Принцип работы САБУ корпорации "Парус" прост и мало отличается от принципов, заложенных в другие продукты этой категории.
16. СПЕЦИФИКА ОРГАНИЗАЦИИ БАНКОВСКОГО ДЕЛА В РОССИИ
Сущность банковской деятельности
Банк — кредитно-финансовое предприятие, которое сосредоточивает временно свободные денежные средства (вклады), предоставляет их во временное пользование в виде кредитов (займов, ссуд), посредничает во взаимных платежах и расчетах между предприятиями, учреждениями или отдельными лицами, регулирует денежное обращение в стране, включая выпуск (эмиссию) новых денег.
Основное назначение банка — посредничество в перемещении денежных средств от кредиторов к заемщикам и от продавцов к покупателям.
Наряду с банками перемещение денежных средств на рынках осуществляют и другие финансовые учреждения: инвестиционные фонды, страховые компании, биржи, брокерские, дилерские фирмы и т.д. Но банки как субъекты финансовой системы имеют два существенных признака.
Во-первых, для банков характерен двойной обмен долговыми обязательствами: они размещают свои собственные долговые обязательства (депозитные и сберегательные сертификаты, облигации, векселя), а мобилизованные таким образом средства размещают в долговые обязательства и ценные бумаги, выпущенные другими.
Во-вторых, банки отличает принятие на себя безусловных обязательств с фиксированной суммой долга перед юридическими и физическими лицами. Этим банки отличаются от различных инвестиционных фондов, которые все риски, связанные с изменением стоимости их активов и пассивов, распределяют среди своих акционеров.
При этом в настоящее время наметились тенденции к активному изменению функций как самих банков, так и их основных конкурентов, финансовых институтов, занимающихся операциями с ценными бумагами, брокерских фирм, страховых компаний. Эти конкуренты пытаются приблизиться к банковским услугам, в свою очередь, банки стали предоставлять брокерские и другие услуги.
В современных условиях банки представляют не просто случайный набор, а банковскую систему, т.е. множество элементов с отношениями и связями, образующими действительно единое целое. Это обусловлено тем, что банки функционируют в экономике не изолированно, а во взаимосвязи и взаимозависимости друг с другом.
Существуют несколько концепций, применяемых для изучения роли банков в экономике. В соответствии с основными концепциями банки для сохранения своей конкурентоспособности и выполнения своей миссии играют следующие основные роли: посреднические, гаранта, плательщика, проводника государственной политики и др
Концепции банковской фирмы
1 Банк как финансовый посредник
2 Банк как производитель финансовых продуктов и услуг
3 Банк как мультипликатор роста
4 Банк как делегированный контролер
5 Банк как фирма, обеспечивающая рационирование между потреблением и сбережением
Распределенные корпоративные информационные системы, системы электронной коммерции и предоставления услуг пользователям Интернет предъявляют повышенные требования в плане обеспечения информационной безопасности. Концепция "Защищенные информационные системы" включает в себя ряд законодательных инициатив, научных, технических и технологических решений, готовность государственных организаций и компаний использовать их для того, чтобы люди, используя устройства на базе компьютеров и ПО, чувствовали себя так же комфортно и безопасно. Надежная информационная система определяется как система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации разной степени секретности различными пользователями без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживающая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз.
Наличие и полнота политики безопасности - набор внешних и корпоративных стандартов, правил и норм поведения, отвечающим законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации.
Гарантированность безопасности - мера доверия, которая может быть оказана в архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления ее конфигурацией и целостностью.
Идеология открытых систем существенно отразилась на методологических аспектах и направлении развития сложных ИС. Она базируется на строгом соблюдении совокупности профилей, протоколов. Программные и аппаратные компоненты по этой идеологии должны отвечать важнейшим требованиям переносимости и возможности согласованной, совместной работы с другими удаленными компонентами. Это позволяет обеспечить совместимость компонент различных информационных систем, а так же средств передачи данных.
Системы безопасности сами по себе не могут гарантировать надежность программно-технического уровня защиты.
С практической точки зрения обеспечения безопасности наиболее важными являются следующие принципы построения архитектуры ИС:
- Проектирование ИС на принципах открытых систем, следование признанным стандартам, использование апробированных решений, иерархическая организация ИС - прозрачность и хорошая управляемость ИС.
- Непрерывность защиты в пространстве и времени, невозможность преодолеть защитные средства, исключение спонтанного или вызванного перехода в небезопасное состояние - при любых обстоятельствах.
- Усиление самого слабого звена, минимизация привилегий доступа, разделение функций обслуживающих сервисов и обязанностей персонала. Этот принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
- Эшелонирование обороны, разнообразие защитных средств, простота и управляемость информационной системы и системой ее безопасности. Принцип предписывает не полагаться на один защитный рубеж, каким бы надежным он не казался. Эшелонированная оборона способна не только не пропустить злоумышленника, но и в некоторых случаях идентифицировать его благодаря протоколированию и аудиту.
Высокие требования, предъявляемые к формированию архитектуры и инфраструктуры на стадии проектирования ИС, определяются тем, что именно на этой стадии можно в значительной степени минимизировать число уязвимостей, связанных с непредумышленными дестабилизирующими факторами, которые влияют на безопасность программных средств, баз данных и систем коммуникаций.
Технологии токенов (смарт-карты, ключи для USB-портов). Электронные ключи-жетоны являются средством повышения надежности защиты данных на основе гарантированной идентификации пользователя. Токены являются "контейнерами" для хранения персональных данных пользователя системы и некоторых его паролей. Основное преимущество токена заключается в том, что персональная информация всегда находится на носителе и определяется только во время доступа к системе или компьютеру. В настоящее время получают распространение токены с системой персональной аутентификации на базе биометрической информации, которая считывается с руки пользователя. Таким "ключом" может воспользоваться тот пользователь, на которого настроен этот ключ.
Межсетевые экраны. Использование технологий предполагается для таких задач, как безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Экстранет- и Интернет-сетях с внешними сетями; создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятий; построение иерархичной системы защиты, предоставляющие адекватные средства обеспечения, безопасности для различных по степени закрытости сегментов в корпоративной сети.
Антивирусные средства. В настоящее время известно более 45000 компьютерных вирусов и каждый месяц появляется более 300 новых разновидностей. При этом считается, что основной путь "заражения" компьютеров - через Интернет, поэтому наилучшее решение, по мнению многих руководителей, - отключить корпоративную сеть от Интернет.
Защищенные виртуальные частные сети. Для защиты информации передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP существуют ряд программных продуктов, предназначенных для построения VPN на основе международных стандартов IPS. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования.
Технологии обнаружения атак. Постоянное изменение сети может привести к появлению новых уязвимых мест, угроз и возможностей атак на ИР и саму систему защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки информационного комплекса и его подсистем. Это означает, что рабочее место администратора должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест для проведения атак извне и снаружи, а так же комплексной оценки степени защищенности от атак нарушителей.
Инфраструктура открытых ключей. Основными функциями являются поддержка жизненного цикла цифровых ключей и сертификатов, поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонент подсистемы безопасности.
В зависимости от масштаба деятельности компании методы и средства обеспечения ИБ могут различаться, однако признано, что всегда требуется комплексный, интегральный подход.