Данный тип нарушений наиболее распространен практически во всех сколько-нибудь крупных информационных системах. Совершаемые ошибки, как правило, связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному, ввиду различной ценности вводимых данных.

Наиболее опасным следствием ошибочных действий сотрудника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок, даже в случае исправления проводки и возврата средств, существен но ухудшают имидж банка и снижают доверие клиентов к нему. Поэтому в большинстве банков вводятся дополнительные системы контроля и определяются достаточно крупные штрафные санкции для сотрудников, совершивших ошибки. Однако, несмотря на это, одна-две ошибки на 1000 документов в некоторых кредитных организациях рассматриваются как допустимая норма.

Другой весьма болезненной ошибкой пользователя является ошибочный запуск какого-либо большого процесса, например закрытия операционного дня или переоценки валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержки в обслуживании клиентов.

Для минимизации потерь от такого рода ошибок в работе с информационной системой обычно применяются следующие решения.

1. Продуманная и, желательно, задокументированная политика контроля за информационными ресурсами в банке. Политика контроля, оформленная как внутренний регламентирующий документ банка, должна определять типы основных документов, условия и вид контроля за их прохождением. Принципы, определяющие политику контроля, могут быть следующие:

дополнительный визуальный контроль документов на большие (сверх некоторого заранее установленного уровня) суммы;

желательный параллельный независимый ввод ключевых реквизитов всех (или по крайней мере внешних) платежных документов.

2. Настройка прав пользователей системы. Основным здесь является то, что пользователь может совершить только операцию определенного, доступного ему типа, с определенными, допустимыми для него и контролируемыми по справочникам параметрами, при определенных условиях.

3. Четкая регламентация действий сотрудников в случае совершения ошибочных действий. Открытость и доступность информационных служб банка.

4. Постоянное повышение квалификации сотрудников в пользовании компьютерной техникой.

Однако, несмотря на то, что претворение в жизнь подобных решений необходимо, они крайне редко применяются в полном объеме. Основными причинами такого положения дел обычно являются высокая трудоемкость и отсутствие соответствующих процедур в программном обеспечении информационной системы банка. Подобными процедурами при построении системы защиты обычно пренебрегают, особенно в небольших банках, где затраты на автоматизацию невысоки. Иногда подобная политика не лишена смысла, так как прямой ущерб от ошибок пользователей для небольшого банка обычно меньше зарплаты дополнительного высококлассного специалиста в области информационных технологий, а побочные эффекты, связанные с отрицательным маркетинговым эффектом, небольшому банку не так страшны.

Умышленные атаки на систему

Данный тип нарушений деятельности организации является самым редким, но в то же время и наиболее болезненным для банка. При этом злоумышленник может быть как сторонним лицом, так и сотрудником банка.

Обычно при разработке защиты информационной системы от действий такого рода выделяются три вида атак: несанкционированное получение информации, выполнение несанкционированных действий, разрушение системы или ее части.

Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты в этом направлении часто необходимы не только технические средства, но и комплекс организационных процедур, поскольку нередко для получения конфиденциальной информации достаточно войти в "контакт" с кем-то из сотрудников банка.

Однако, принимая решение о выделении каких-либо денежных средств на разработку подобной защиты, необходимо помнить, что ущерб от утечки информации обычно невелик. Нанести значительный урон путем хищения информации может только мощная организация (или конкурирующая, или государственная), которая при достаточных затратах обойдет любую защиту. В качестве дополнительной защиты необходимо также упомянуть об ограничении доступа в помещение отдела автоматизации и ключевых функциональных служб.

Приведем перечень информации, являющейся строго конфиденциальной в рамках коммерческой организации:

персональная информация о клиентах;

информация об остатках и оборотах по лицевым счетам, включая все регистрируемые реквизиты платежей, а также количество совершаемых по счету операций;

персональные данные сотрудников банка.

Не являются конфиденциальными данные такого рода, как:

информация, полученная из сторонних источников;

публичные отчетные и рекламные документы банка.

К отдельной группе можно отнести данные, не являющиеся строго конфиденциальными, но тем не менее не предоставляемые для широкой огласки:

особенности технологических процессов и внутреннего документооборота в организации;

отдельные показатели деятельности организации, кроме опубликованных в прессе;

стратегические планы руководства банка и данные о работах, связанных с подготовкой к их реализации, можно отнести и к информации конфиденциального характера.