข้อกำหนดและคำจำกัดความ
16. GOST 29216-91 ความเข้ากันได้ทางแม่เหล็กไฟฟ้าของอุปกรณ์ทางเทคนิค การรบกวนทางวิทยุอุตสาหกรรมจากอุปกรณ์เทคโนโลยีสารสนเทศ มาตรฐานและวิธีการทดสอบ
17. GOST 30373-95/GOST R 50414-92 ความเข้ากันได้ทางแม่เหล็กไฟฟ้าของอุปกรณ์ทางเทคนิค อุปกรณ์ทดสอบ. กล้องมีการป้องกัน คลาส พารามิเตอร์หลัก ข้อกำหนดทางเทคนิค และวิธีการทดสอบ
18. GOST ISO/IEC 15408-1-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 1 บทนำและแบบทั่วไป
19. GOST ISO/IEC 15408-2-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 2 ข้อกำหนดด้านความปลอดภัยในการใช้งาน
20. GOST ISO/IEC 15408-3-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 3 ข้อกำหนดการประกันความปลอดภัย
21. GOST อาร์ 50739-95 สิ่งอำนวยความสะดวกด้านคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ข้อกำหนดทางเทคนิคทั่วไป
22. GOST R 50922-2006 การป้องกันข้อมูล. ข้อกำหนดและคำจำกัดความพื้นฐาน
23. GOST อาร์ 50923-96 จอแสดงผล สถานที่ทำงานของผู้ปฏิบัติงาน ข้อกำหนดทั่วไปตามหลักสรีรศาสตร์และสภาพแวดล้อมการทำงาน วิธีการวัด
24. GOST R 50948-2001 หมายถึงการแสดงข้อมูลเพื่อการใช้งานส่วนบุคคล ข้อกำหนดตามหลักสรีรศาสตร์และความปลอดภัยทั่วไป
25. GOST อาร์ 51188-98 การป้องกันข้อมูล. ซอฟต์แวร์ทดสอบไวรัสคอมพิวเตอร์ คู่มือรุ่น
26. GOST R 51275-2006 การป้องกันข้อมูล. วัตถุข้อมูล ปัจจัยที่มีอิทธิพลต่อข้อมูล บทบัญญัติทั่วไป
27. GOST อาร์ 51319-99 ความเข้ากันได้ทางแม่เหล็กไฟฟ้าของอุปกรณ์ทางเทคนิค เครื่องมือสำหรับวัดการรบกวนทางวิทยุทางอุตสาหกรรม ข้อกำหนดทางเทคนิคและวิธีการทดสอบ
28. GOST อาร์ 51320-99 ความเข้ากันได้ทางแม่เหล็กไฟฟ้าของอุปกรณ์ทางเทคนิค การรบกวนทางวิทยุอุตสาหกรรม วิธีทดสอบอุปกรณ์ทางเทคนิค - แหล่งกำเนิดสัญญาณรบกวนวิทยุอุตสาหกรรม
29. GOST R 51583-2000 การป้องกันข้อมูล. ขั้นตอนการสร้างระบบอัตโนมัติในการออกแบบที่ปลอดภัย บทบัญญัติทั่วไป
30. GOST R 51624-2000 การป้องกันข้อมูล. ระบบอัตโนมัติในการออกแบบที่ได้รับการป้องกัน ข้อกำหนดทั่วไป
31. GOST R ISO/IEC 12207-2010 เทคโนโลยีสารสนเทศ วิศวกรรมระบบและซอฟต์แวร์ กระบวนการวงจรชีวิตของซอฟต์แวร์
32. GOST R ISO/IEC 9126-93 เทคโนโลยีสารสนเทศ การประเมินผลิตภัณฑ์ซอฟต์แวร์ ลักษณะคุณภาพและแนวทางการใช้งาน
33. GOST R ISO/IEC ถึง 9294-93 เทคโนโลยีสารสนเทศ คู่มือการจัดการเอกสารซอฟต์แวร์
34. มิชิแกน 1317-2004 คำแนะนำ. ระบบของรัฐเพื่อรับรองความสม่ำเสมอของการวัด ผลลัพธ์และลักษณะของข้อผิดพลาดในการวัด รูปแบบการนำเสนอ. วิธีการใช้งานเมื่อทดสอบตัวอย่างผลิตภัณฑ์และติดตามพารามิเตอร์
35. มิชิแกน 2377-98 คำแนะนำ. ระบบของรัฐเพื่อรับรองความสม่ำเสมอของการวัด การพัฒนาและรับรองเทคนิคการวัด
36. อาร์ 50-34.119-90. ข้อแนะนำ. เทคโนโลยีสารสนเทศ ชุดมาตรฐานและแนวปฏิบัติสำหรับระบบอัตโนมัติ สถาปัตยกรรมเครือข่ายคอมพิวเตอร์เฉพาะที่ในระบบอัตโนมัติทางอุตสาหกรรม บทบัญญัติทั่วไป
37. ถ.50-682-89. คำแนะนำที่เป็นระบบ เทคโนโลยีสารสนเทศ ชุดมาตรฐานและแนวปฏิบัติสำหรับระบบอัตโนมัติ บทบัญญัติพื้นฐาน
38. ถ.50-34.698-90. คำแนะนำที่เป็นระบบ เทคโนโลยีสารสนเทศ ชุดมาตรฐานและแนวปฏิบัติสำหรับระบบอัตโนมัติ ข้อกำหนดสำหรับเนื้อหาของเอกสาร
39. ถ.50-680-88. คำแนะนำที่เป็นระบบ ระบบอัตโนมัติ บทบัญญัติพื้นฐาน
40. SanPiN 2.2.2.542-96 ข้อกำหนดด้านสุขอนามัยสำหรับเทอร์มินัลจอแสดงผลวิดีโอ คอมพิวเตอร์อิเล็กทรอนิกส์ส่วนบุคคล และการจัดระบบการทำงาน
41. สนิป 23-03-2546. ป้องกันเสียงรบกวน
42. GOST 29099-91 เครือข่ายคอมพิวเตอร์ท้องถิ่น ข้อกำหนดและคำจำกัดความ
43. GOST R 50.1.053-2005 เทคโนโลยีสารสนเทศ. ข้อกำหนดและคำจำกัดความพื้นฐานในด้านความปลอดภัยของข้อมูลทางเทคนิค
44. GOST ร 51241-2008 เครื่องมือและระบบการควบคุมการเข้าถึงและการจัดการ การจัดหมวดหมู่. ข้อกำหนดทางเทคนิคทั่วไป วิธีการทดสอบ
45. GOST R 52069-2003 การป้องกันข้อมูล. ระบบมาตรฐาน. บทบัญญัติพื้นฐาน
46. GOST R 52447-2005 การป้องกันข้อมูล. เทคโนโลยีการรักษาความปลอดภัยของข้อมูล ศัพท์เฉพาะของตัวบ่งชี้คุณภาพ
47. GOST R 52448-2005 การป้องกันข้อมูล. สร้างความมั่นใจในความปลอดภัยของเครือข่ายโทรคมนาคม บทบัญญัติทั่วไป
48. GOST R 52633-2006 การป้องกันข้อมูล. เทคโนโลยีการรักษาความปลอดภัยของข้อมูล ข้อกำหนดสำหรับเครื่องมือตรวจสอบความถูกต้องทางชีวภาพที่มีความน่าเชื่อถือสูง
49. GOST R ISO 7498-1-99 เทคโนโลยีสารสนเทศ การเชื่อมต่อโครงข่ายของระบบเปิด โมเดลอ้างอิงพื้นฐาน ส่วนที่ 1 โมเดลพื้นฐาน
50. GOST R ISO 7498-2-99 เทคโนโลยีสารสนเทศ การเชื่อมต่อโครงข่ายของระบบเปิด โมเดลอ้างอิงพื้นฐาน ส่วนที่ 2 สถาปัตยกรรมความปลอดภัยของข้อมูล
51. GOST R ISO/IEC 13335-1-2006 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ส่วนที่ 1 แนวคิดและรูปแบบการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและโทรคมนาคม
52. GOST R ISO/IEC ถึง 13335.3-2007 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ส่วนที่ 3 วิธีการจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ
53. GOST R ISO/IEC 27004-2011 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย การจัดการความปลอดภัยของข้อมูล การวัด
54. GOST R ISO/IEC 18028-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย การรักษาความปลอดภัยของเครือข่ายเทคโนโลยีสารสนเทศ การจัดการความปลอดภัยเครือข่าย
55. GOST R ISO/IEC ถึง 18044-2007 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย การจัดการเหตุการณ์ความปลอดภัยของข้อมูล
56. GOST R ISO/IEC 19791-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย การประเมินความปลอดภัยของระบบอัตโนมัติ
57. GOST R ISO/IEC 27033-1-2011 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ความปลอดภัยของเครือข่าย ส่วนที่ 1: ภาพรวมและแนวคิด
58. ข้อเสนอแนะสำหรับการรับรอง “ การควบคุมการตรวจสอบกิจกรรมในระบบการรับรอง GOST R ของหน่วยรับรองที่ได้รับการรับรอง” R 50.4.002-2000
59. ข้อเสนอแนะสำหรับการรับรอง “สำหรับกิจกรรมในระบบการรับรอง GOST R ของห้องปฏิบัติการทดสอบที่ได้รับการรับรอง” R 50.4.003-2000
60. ข้อกำหนดด้านสุขอนามัยสำหรับคอมพิวเตอร์อิเล็กทรอนิกส์ส่วนบุคคลและองค์กรที่ทำงาน กฎและข้อบังคับด้านสุขอนามัยและระบาดวิทยา SanPiN 2.2.2./2.4.1340-03
61. บรรทัดฐานและกฎการก่อสร้างของสหพันธรัฐรัสเซีย ป้องกันเสียงรบกวน สนิป 23-03-2546.
62. ระบบของรัฐเพื่อรับรองความสม่ำเสมอของการวัด ผลลัพธ์และคุณลักษณะคุณภาพของการวัด PMG 96-2009.

10. เอกสารของธนาคารแห่งรัสเซีย:

1. ระเบียบหมายเลข 382-P “ ในข้อกำหนดในการสร้างความมั่นใจในการปกป้องข้อมูลเมื่อทำการโอนเงินและขั้นตอนสำหรับธนาคารแห่งรัสเซียในการตรวจสอบการปฏิบัติตามข้อกำหนดเพื่อสร้างความมั่นใจในการปกป้องข้อมูลเมื่อทำการโอนเงิน” ลงวันที่ 06/09 /2012.
2. ระเบียบที่ 383-P “ว่าด้วยหลักเกณฑ์การโอนเงิน” ลงวันที่ 19 มิถุนายน 2555
3. ข้อบังคับหมายเลข 379-P “เกี่ยวกับการทำงานของระบบการชำระเงินและการวิเคราะห์ความเสี่ยงในระบบการชำระเงินอย่างต่อเนื่อง” ลงวันที่ 31 พฤษภาคม 2555
4. จดหมายแนะนำตัวชุดเอกสาร (จดหมายหก) ลงวันที่ 28 มิถุนายน พ.ศ. 2553
5. STO BR IBBS-1.0-2010 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย บทบัญญัติทั่วไป"
6. STO BR IBBS-1.1-2007 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย การตรวจสอบความปลอดภัยของข้อมูล"
7. STO BR IBBS-1.2-2010 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย ระเบียบวิธีในการประเมินการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1.0-20xx”
8. RS BR IBBS-2.0-2007 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย แนวทางการจัดทำเอกสารในด้านการรักษาความปลอดภัยข้อมูลตามข้อกำหนดของ STO BR IBBS-1.0”
9. RS BR IBBS-2.1-2007 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย แนวทางการประเมินตนเองในการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1.0”
10. RS BR IBBS-2.2-2009 “ การรับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย ระเบียบวิธีในการประเมินความเสี่ยงของการละเมิดความปลอดภัยของข้อมูล”
11. RS BR IBBS-2.3-2010 “ รับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย ข้อกำหนดสำหรับการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระบบข้อมูลข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย"
12. RS BR IBBS-2.4-2010 “ รับรองความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซีย รูปแบบภัยคุกคามเฉพาะอุตสาหกรรมต่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย”

11. เอกสาร ARB:

1. คำแนะนำด้านระเบียบวิธีเพื่อให้เป็นไปตามข้อกำหนดทางกฎหมายเมื่อประมวลผลข้อมูลส่วนบุคคลในองค์กรของระบบธนาคารของสหพันธรัฐรัสเซียตั้งแต่ปี 2010
2. มาตรฐาน “ระบบการจัดการความต่อเนื่องของกิจกรรมของสถาบันสินเชื่อของระบบธนาคารของสหพันธรัฐรัสเซีย” เวอร์ชัน 7.4 ลงวันที่ 04/02/2555

12. เอกสารของกระทรวงโทรคมนาคมและสื่อสารมวลชนแห่งสหพันธรัฐรัสเซีย:

1. ลำดับที่ 320 คำสั่งกระทรวงโทรคมนาคมและสื่อสารมวลชนของรัสเซีย "เรื่องการรับรองศูนย์รับรอง" ลงวันที่ 23 พฤศจิกายน 2554

13. เอกสารของ FSTEC แห่งรัสเซีย:

1. ลำดับที่ 21 คำสั่ง “ ในการอนุมัติองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล” ลงวันที่ 18/02/2556
2. รูปแบบพื้นฐานของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล อนุมัติโดย FSTEC ของรัสเซียเมื่อวันที่ 15 กุมภาพันธ์ 2551
3. ระเบียบวิธีในการระบุภัยคุกคามปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล อนุมัติโดย FSTEC ของรัสเซียเมื่อวันที่ 14 กุมภาพันธ์ 2551
4. ลำดับที่ 55/86/20 คำสั่งของ Federal Service for Technical and Export Control, Federal Security Service ของสหพันธรัฐรัสเซีย, กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารของสหพันธรัฐรัสเซีย “ในการอนุมัติขั้นตอนการจำแนกระบบข้อมูลข้อมูลส่วนบุคคล ” ลงวันที่ 13/02/2551
5. ลำดับที่ 28 dsp Order “ข้อกำหนดสำหรับวิธีการป้องกันไวรัส” ลงวันที่ 20 มีนาคม 2555
6. ลำดับที่ 27 dsp คำสั่ง "การรวบรวมเอกสารระเบียบวิธีเกี่ยวกับการป้องกันทางเทคนิคของข้อมูลการเข้าถึงที่ จำกัด ซึ่งไม่มีข้อมูลที่เป็นความลับของรัฐในระบบส่งผ่านใยแก้วนำแสง" ลงวันที่ 12 มีนาคม 2555
7. เลขที่ 638 คำสั่ง dsp “ข้อกำหนดสำหรับระบบตรวจจับการบุกรุก” ลงวันที่ 12/06/54
8. “ คำแนะนำด้านระเบียบวิธีสำหรับการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับทางการค้า” ได้รับการอนุมัติโดยรองผู้อำนวยการ FSTEC แห่งรัสเซียเมื่อวันที่ 25 ธันวาคม 2549 dsp.
9. ลำดับที่ 282 dsp เอกสารด้านกฎระเบียบและระเบียบวิธี "ข้อกำหนดพิเศษและคำแนะนำสำหรับการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับ" (STR-K) ได้รับการอนุมัติตามคำสั่งของคณะกรรมการเทคนิคแห่งรัฐของรัสเซีย ลงวันที่ 30 สิงหาคม 2545
10. “การรวบรวมวิธีการชั่วคราวในการประเมินความปลอดภัยของข้อมูลที่เป็นความลับจากการรั่วไหลผ่านช่องทางทางเทคนิค”, คณะกรรมการเทคนิคแห่งรัฐรัสเซีย, 2545. dsp.
11. ฉบับที่ 355 dsp เอกสารแนวทาง “การปกป้องข้อมูล ส่วนประกอบสำหรับอุปกรณ์อิเล็กทรอนิกส์ลดเสียงรบกวน วัสดุป้องกันวิทยุ และวัสดุลดเสียงรบกวน ข้อกำหนดทางเทคนิคทั่วไป" ได้รับการอนุมัติตามคำสั่งของคณะกรรมการเทคนิคแห่งรัฐรัสเซียลงวันที่ 31 สิงหาคม 2544
12. เอกสารแนะนำ “การป้องกันระบบอัตโนมัติจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล” ได้รับการอนุมัติโดยการตัดสินใจของคณะกรรมการเทคนิคแห่งรัฐของรัสเซียลงวันที่ 20 มีนาคม 2535

มหาวิทยาลัยบริการแห่งรัฐโวลก้า

Alshanskaya Tatyana Vladimirovna ผู้สมัครสาขาวิทยาศาสตร์การสอน รองศาสตราจารย์ภาควิชาสารสนเทศประยุกต์สาขาเศรษฐศาสตร์ มหาวิทยาลัยการบริการแห่งรัฐโวลก้า

คำอธิบายประกอบ:

บทความนี้สะท้อนให้เห็นถึงสถานะปัจจุบันของวิธีการรักษาความปลอดภัยข้อมูลในภาคการธนาคารและโอกาสในการพัฒนา บทความนี้เผยให้เห็นถึงภัยคุกคามหลักต่อความปลอดภัยของข้อมูลของธนาคาร โดยมีการกำหนดมาตรการในการปกป้องข้อมูลในธนาคารที่จำเป็นต้องดำเนินการเพื่อสร้างระบบรักษาความปลอดภัยที่มีประสิทธิภาพ

บทความนี้สะท้อนให้เห็นถึงสถานะปัจจุบันของวิธีการปกป้องข้อมูลของภาคการธนาคารและการพัฒนาโอกาส บทความนี้ครอบคลุมถึงภัยคุกคามหลักต่อความปลอดภัยของข้อมูลของธนาคาร นำเสนอมาตรการปกป้องข้อมูลในธนาคารเพื่อดำเนินการเพื่อสร้างระบบการป้องกันที่มีประสิทธิภาพ

คำสำคัญ:

ธนาคาร; ความปลอดภัยของข้อมูล; การป้องกันข้อมูล.

ความปลอดภัยของข้อมูล ความปลอดภัยของข้อมูล

UDC338.14

กิจกรรมของธนาคารใด ๆ ขึ้นอยู่กับความเร็วของการแลกเปลี่ยนข้อมูลภายในและขอบเขตของระบบรักษาความปลอดภัยข้อมูลโดยตรง ผลลัพธ์ของโครงสร้างพื้นฐานด้านการธนาคารที่ยังไม่ได้รับการพัฒนาถือเป็นหายนะ: ธนาคารสามารถสูญเสียไม่เพียงแต่ฐานลูกค้าเท่านั้น แต่ยังรวมถึงความไว้วางใจด้วย การเผชิญหน้ากับปัญหานี้นำไปสู่การก่อตัวของแนวคิดใหม่เกี่ยวกับการรักษาความปลอดภัยข้อมูลซึ่งได้รับการพัฒนาตามเงื่อนไขของสถาบันสินเชื่อ ดังนั้นการศึกษาระบบรักษาความปลอดภัยข้อมูลในภาคธนาคารจึงเป็นงานเร่งด่วน

ตามศิลปะ มาตรา 19 ของกฎหมายของรัฐบาลกลาง“ เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล” ลงวันที่ 27 กรกฎาคม 2549 หมายเลข 149-FZ การปกป้องข้อมูลเป็นการนำมาตรการทางกฎหมายองค์กรและทางเทคนิคมาใช้เพื่อให้มั่นใจว่ามีการปกป้องข้อมูลจากการเข้าถึงการทำลายโดยไม่ได้รับอนุญาต การแก้ไข การบล็อก การคัดลอก การจัดหา การแจกจ่าย ตลอดจนจากการกระทำที่ผิดกฎหมายอื่น ๆ ที่เกี่ยวข้องกับข้อมูลดังกล่าว การรักษาความลับของข้อมูลการเข้าถึงที่จำกัด ตลอดจนการใช้สิทธิ์ในการเข้าถึงข้อมูล

การปกป้องข้อมูลธนาคารรวมถึงการดำเนินมาตรการชุดเดียวตั้งแต่การตรวจสอบความปลอดภัยของข้อมูลไปจนถึงการสร้างแนวคิดสำหรับการปกป้องบริการธนาคารต่างๆ ผู้เชี่ยวชาญในสาขานี้พร้อมที่จะสร้างทั้งโมดูลความปลอดภัยอิสระและแนวคิดระบบปกป้องข้อมูลแบบรวมศูนย์ที่สมบูรณ์

ในกระบวนการใช้งานฟังก์ชั่นหลักของบริการรักษาความปลอดภัยข้อมูลปัญหาเกิดขึ้นซึ่งการแก้ไขทำได้ยาก ในกรณีนี้เป็นไปได้ที่จะใช้วิธีการของทฤษฎีระบบและการวิเคราะห์ระบบโดยมีวัตถุประสงค์เพื่อกระตุ้นสัญชาตญาณและประสบการณ์ของผู้เชี่ยวชาญ

หนึ่งในวิธีในการปกป้องข้อมูลธนาคารคือการควบคุมการผ่านและการลงทะเบียนข้อมูลที่เป็นความลับ ประเด็นที่สำคัญที่สุดของปัญหานี้คือการจัดตั้งทางเลือกที่ปลอดภัยอย่างยิ่งสำหรับการแบ่งปันไฟล์ภายในธนาคาร

เพื่อปกป้องข้อมูลธนาคาร มีการใช้แนวคิดการระบุตัวตนที่แสดงถึงความพร้อมใช้งานของสิทธิ์ในการเข้าถึงข้อมูล เพื่อจุดประสงค์นี้ จะใช้ระบบรหัสผ่านเพื่อเข้าสู่เครือข่ายท้องถิ่นของธนาคาร สามารถเลือกได้โดยผู้ใช้ สร้างโดยระบบ หรือกำหนดโดยผู้จัดการความปลอดภัย นอกจากนี้ยังมีบัตรเข้าใช้พลาสติกพร้อมชิป การใช้อัลกอริธึมพิเศษ ระบบจะเข้ารหัสและป้อนข้อมูลส่วนบุคคลของผู้ใช้เฉพาะราย กุญแจอิเล็กทรอนิกส์จะทำงานเมื่อสัมผัสกับกลไกบนประตูที่ติดตั้งในห้องลับ ในเซิร์ฟเวอร์และพีซีของผู้ใช้

การปกป้องข้อมูลธนาคารจะทำงานได้อย่างน่าเชื่อถือก็ต่อเมื่อระบบตรวจพบภัยคุกคามภายนอกในเวลาที่เหมาะสม ในสภาพแวดล้อมภายนอก ระบบจะแชร์ภัยคุกคามต่อข้อมูลประเภทต่อไปนี้ ตารางที่ 1 1.

ตารางที่ 1. ประเภทของภัยคุกคามต่อข้อมูลในสภาพแวดล้อมภายนอก

	ชื่อภัยคุกคาม	ลักษณะเฉพาะ
	การละเมิดความสมบูรณ์ทางกายภาพ	การทำลายล้างขององค์ประกอบ
	การละเมิดความสมบูรณ์ทางตรรกะ	การทำลายการเชื่อมต่อเชิงตรรกะ
	การปรับเปลี่ยนเนื้อหา	การเปลี่ยนแปลงบล็อกข้อมูล การจัดเก็บข้อมูลเท็จจากภายนอก
	การละเมิดการรักษาความลับ	การทำลายการป้องกันการลดระดับความปลอดภัยของข้อมูล
	การละเมิดสิทธิในทรัพย์สินในข้อมูล	การทำสำเนาโดยไม่ได้รับอนุญาต

การวางแผนระบบการปกป้องข้อมูลสำหรับบริษัทควรช่วยลดผลลัพธ์ที่ไม่พึงประสงค์ที่อาจเกิดขึ้นจากการใช้เทคโนโลยีสารสนเทศและรับรองความสามารถในการบรรลุเป้าหมายหลักและวัตถุประสงค์ของสถาบันสินเชื่อ การสร้างแบบจำลองเมื่อออกแบบหรือปรับปรุงระบบปกป้องข้อมูลในธนาคารให้ทันสมัยเป็นวิธีธรรมชาติในการแก้ปัญหาการวิเคราะห์และการออกแบบด้วยต้นทุนที่ต่ำที่สุดและผลตอบแทนที่สำคัญ ธนาคารใช้รูปแบบการละเมิดความปลอดภัยของข้อมูล ซึ่งรวมถึง:

1. คำอธิบายของผู้ละเมิดความปลอดภัยของข้อมูล
2. การจำแนกประเภทของผู้ละเมิดความปลอดภัยของข้อมูล
3. คำอธิบายของประสบการณ์และความรู้ของผู้ฝ่าฝืน
4. คำอธิบายของทรัพยากรที่มีอยู่ซึ่งจำเป็นต่อการดำเนินการตามภัยคุกคาม
5. คำอธิบายของแรงจูงใจที่เป็นไปได้สำหรับการกระทำของผู้กระทำผิด
6. วิธีการปรับใช้ภัยคุกคามต่อความปลอดภัยของข้อมูลจากผู้ฝ่าฝืนเหล่านี้

ในการสร้างแบบจำลองของผู้บุกรุก ข้อมูลจากบริการรักษาความปลอดภัย หน่วยงานความเสี่ยง และบริการควบคุมภายในของธนาคารจะใช้ข้อมูลจากบริการรักษาความปลอดภัย เกี่ยวกับวิธีการเข้าถึงข้อมูลและการประมวลผลที่มีอยู่ เกี่ยวกับวิธีการที่เป็นไปได้ในการสกัดกั้นข้อมูลในขั้นตอนของการส่ง การประมวลผล และ การจัดเก็บ, เกี่ยวกับสถานการณ์ในทีมและในสถานที่ที่ได้รับการคุ้มครอง, ข้อมูลเกี่ยวกับคู่แข่งและสถานการณ์ตลาด, เกี่ยวกับกรณีของการโจรกรรมข้อมูล ฯลฯ -

นอกจากนี้ ความสามารถทางเทคนิคในการปฏิบัติงานที่แท้จริงของผู้กระทำความผิดได้รับการประเมินเพื่อมีอิทธิพลต่อแนวคิดเรื่องการป้องกันหรือวัตถุที่ได้รับการคุ้มครอง ความสามารถทางเทคนิคถือเป็นรายการวิธีการทางเทคนิคต่างๆ ที่ผู้กระทำผิดอาจมีในการดำเนินการที่มุ่งเป้าไปที่ระบบความปลอดภัยของข้อมูล

โดยสรุปควรสังเกตว่าอนุญาตให้ใช้แบบจำลองอย่างมีประสิทธิภาพได้เฉพาะกับข้อมูลเริ่มต้นคุณภาพสูงที่จำเป็นในการอธิบายแบบจำลองเมื่อแก้ไขปัญหาด้านความปลอดภัยเท่านั้น ข้อเท็จจริงที่สำคัญก็คือแหล่งข้อมูลส่วนใหญ่มีความไม่แน่นอนในระดับสูง ด้วยเหตุนี้ จึงไม่เพียงแต่จำเป็นในการสร้างข้อมูลที่จำเป็นเท่านั้น แต่ยังต้องประเมินและระบุข้อมูลอย่างสม่ำเสมออีกด้วย

บรรณานุกรม:

1. Alshanskaya, T.V. การประยุกต์ใช้วิธีวิเคราะห์ระบบโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล [ข้อความ] / T.V. Alshanskaya ระบบสารสนเทศและเทคโนโลยี: การจัดการและความปลอดภัย: การรวบรวม ศิลปะ. การประชุมทางวิทยาศาสตร์และการปฏิบัติทางจดหมายระหว่างประเทศ III / รัฐโวลก้า มหาวิทยาลัยบริการ. – Togliatti: สำนักพิมพ์ PVGUS, 2014. – 348 หน้า
2. Trofimova, V.V. ระบบสารสนเทศและเทคโนโลยีทางเศรษฐศาสตร์และการจัดการ [ข้อความ] / V.V. โทรฟิโมวา. อ.: Yurayt, 2012. – 521 น.
3. กฎหมายของรัฐบาลกลาง “ข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล” ลงวันที่ 27 กรกฎาคม 2549 หมายเลข 149-FZ