Информационно-психологическая безопасность в финансово-кредитных

ВВЕДЕНИЕ 3 1 МЕТОДИЧЕСКИЕ ТРЕБОВАНИЯ К ДЕЯТЕЛЬНОСТИ СЛУЖБЫ БЕЗОПАСНОСТИ В СОВРЕМЕННОЙ ОРГАНИЗАЦИИ 3 1.1 СЛУЖБА БЕЗОПАСНОСТИ В КРЕДИТНО-ФИНАНСОВЫХ УЧРЕЖДЕНИЯХ: ФУНКЦИИ, ПРАВА, УСЛОВИЯ ЭФФЕКТИВНОГО ФУНКЦИОНИРОВАНИЯ 11 1.2. ВОЗМОЖНЫЕ ВАРИАНТЫ ФОРМИРОВАНИЯ ОРГАНИЗАЦИОННОЙ СТРУКТУРЫ УПРАВЛЕНИЯ (ОСУ) СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 16 1.3. ВЗАИМОДЕЙСТВИЕ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ДРУГИМИ ШТАБНЫМИ СЛУЖБАМИ И ДОЛЖНОСТНЫМИ ЛИЦАМИ ОРГАНИЗАЦИИ 20 2. ПРАКТИКА ФУНКЦИОНИРОВАНИЯ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРЕДИТНО-ФИНАНСОВЫХ УЧРЕЖДЕНИЯХ 22 2.1. КРАТКАЯ ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ И ЕЕ КАДРОВОГО ПОТЕНЦИАЛА 25 2.2. ХАРАКТЕРИСТИКА СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ 38 3. ОПТИМИЗАЦИЯ ДЕЯТЕЛЬНОСТИ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМЕ HR-МЕНЕДЖМЕНТА 40 3.1. РЕКОМЕНДАЦИИ ПО ВНЕСЕНИЮ ИЗМЕНЕНИЙ В ДЕЯТЕЛЬНОСТЬ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ 44 ЗАКЛЮЧЕНИЕ 47 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 48

1. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ, 2008 (дата обращения: 16.03.2022) 2. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ. ру, 2005 (дата обращения: 11.03.2022) 3. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000. - 428 с 4. Организация и структура информационного законодательства в системе обеспечения информационной безопасности России URL: https://cyberleninka.ru/article/n/organizatsiya-i-struktura-informatsionnogo-zakonodatelstva-v-sisteme-obespecheniya-informatsionnoy-bezopasnosti-rossii (дата обращения: 15.03.2022) 5. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. - 544 с 6. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. - 352 с. 7. Теоретическая и прикладная социальная психология/Рук. авт. кол. и отв. ред. Уледов А.К. — М.: Мысль, 1988. 8. Грачев Г.В., Мельник И.К. Приемы и техника манипулятивного воздействия в массовых информационных процессах /Проблемы информационно-психологической безопасности (сборник статей и материалов конференций). — М., 1996; Хлопьев А. Т. Средства массовой информации как источник информационно-психологической неустойчивости/Проблемы информационно-психологической безопасности (сборник статей и материалов конференций). — М., 1996. 9. Абульханова-Славская К.А. Стратегия жизни. — М., 1991; Анциферова Л.И. Личность в трудных жизненных условиях//Психологический журнал. 1994. № 1. С. 12-25; Брушлинский А.В. Проблемы психологии субъекта. — М., 1994. 10. Фромм Э. Бегство от свободы. — М., 1989. 11. Шостром Э. Анти-Карнеги, или Человек-манипулятор. — Минск, 1992. С. 127 12. Ермаков Ю.А. Манипуляция личностью: Смысл, приемы, последствия — Екатеринбург, 1995. 13. На опасность для психики человека ряда современных психотехнологий, в частности, нейролингвистического программирования и некоторых других, обращают внимание различные исследователи. См.: Гальперин Я.Г., Жданов О.И. Технология психологической самозащиты. Стресс-дистресс — проблема XX века. М., 1997 и др. 14. Фишер Р., Юри У. Путь к согласию, или Переговоры без поражения. — М.: Наука, 1990. С.15-18.

1 МЕТОДИЧЕСКИЕ ТРЕБОВАНИЯ К ДЕЯТЕЛЬНОСТИ СЛУЖБЫ БЕЗОПАСНОСТИ В СОВРЕМЕННОЙ ОРГАНИЗАЦИИ К главным задачам работников ИБ можно отнести следующие пункты: охрана данных Банка; поддержание устойчивой и оперативной деятельности информационно-вычислительного комплекса Банка согласно Уставу; формирование соответствующих мер по защите от возможных угроз информационной безопасности; предотвращение и/или сокращение вреда от возникших проблем ИБ. В нормативно-методическое обеспечение входят внутренние и внешние распорядки, применяемые в ходе управления необходимым направлением работы, и индикативные документы. К внутренним распорядкам и пожеланиям принадлежат те или иные регулярно функционирующие бумаги, созданные в пределах определенного Банка и внедренные согласно существующим в нем правил — инструкции, указания, постановления и т.п. Для создания внутреннего регламента обязательно соответствие существующему законодательству. Внешними распорядками считаются законодательные (Закон РФ «О частной детективной и охранной деятельности в РФ») и подлежащие действию закона (например, Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну») акты. В представленной работе особое внимание будет уделено организационному обеспечению ИБ, которому необходимо опираться на систему управленческих документированных решений, нацеленных на осуществление вопросов обеспечения ИБ (cм. Рисунок 1). Рисунок 1. «Организационный режим информационной безопасности» Значимой чертой режима информационной безопасности объекта можно назвать его функциональную нацеленность. Она обусловлена соответствующими пунктами: – характеристики объекта, на который ориентирован режим безопасности; – видами угроз безопасности информации и информационной инфраструктуры, в сопротивление которым направлен режим информационной безопасности; – задачей сопротивления угрозам информационной безопасности. Определение характеристик объекта, на который ориентирован режим информационной безопасности, исполняется на базе рассмотрения правоустанавливающих документов, объема и содержания субъективных прав и позитивных обязательств уполномоченного лица, его интересов, относящихся к объекту информационной безопасности. Из выше сказанного можно сделать вывод, что если объектом обеспечения безопасности становится информационная система персональных данных, то в этом случае субъектом, устанавливающим режим информационной безопасности, способен стать оператор информационной системы. Согласно федеральному законодательству, режим информационной безопасности обязан создать сопротивление любым существующим угрозам безопасности сбора, хранения и обработки персональных данных лиц. Классификация видов угроз безопасности информации и информационной структуры объекта безопасности происходит по способу их реализации (несанкционированный доступ, неправомочное применение, нарушение целостности или конфиденциальности и т.п.), либо по субъектам реализации этих угроз: физические лица, террористические организации и государства. Обнаружение видов, несущих наибольший ущерб, происходит на базе изучения незащищенных данных объекта безопасности и возможности их применения для нанесения вреда объекту. Цели сопротивления угрозам безопасности информации и информационной инфраструктуры формируются уполномоченным лицом в соответствии с условиями законодательства в рамках его индивидуальных прав и позитивных обязательств. Для установления целей обеспечения информационной безопасности Российской Федерации следует опираться на положения политических документов Президента РФ, который в соответствии с Конституцией РФ определяет главные направления государственной внешней и внутренней политики, в том числе в области обеспечения информационной безопасности. При выявлении цели обеспечения информационной безопасности коммерческой организации основным источником нормативных установок являются положения уставных документов данной организации. Ниже представлена схема методики выявления функциональной направленности режима информационной безопасности. Организационное обеспечение ИБ самостоятельно формируется комплексом нормативных и методических документов, разрабатываемых и включаемых в процесс уполномоченными лицами в условиях правоприменительной практики по исполнению правовых режимов информационной безопасности, а также мероприятий, осуществляемых отдельно созданными силами и с использованием средств обеспечения информационной безопасности. Осуществляемое в условиях организационного обеспечения информационной безопасности мероприятие является системой взаимосвязанных мер, связанных целями, временем, субъектами их осуществления и действиями сил обеспечения информационной безопасности. Классификация видов мероприятий может происходить в зависимости от области деятельности: формирование и обеспечение функционирования системы нормативных и технических средств сопротивления угрозам; формирование, подготовка и применение кадрового потенциала; финансовое обеспечение; методическое обеспечение выполнения мероприятий и т.д. К организационному обеспечению также относят меры, нацеленные на формирование научных исследований в области роста устойчивости информационной инфраструктуры к проявлению угроз; на содействие в определяемом законодательством порядке работы общественных организаций, устанавливающих собственной задачей сопротивление угрозам информационной безопасности и определение форм потенциального взаимодействия с ними; на согласование деятельности федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ в области сопротивления угрозам; на улучшение системы массовой информации, способной предоставлять гражданам или другим лицам, проживающим на территории государства, возможности получения доступа к достоверным данным о событиях, происходящих как внутри страны, так и за рубежом; на принятие мер по изоляции пропаганды и агитации, провоцирующей социальную, расовую, национальную или религиозную ненависть и вражду, пропаганды социального, расового, национального, религиозного или языкового превосходства. При создании, использовании и развитии системы управления безопасностью банка важно соблюдение следующих методических рекомендаций. Основная из которых представляет из себя системный подход к проблеме обеспечения безопасности, а именно невозможность выделения сил службы безопасности на сопротивление возможным видам угроз в ущерб остальным. В настоящее время нарушение данного требования является типичным поведением для многих отечественных коммерческих фирм и обычно определяется прежней областью профессиональной деятельности руководителя рассматриваемого направления. По такому принципу бывшие сотрудники Второго Главного управления КГБ СССР направляют большую часть усилий на сопротивление банковскому шпионажу, сотрудники ФАПСИ – защите информации, сотрудники МВД – защите имущества и т.п. В итоге, в системе защиты безопасности появляются уязвимые места, которыми в дальнейшем пользуются преступники. Ставится понятно, что представленная выше информация не должна противоречить принципу рационального ранжирования возможных угроз, которые будут рассмотрены ниже. Следующим требованием является приоритет мероприятий по борьбе с возможными угрозами (т.е. методов профилактического характера). Для него не запрашиваются дополнительные обоснования уже в силу обеспечиваемой возможности не допустить ущерба в целом, в то время как прочие методы в лучшем случае позволяют уменьшить вред или найти и наказать мошенников. Третье требование — необходимость ориентировать систему на обеспечение приоритетной защиты конфиденциальной информации и только потом других объектов возможных угроз. Значение информации и информационных технологий в работе цивилизации, государства, отдельных фирм постоянно возрастает. Для большего количества трейдеров утеря конфиденциальности или разглашение личных данных становится большей потерей, чем кража денег и другой материальной составляющей. Возникновение больших компьютерных сетей повлекло за собой появление новый вид угрозы информационной безопасности: незаконное проникновения в базы данных. В конце 1970-х хакерство, на тот момент экзотическая интеллектуальная деятельность для узкого круга специалистов по разработке программного обеспечения, стало профессиональной специализацией для работников не только государственных служб, но и частных компаний, в том числе криминальных. Стремительный рост как общего диапазона угроз информационной безопасности банков, так и масштабов их утрат, существующий в последние годы, показывает надобность интеграции этого требования. Четвертое требование – прямое участие в обеспечении безопасности банка всех его структурных подразделений и работников в пределах их юрисдикции и ответственности. Структура возможных угроз, в том числе угроз от собственных сотрудников компаний, исключает возможность эффективного сопротивления им только силами правоохранительных органов. По этой причине в последней части пособия детально изучается система мероприятий по воспитанию рабочего коллектива по правилам присущей ему идеологии и обучению его членов методам устранения и недопущения гипотетических угроз. Пятое требование заключается в предоставлении условий для того, чтобы система управления безопасностью взаимодействовала с иными областями управления. Это требование осуществляется как на стратегическом, так и на операционном уровнях системы менеджмента. Далее мы детально рассмотрим взаимосвязь стратегии безопасности от главной цели банка и его конкурентной стратегии. В местных условиях, в режиме оперативного управления, должна быть обеспечена максимально тесная связь между рассматриваемой системой и личным управлением. Из-за нарушения требований по координации управления различными сферами деятельности могут возникнуть крайне негативные последствия. В случае нарушения рассматриваемых системных требований при разработке сопутствующих систем управления (например, управления финансами или маркетинга) значительно возрастает вероятность негативной реализации соответствующих угроз. И наоборот, если управление безопасностью организовано в соответствии с принципом самодостаточности — «безопасность ради безопасности» — надлежащее функционирование соответствующей системы управления будет постоянно нарушаться. Поэтому должна формироваться комплексная система управления, учитывающая относительное равенство или баланс интересов различных видов деятельности финансовых учреждений. Шестым требованием нам представляется соразмерность затрат на обеспечение безопасности банка настоящему уровню угроз. Эта идея связана с разработкой принципа «разумной достаточности». Со стороны итоговой производительности системы в равной степени запрещается сокращать количество потраченных ресурсов на исследуемую область деятельности, ослабляя собственную безопасность, и провоцировать существующие опасности, реализуя излишние, т.е. не окупаемые затраты. При этом необходимо учитывать тот факт, что руководство службы безопасности по очевидным соображениям не может быть заинтересовано в том, чтобы уровень потенциальных угроз был занижен. Для этого необходимо привлечение независимых экспертов в лице сотрудников государственных силовых ведомств или частных охранных структур. В качестве последнего требования к службе безопасности выступает формализованное закрепление не только функций, но и полномочий (предела компетентности) службы безопасности. По сравнению с другими направлениями деятельности банка деятельность работников этого подразделения часто связана с риском превышения служебных полномочий. Следовательно, возбуждение уголовных дел и гражданских исков, направленных на обвинение в нарушении существующего законодательства или гражданских прав, против кредитно-финансовых организаций очень вероятно. Не менее важным элементом системы безопасности является оценка результативности ее управления. Это дает возможность решать несколько прикладных задач, а именно проводить статистический анализ вероятности негативной реализации той или иной угрозы и объективно оценивать эффективность работы службы безопасности. При сравнении со многими другими направлениями менеджмента в этом случае нельзя точно оценить экономическую эффективность предприятия. Кроме того, сложно определить реальные последствия в случае своевременного пресечения угроз. Стоит отметить, что по по некоторым видам угроз, например, в отношении сотрудников банка, можно оценить только косвенный эффект. В результате необходимо использовать данные не только прямой, но и косвенной оценки. Далее приводится перечень тех критериев, которые необходимо принять во внимание при решении этой задачи: – число выявленных угроз, с дифференциацией на угрозы, полностью пресеченные, частично пресеченные, негативно реализованные в полном объеме (в динамике по сравнению с предыдущими периодами); – прямой финансовый ущерб, нанесенный банку в результате частично и полностью реализованных угроз; – возможный ущерб, который мог бы быть нанесен банку, полностью или частично пресеченные угрозы; – результаты реализации плановых профилактических мероприятий; – отсутствие обоснованных претензий к службе безопасности со стороны правоохранительных органов, собственных подразделений и отдельных сотрудников.