. p align="justify"> По-перше, потрібна прийнятна, досить точна і проста методика оцінки інтегрального рівня ефективності роботи (стійкості, живучості) організації. p align="justify"> По-друге, - механізм, що встановлює взаємозв'язок показників діяльності банку та технічних критеріїв, які оцінюють систему забезпечення IT-безпеки. p align="justify"> У міжнародній практиці такий взаємозв'язок встановлюється через механізм банківського нагляду, регулювання та управління операційними ризиками. інформаційний безпека банк прозорість
Проте перевірка безпеки інформаційних систем банку наглядовими органами доцільна лише в тому випадку, якщо існують відповідні стандарти безпеки. p align="justify"> Керівництво будь-якого банку зацікавлене в тому, щоб він працював стійко і ефективно. З цієї точки зору найважливіше властивість безпеки забезпечення прозорості та контрольованості організації. p align="justify"> Ведучий принцип, активно впроваджуваний сьогодні в практику банківського нагляду і регулювання, - контроль контролю. Щоб переконатися в тому, наскільки надійна система безпеки, достатньо організувати грамотну процедуру перевірки системи її контролю. Природно, цей контроль (у термінах ITSEC - аудит) повинна бути повною, оперативним, достовірним і ефективним, а сама система - охоплювати всі об'єкти (ресурси, кошти, програми, персонал), здатні послабити досягнутий рівень безпеки. Все це входить в політику ITSEC, але крім того при її розробці повинні враховуватися й інші важливі чинники:
В· визначення цілей захисту;
В· визначення об'єкта захисту;
В· визначення актуальних погроз і їх суб'єктів, вибір профілів захисту;
В· розробка методів визначення якості захисту або вибір існуючих систем критеріальних оцінок;
В· отримання гарантій захищеності системи.
На жаль, досить часто банк, замовляючи послуги у сфері ITSEC, погано уявляє роль і місце конкретного сервісу і його внесок у загальний інтегральний рівень безпеки. У підсумку витрати на забезпечення безпеки різко зростають - при повній практичної невизначеності в оцінці досягнутої ефективності. Парадокс у тому, що при подальшому вкладенні коштів невизначеність оцінок не знижується, зате складність реалізації заходів безпеки зростає. Уникнути подібного можна, застосувавши багаторівневу модель структуризації об'єктів інформаційної безпеки. p align="justify"> Існує сім різних рівнів технологій і реалізованих на них процесів, для яких актуальні для них загрози, агенти цих загроз, методи захисту, критерії оцінки ефективності мають принципові відмінності. . Фізичний. Мережевий. Мережевих додатків. Операційних систем. Си...
