Критерии информационной прозрачности

 

В наибольшей степени понятие «информационная прозрачность компании» формируют такие показатели, как:

• Наличие четкой коммуникативной политики и стандартов в компании, регламентирующее какую информацию, в каком объеме, по каким каналам и как передавать.

• Выпуск полноценного годового отчета банка, публикация информации на корпоративном сайте.

• Наличие «нормально функционирующей» PR или пресс-службы.

Сегодня судить о высокой степени прозрачности банков позволяет наличие финансовой отчетности (89,7% опрошенных респондентов), стратегия развития (68,9% респондентов), детальная информация о рыночных позициях банка(62,1% респондентов).

Главными причинами слабой информационной прозрачности банков являются незащищенность бизнеса от государственных органов (65,5% респондентов), слабая государственная идеология прозрачности (44,8% респондентов) и сложившаяся система финансирования (41,4% респондентов), отсутствие понимания и/или стремления акционеров к прозрачности компаний перед внешними пользователями (41,4% респондентов).

Одним из обобщенных параметров, характеризующих устойчивость IT-инфраструктуры кредитной организации и прямо влияющих на качество работы банка, является показатель живучести. Он включает такие компоненты, как безопасность, надежность и доступность.

Под живучестью IT-инфраструктуры подразумевается ее способность достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Достижение эффекта лишь в одном компоненте из трех, например в ITSEC или обеспечении надежности, не даст руководству банка необходимых гарантий в том, что его IT-инфраструктура, а значит, и банк в целом будет всегда функционировать безотказно.

Естественно, встает вопрос о методах и критериях оценки функционирования IТSEC. Очевидно, что система оценок должна носить интегральный характер: ведь руководство банка волнует не столько конкретный уровень безопасности в частном высокотехнологичном вопросе, сколько общий уровень деятельности организации.

Поэтому банковское руководство оценивает эффективность работы системы IT-безопасности по двум группам показателей:

· показатели деятельности организации и ее элементов;

·   результаты оценки уровня безопасности информационной системы.

Основными показателями деятельности организации являются следующие.

· Эффективность экономической деятельности.

·   Уровень дисциплины персонала.

·   Отсутствие «конфликта интересов» персонала и организации.

 

· Отсутствие хищений ценностей и денежных средств в наличной и безналичной форме.

·   Устойчивость работы информационного комплекса.

В качестве показателей системы IT-безопасности используются результаты оценки уровня безопасности информационной инфраструктуры по имеющимся требованиям и нормам (при защите государственной тайны - на основании закона, в иных случаях - при условии их применимости).

Можно выделить две основные проблемы, типичные для организации любого масштаба.

Во-первых, нужна приемлемая, достаточно точная и простая методика оценки интегрального уровня эффективности работы (устойчивости, живучести) организации.

Во-вторых, - механизм, устанавливающий взаимосвязь показателей деятельности банка и технических критериев, оценивающих систему обеспечения IT-безопасности.

В международной практике такая взаимосвязь устанавливается через механизм банковского надзора, регулирования и управления операционными рисками. информационный безопасность банк прозрачность

Однако проверка безопасности информационных систем банка надзорными органами целесообразна лишь в том случае, если существуют соответствующие стандарты безопасности.

Руководство любого банка заинтересовано в том, чтобы он работал устойчиво и эффективно. С этой точки зрения важнейшее свойство безопасности обеспечение прозрачности и контролируемости организации.

Ведущий принцип, активно внедряемый сегодня в практику банковского надзора и регулирования, - контроль контроля. Чтобы убедиться в том, насколько надежна система безопасности, достаточно организовать грамотную процедуру проверки системы ее контроля. Естественно, этот контроль (в терминах ITSEC - аудит) должен быть полным, оперативным, достоверным и эффективным, а сама система - охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности. Все это входит в политику ITSEC, но кроме того при ее разработке должны учитываться и другие важные факторы:

· определение целей защиты;

·   определение объекта защиты;

·   определение актуальных угроз и их субъектов, выбор профилей защиты;

·   разработка методов определения качества защиты или выбор существующих систем критериальных оценок;

·   получение гарантий защищенности системы.

К сожалению, достаточно часто банк, заказывая услуги в сфере ITSEC, плохо представляет роль и место конкретного сервиса и его вклад в общий интегральный уровень безопасности. В итоге затраты на обеспечение безопасности резко возрастают - при полной практической неопределенности в оценке достигнутой эффективности. Парадокс в том, что при дальнейшем вложении средств неопределенность оценок не снижается, зато сложность реализации мер безопасности растет. Избежать подобного можно, применив многоуровневую модель структуризации объектов информационной безопасности.

Существует семь различных уровней технологий и реализуемых на них процессов, для которых актуальные для них угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности имеют принципиальные отличия.. Физический. Сетевой. Сетевых приложений. Операционных систем. Систем управления базами данных. Приложений. Бизнес-процессов

Как правило, предложения даже по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и обеспечивают защиту от угроз, исходящих от субъекта, не имеющего прав доступа к защищаемым ресурсам.

Очевидно, что на устойчивость настроек, обеспечивающих безопасность, влияет их доступность большому числу пользователей, администраторов систем и программистов. Так как эти специалисты имеют, как правило, много степеней свободы, а мониторинг их деятельности обычно весьма слаб, налицо отсутствие «прозрачности» и высокая степень риска в этой зоне.

Наиболее грамотный выход из подобной ситуации заключается в переходе на централизованные обработку и управление безопасностью, развитие аудита событий в системе (с обязательным оперативным разбором информации, дабы обеспечить их прозрачность для службы безопасности) и усиление административного компонента в управлении персоналом. Именно такой подход характерен для крупнейших и широко представленных на нашем рынке корпораций (IBM, HP и других). За счет реформы IT-сектора они добились централизации как обработки, так и администрирования ресурсов, исключив из этого процесса пользователей и поставив под контроль администраторов.

Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, пользующихся этой системой, - совершенно другой. Значит, и политика безопасности различна, включая в первом случае одну группу уровней модели, а во втором - другую. Есть здесь различия и по видам и агентам угроз, и по методам защиты, и по критериям оценки безопасности. Поэтому при внешней схожести и общей сфере деятельности этих двух организаций, ITSEC в них разительно отличается.