Область оценки и ограничения оценки соответствия информационной безопасности в коммерческом банке

Основные главы по теме:

1. Анализ нормативных актов, регламентирующих систему информационной безопасности банковской сферы
2. нализ состояния экономической безопасности банковской системы (на примере ПАО Сбербанк)
3. Риски внедрения банковских систем в коммерческих банках
4. Классификация моделей угроз в банковской сфере
5. Парадигма обеспечения информационной безопасности организаций банковской системы Российской
6. Нормативно-правовое регулирование экономической безопасности банковской системы

Краткое содержание глав:

Анализ нормативных актов, регламентирующих систему информационной безопасности банковской сферы

Основным документом, регламентирующим технологию обеспечения информационной безопасности сферы финансово-кредитных учреждений, является СТО БР ИББС-1.0-2014.
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кре­дитные организации, а также представительства иностранных банков [1]. Развитие и укрепле­ние БС РФ, обеспечение стабильности и развитие национальной платежной системы являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей являет­ся обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) ор­ганизаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уров­нем ИБ банковских технологических процессов (платежных, информационных и пр.), автомати­зированных банковских систем, эксплуатирующихся организациями БС РФ.
…

нализ состояния экономической безопасности банковской системы (на примере ПАО Сбербанк)
2.1 Общая характеристика ПАО Сбербанк
ПАО Сбербанк – крупнейший банк в России и СНГ с самой широкой сетью подразделений, предлагающий весь спектр инвестиционно-банковских услуг. С сентября 2012 года 50% плюс одна акция банка находятся под контролем Центрального банка РФ, свыше 40% акций принадлежит зарубежным компаниям. Банк является основным кредитором российской экономики и занимает крупнейшую долю на рынке вкладов.
Сбербанк предлагает розничным клиентам широкий спектр банковских продуктов и услуг, включая депозиты, различные виды кредитования (потребительские кредиты, автокредиты и ипотеку), а также банковские карты, денежные переводы, банковское страхование и брокерские услуги. Все розничные кредиты выдаются по технологии “Кредитная фабрика”.
Сбербанк России обслуживает все группы корпоративных клиентов. На долю малых и средних компаний приходится более 33,9% корпоративного кредитного портфеля.
…

Риски внедрения банковских систем в коммерческих банках

Вместе со многими преимуществами информационные системы таят в себе и не меньше опасностей. Одна из них – возможность несанкционированного доступа к информации и даже осуществления операций. Информационная безопасность является важнейшим аспектом информационных технологий, так как направлена на защиту как клиентской, так и внутренней информации от несанкционированных действий.
Стремительное развитие информационных систем в российских банках делает проблему защиты информации еще более актуальной. Несмотря на то что по сравнению с западными банками доля автоматизированных бизнес -процессов в нашей стране не так велика, случаи нарушений деятельности банков в результате информационных сбоев как умышленных, так и неумышленных, становятся все более частыми.
Причины нарушений в информационной системе организации – это, как правило, либо ошибочные действия пользователей, либо умышленные атаки на систему.
…

Классификация моделей угроз в банковской сфере

Стандарт СТО БР ИББС – 1.0-2014 определяет модель угроз информационной безопасности следующим образом: это «описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба» [12].
Согласно данному документу, модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ. Деятельность организации БС РФ поддерживается входящей в ее состав информа­ционной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
– физического (линии связи, аппаратные средства и пр.);
– сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.
…

Парадигма обеспечения информационной безопасности организаций банковской системы Российской

Сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику (организации БС РФ), в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы.Угрозы реализуются через их источники и имеют соответствующую вероятность реализации. Выделяют источники угроз природного, техногенного и антропогенного характера. Источники угроз антропогенного характера могут быть как злоумышленные, так и незлоумышленные.
В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противоборство собственника «А» и злоумышленника «Б» с целью получения контроля над информационными активами. Однако другие, незлоумышленные действия или источники угроз также лежат в сфере рассмотрения настоящего стандарта.
…

Заключения по теме:

Таким образом, в заключение данной работы можно сделать следующие выводы. Изложенное выше, показывает роль технических средств в обеспечении эффективности банковской деятельности в настоящее время. Были рассмотрены риски внедрения банковских систем, принципы, обеспечивающие надёжность обработки и передачи информации, которая заключается в выполнении большого количества операций проводимых банком в современных условиях банковской деятельности. Современные системы управления позволяют не только усовершенствовать операции расчёта, но и процессы управления банком, оказывают помощь по принятию решений в кредитной или дилинговой деятельности. Были также рассмотрены лидеры на рынке автоматизированных банковских систем за границей и в пределах нашей страны, даны их краткие характеристики.

Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов: — мониторинга ИБ и контроля защитных мер; — самооценки ИБ; — аудита ИБ; — анализа функционирования СОИБ (в том числе со стороны руководства). Указанные процессы являются частью группы процессов “проверка” СМИБ, требования к которым приведены в разделе 8 настоящего стандарта. Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть: — контроль за реализацией положений внутренних документов по обеспечению ИБ в орга- низации БС РФ; — выявление нештатных, в том числе злоумышленных, действий в АБС организации; — выявление инцидентов ИБ. Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, ответственным за ИБ.

Таким образом, можно сделать вывод, что экономическая безопасность предприятия - это состояние его защищенности от негативного влияния внешних и внутренних угроз, дестабилизирующих факторов, при котором обеспечивается устойчивая реализация основных коммерческих интересов и целей уставной деятельности. Для каждого предприятия "внешние" и "внутренние" угрозы сугубо индивидуальны. К внешним угрозам и дестабилизирующим факторам можно отнести противоправную деятельность криминальных структур, конкурентов и др. К внутренним угрозам и дестабилизирующим факторам относятся действия или бездействия сотрудников предприятия, противоречащие интересам его коммерческой деятельности, следствием которых могут быть нанесение экономического ущерба компании, утечка или утрата информационных ресурсов и др.

В ходе выпускной квалификационной работы были созданы инструменты контентного анализа в DLP-системе компании «Зекурион» для предприятия банковской сферы, найдены сильные и слабые стороны подобных систем. Было изучено понятие DLP-систем, а также основных технологий и методов обнаружения конфиденциальной информации. Было показано, что существует много подобных систем, конкурирующих между собой и занимающих достойное место на рынке России. Были проанализированы сравнительные таблицы различных DLP-систем, вследствие были выявлены некоторые недостатки в системах «Зекурион», например отсутствие веб-интерфейса для администрирования, отсутствие каналов контроля IP-телефонии. Среди преимуществ было выяснено, что системы компании «Зекурион» одни из немногих на рынке поставляются государственным компаниям, включают множество методов и инструментов для поиска, фильтрации и перехвата данных.

По результатам исследования можно сделать следующие общие выводы. Комплекс документов Банка России по обеспечению информационной безопасности получил широкое признание со стороны подавляющего большинства кредитных организаций, что подтверждено существенным ростом числа проектов по его внедрению и оценки его соответствия. Возрастающая роль информационной сферы, как системообразующего фактора жизни общества, активно влияет на безопасность РФ, поэтому исследование правовых аспектов защиты информации и информационной безопасности является актуальным для современного российского общества. Для решения данной проблемы важно изучение нормативно-правовых актов Российской Федерации, в части рассмотрения мер гражданско-правовой, уголовной, административной и дисциплинарной ответственности за разглашение защищаемой информации и нарушение правил ее защиты.

Подводя итоги исследования, можно сделать следующие выводы. Банковская тайна является одним из видов охраняемых законом тайн. Доступ к информации, ее компонентам ограничен в соответствии с законодательством Российской Федерации в целях защиты денежного обращения для обеспечения прав и законных интересов клиентов и корреспондентов кредитной организации. Банковская тайна как объект правового регулирования – это информация, в то же время право субъекта на банковскую тайну – это личное неимущественное право, пользующееся правовой защитой.

Расчёт резерва под капитал для операционного риска является для банка очень важной задачей. Как было неоднократно отмечено недооценка операционного риска ведет к серьезным последствиям в банковской деятельности. В нашем исследовании мы ставили перед собой следующие задачи: 1. Оценить резерв капитала под операционный риск с помощью двух подходов: • BIA – базовый индикативный подход • TSA – cстандартизированный подход 2. Определить значимость объясняющих переменных, описанных в главе 3 3. Сравнить, полученные результаты для крупных банков и малых и средних банков. В результате данного исследования мы пришли к следующим выводам: 1. Разница в расчёте двух подходов для всей выборки банков зависит, как от размера банка, так и от двух контрольных переменных: капитализации и рентабельности активов. 2. Для малых банков базовый подход оказался не устойчив к размеру, в то время как стандартизированный подход - устойчив

В данной работе произведен аудит предприятия защиты информации на примере ПАО «Банк Премьер Кредит», произведена оценка рисков, угроз активам. Теоретические основы и нормативная база систем информационной безопасности были рассмотрены. Определили по перечню информацию относящиеся к персональной, список всех имеющихся документов, создающихся в действии предприятия с персональными данными. Приведены классификации типов конфиденциальной информации по методике ФСТЭК, защищенность АИС, проведен анализ документационного, организационного обеспечений выполнения всех требований законодательства относительно определенных классов КИ.

Кредитоспособность представляет собой характеристику, присущую заемщику, отражающую его финансовое положение, необходимое для погашения кредита, полученного в банке, а также для выплаты процентов за пользование эти кредитом. Главной целью оценки кредитоспособности является определение возможности и готовности заемщика вернуть предоставляемый ему кредит в соответствии с условиями кредитного договора. Основными задачами оценки кредитоспособности заемщика являются: сформировать общую характеристику заемщика, обосновать оптимальную величину кредита, сроки и способы его погашения, выявить факторы кредитного риска и оценить их влияние на принятие решения о выдачи кредита;

Банковская система России имеет своеобразную систему становления по сравнению с развитыми странами, что обеспечило ее значительные отличия. На фоне этих изменений также ярко выделяется тенденция к увеличению числа многофилиальных банков, как более конкурентоспособных в условиях крупной страны. Чаще всего под «безопасностью» понимается «защищенность от опасностей», но необходимо смотреть шире и воспринимать безопасность как категорию системную. Под обеспечение экономической безопасности банков стоит воспринимать мероприятия в рамках анализа системных показателей, характеризующих устойчивое и защищенное от вызовов внешней среды состояние, и мер, ориентированных на преодоление экономических угроз. Слабость системы экономической и финансовой безопасности, отсутствие конструктивных методов защиты кредитных организаций предопределяют ее неустойчивость. Тем не менее, научно обоснованной концепции и механизма обеспечения финансовой безопасности банковской деятельности пока не сложилось.

В период прохождения практики в Сеть сотовой связи «Евросеть», были выполнены все практические задания, касающиеся введения конфиденциального делопроизводства. В результате прохождения учебной прохождения практики, мной были освоены следующие профессиональные компетенции: ПК 2.1 Участвовать в подготовке организационных и распорядительных документов, регламентирующих работу по защите информации. ПК 2.2 Участвовать в организации и обеспечивать технологию ведения делопроизводства с учетом конфиденциальности информации. ПК 2.3 Организовывать документооборот, в том числе электронный, с учетом конфиденциальности информации. ПК 2.4 Организовывать архивное хранение конфиденциальных документов. ПК 2.5 Оформлять документацию по оперативному управлению средствами защиты информации и персоналом. ПК 2.6 Вести учет работ и объектов, подлежащих защите. ПК 2.7 Подготавливать отчетную документацию, связанную с эксплуатацией средств контроля и защиты информации.