Разрабатывая систему информационной безопасности, необходимо четко по­нимать, кто или что может выступать причиной нарушения, случайно ли оно или это целенаправленная акция, может ли повториться, какие механизмы устранения последствий доступны в тех или иных случаях.

Наиболее распространенной причиной нарушений в работе информацион­ных систем являются ошибки их пользователей — непреднамеренные ошибки сотрудников организации, как правило, не приводящие к большому ущербу, хотя возможны и исключения. Особенность таких нарушений — стремление всех сторон избежать появления подобных ситуаций и минимизировать на­несенный ущерб. Вследствие этого рекомендуется применять администра­тивные санкции в отношении совершившего ошибку сотрудника только в случае ее сокрытия им. Основными же виновниками таких ошибок являются бизнес-технологи и разработчики систем. Современные механизмы контроля и мониторинга позволяют почти полностью исключить этот тип нарушений. Однако из-за большого количества разновидностей ошибок создание систе­мы, полностью исключающей их появление, как правило, невозможно или связано с неоправданными затратами.

Рассмотрим непреднамеренные ошибки сотрудников.

Ошибки ввода составляют более 80% ошибок персонала, связанного с информационными системами. Усталость, различные помехи, неразборчивые записи — все эти факторы могут стать причиной ошибки при ручном вводе данных. Подавляющее число подобных ошибок носят непринципиальный ха­рактер, однако такие ошибки, как ввод неправильной суммы, неправильных реквизитов, могут привести к серьезным последствиям. Основным средством борьбы с ошибками ручного ввода являются его автоматизация и развитие систем электронного документооборота. В случае, когда возможности такого решения исчерпаны, используются следующие механизмы:

— контроль ключевых параметров по справочнику;

— двойной ввод документов;

— использование шаблонов;

— снижение нагрузки на персонал;

— дополнительный визуальный контроль документа «вторым» сотрудни­ком.

Ошибки в эксплуатации системы связаны с недостаточным опытом работы сотрудников с системой. Наиболее часто такой тип ошибок встре­чается при внедрении новых информационных систем или при изменении функционала уже существующих. В качестве меры по предотвращению по­добных ошибок, которых следует также ожидать при изменении обязанностей сотрудников или при найме новых работников, обычно используются более совершенная система обучения в организации и четкая система ограничения прав, не допускающая возможности неправильных действий пользователя.

Ошибки систематизации связаны с неправильной классификацией раз­личных объектов (например, установка неправильной категории счета при его открытии). Такие ошибки достаточно редки и обычно не приводят к серьезным потерям. Их наиболее вероятное следствие — ошибки в отчетах или ошибки при прохождении документов, причиной которых в основном является недостаток знаний и опыта, а стоимость устранения которых, как правило, зависит от гибкости информационной системы и скорости их обна­ружения. Защитой от ошибок может стать автоматизация процесса принятия решения или автоматизированные фильтры, ограничивающие диапазон воз­можных значений. Но следует помнить, что поддержка данных механизмов в условиях меняющейся среды может быть очень дорогостоящей.

Небрежность, нарушение технологической цепочки. К сожалению, ошибки, связанные с небрежным отношением сотрудников к выполнению своих обязанностей, не редкость. Эта группа нарушений — единственная из непреднамеренных ошибок, которая требует системы наказаний. Однако следует учитывать неопределенность формулировки данной группы. Очень трудно оценить, что явилось причиной — усталость сотрудника или небреж­ное отношение к работе.

Рассмотрим теперь преднамеренные действия сотрудников, нарушения, которые являются самыми сложными для предотвращения. Сотрудник ор­ганизации, как правило, хорошо ориентируется во внутренних процессах и системах. Часто он знает о механизмах безопасности и, что более опасно, об их отсутствии в определенных модулях системы. У него есть время и возможность смоделировать и протестировать свои действия, оценить по­следствия.

Еще одним слабым местом в системе безопасности от умышленных дей­ствий сотрудников является доверие к ним других работников организации. Часто достаточно простой просьбы к администратору для получения доступа к закрытым данным или требования у разработчика добавления какой-либо, на первый взгляд безопасной, функции системы, чтобы впоследствии исполь­зовать ее для противоправных действий.

Причинами, побуждающими сотрудников к умышленному нарушению информационной безопасности, являются:

— обида на действия менеджеров, как правило, связанная с конфликта ми или увольнением сотрудника;

— попытка хищения денег из организации;

— попытка создания зависимости организации от конкретного сотруд­ника;

— карьерная борьба.

В качестве мер противостояния нарушениям этого типа наиболее эффек­тивны социальные меры, разграничение доступа и мониторинг действий пользователей.

Причинами нарушений в работе информационных систем могут быть также действия сторонних лиц криминального характера. Несмотря на повы­шенное внимание к этой теме, объем таких нарушений, повлекших реальный ущерб, скорее растет, чем снижается. Возможно, это вызвано именно завы­шенной рекламой данных нарушений и в результате тратится максимальное количество средств в области информационных технологий на защиту от них. Однако следует признать, что кредитные организации действительно являются объектом пристального внимания.

Цель у преступников, как правило, одна — деньги, методы ее достижения постоянно совершенствуются. Поэтому, анализируя потенциальные наруше­ния, следует выделять объекты возможной атаки. В первую очередь — это системы удаленных платежей, особенно системы расчета пластиковыми карточками. В случае удачи у преступника много шансов остаться безна­казанным.

Другим объектом атаки могут стать информационные хранилища банка с последующим шантажом их публикации.

Третьим вариантом противоправных действий может стать создание помех в работе информационной системы кредитной организации с целью продвижения собственных услуг по их устранению. Как правило, подобные попытки легко разоблачаются, поэтому такой вариант нарушений встреча­ется достаточно редко и практикуется фирмами, не имеющими собственного имени на рынке услуг информационной безопасности.

Еще одна угроза со стороны злоумышленников — внедрение измененных компонент системы (это практически невозможно сделать без сотрудничества кого-либо из персонала банка), что может привести к хищению значитель­ных средств. Всем известны случаи, когда злоумышленники вносили свои изменения в алгоритмы округления и весь остаток переводили на свои счета. Единственной защитой от подобных атак может быть постоянный аудит используемых алгоритмов и параллельный независимый контроль сумм, определяемых в автоматическом режиме.

Перечисленные выше примеры не охватывают всех возможных случаев. Противостояние преступникам, постоянно пытающимся придумать новые пути хищения средств, является наиболее важной задачей системы инфор­мационной безопасности.

Следующая возможная причина — это деятельность конкурентов. Несмо­тря на то что законы банковского бизнеса требуют честной конкурентной борьбы, встречается использование информационных технологий для неза­конной борьбы с соперниками. Здесь можно рассмотреть два варианта атаки на систему информационной безопасности.

Целью первого варианта является простой сбор данных: о клиентах, операциях, рынке. Обычно все сводится к попытке купить какие-либо све­дения у сотрудников банка. Еще чаще недобросовестные лица из их числа сами пытаются продать информацию конкурентам. Противостоять этому можно различными социальными мерами, а также пресечением подобной деятельности сотрудников других организаций, пытающихся продать такие сведения вам.

Второй вариант атаки возможен, когда конкурент напрямую заинтересо­ван в доступе к информационной системе. В случае банковского бизнеса для этого могут быть привлечены огромные ресурсы. Противостоять подобной атаке на уровне менеджеров среднего звена практически невозможно. Реше­ние проблемы лежит на высшем уровне и выходит за рамки данной книги.

И наконец, последняя причина — это аварии, стихийные бедствия и про­чие случайные события.

Основная проблема в защите от случайных событий — их непредска­зуемость и отсутствие методики расчета степени риска. Малая вероятность подобных событий компенсируется высокой стоимостью последствий. Ча­сто случайные события (пожар, стихийное бедствие или банальный разрыв трубы) приводят к полному уничтожению информационной системы. Если миссия организации требует продолжения работы даже в экстремальном случае, менеджер должен знать и использовать основные приемы защиты и в таких ситуациях.

Международная практика рекомендует несколько защитных мер в за­висимости от доступного бюджета организации. В основном они связаны с резервным копированием системы. К ним относятся:

• для многофилиальных организаций — создание взаимных резервных копий различных подразделений на территории друг друга. В случае аварии данные восстанавливаются, и территория одного подразделения может использоваться как резервный офис для другого;

• для организаций с большим бюджетом — создание резервного офиса. Как правило, он дублирует базовые функции основного и обеспечи­вает работоспособность организации только в аварийном режиме. В случае аварии резервный офис должен сохранить работоспособность организации в течение установленного периода времени, за которое должен решиться вопрос или с восстановлением основного офиса, или с арендой нового;

• для организаций с ограниченным бюджетом рекомендуется ежедневное резервное копирование информационной системы и хранение копий на другой территории. Это может быть либо дружественная структу­ра, либо специализированная компания, предоставляющая услуги по хранению архивов.