Методы и средства защиты информаций кредитно финансовых организаций

CОДЕРЖАНИЕ

Введение 3

1 Мониторинг ситуации и корректировка применяемых процедур обеспечения безопасности кредитно финансовых организаций 4

1. Безопасность кредитно-финансовых организаций как объект управления
2. Система управления безопасностью банка 8 
3. Служба безопасности в системе управления банком и возможные подходы к ее организации 13
2. Методы и средства защиты информаций крдитно финансовых организаций
1. Особенности информационной безопасности банков  15
2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ) 18
3. Общая характеристика средств защиты в банковской сфере 23 

Заключение  29

Список литературы 30

ВВЕДЕНИЕ

Обеспечение безопасности является неотъемлемой составной частью деятельности банка. Состояние защищенности представляет собой умение и способность надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка. Объектами безопасности являются:- персонал (руководство, ответственные исполнители, сотрудники);- финансовые средства, материальные ценности, новейшие технологии;- информационные ресурсы.            Главной целью системы безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации.   Успешное и эффективное решение задач обеспечения безопасности конкретного банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого банка и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности банка является совокупность правил входа (выхода) лиц в помещения банка, вноса (выноса) документов, денежных средств и материальных ценностей.

          1 Мониторинг ситуации и корректировка применяемых процедур обеспечения

безопасности кредитно финансовых организаций

         1.1 Безопасность кредитно-финансовых организаций как объект управления

Термин «безопасность» может применяться по отношению к самым различным субъектам, например, международная безопасность, государственная безопасность, безопасность предприятия, безопасность граждан. Обычно под ней понимается текущая и перспективная защищенность субъекта от разнообразных угроз имущественного и неимущественного характера.        В настоящем курсе рассматривается один из аспектов обеспечения безопасности кредитно-финансовой организации. Он связан с защитой лишь от тех угроз, которые определены деятельностью юридических и физических лиц, специально направленной на нанесение конкретному банку имущественного или неимущественного ущерба.            Предметная классификация угроз безопасности банка.      а) По признаку целевой направленности угрозы выделяются:    -  угроза разглашения конфиденциальной информации, которая может нанести банку ущерб в форме ухудшения его конкурентных позиций, имиджа, отношений с клиентами или вызвать санкции со стороны государства      -  угроза имуществу банка в форме его хищения или умышленного повреждения               -  угроза персоналу банка, реализация которой способна ухудшить состояние кадрового направления деятельности        б). По признаку источника угрозы (субъекта агрессии) выделяются:   -  угрозы со стороны конкурентов, т. е. отечественных и зарубежных банков, стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции, например, экономического шпионажа, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государства;        -  угрозы со стороны криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретного банка, например, захвату контроля над ним, хищению имущества, нанесению иного ущерба;          -  угрозы со стороны нелояльных сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения личных целей, например, улучшения материального положения, карьерного роста, мщения работодателю за реальные или мнимые обиды и т. п.            в) По экономическому характеру угрозы выделяются:     -  угрозы имущественного характера, наносящие банку прямой финансовый ущерб, например, похищенные денежные средства и товарно-материальные ценности, сорванный контракт, примененные штрафные санкции;     -  угрозы неимущественного характера, точный размер ущерба от реализации которых обычно невозможно точно определить, например, сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его клиентов и деловых партнеров, утеря ценного специалиста.          г) По вероятности практической реализации угрозы выделяются:   -  потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер, т. е. есть время на их профилактику или подготовку к отражению);[1]          -  реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в различных стадиях развития. Есть шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);            -  реализованные угрозы, негативное воздействие которых уже закончилось и ущерб фактически нанесен – имеется возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем.   Проведенная классификация позволяет сформулировать три основных компонента безопасности современной кредитно-финансовой организации:    1)информационная безопасность банка, предполагающая его защищенность от любых угроз разглашения или утери информации, имеющей коммерческую или иную ценность;             2) безопасность персонала банка, предполагающая его защищенность от любых угроз персоналу, прежде всего, высококвалифицированной его части;   3) имущественная безопасность банка, предполагающая его защищенность от любых угроз денежным средствам, ценным бумагам, товарно-материальным ценностям и другим элементам активов.         Общая же направленность мероприятий по защите банка от рассмотренных выше угроз иллюстрируется с использованием следующей принципиальной схемы: СХЕМА 1 Принципиальная схема обеспечения безопасности банка

Факторы, определяющие отраслевую специфику управления обеспечением безопасности банка.           1)  автоматическое перенесение возможных потерь от реализованных угроз на клиентов и партнеров банка.          2)  большая степень уязвимости банка как хозяйствующего субъекта в случае возможной утечки конфиденциальных сведений.       а) необходимость защиты коммерческой тайны (т. е. информации, разглашение которой наносит ущерб самому банку),        б) банковская тайна - часть конфиденциальной информации, находящейся в распоряжении кредитной организации, разглашение которой наносит ущерб интересам ее клиентов: размеры и движении денежных средств на открытых в банке счетах, сведения о финансовом состоянии заемщиков, переданных ему в трастовое управление имуществе или сохраняемых ценностях.      Допустивший подобную «утечку информации» банк в короткие сроки лишается наиболее привлекательной клиентуры из числа корпоративных структур и крупных частных вкладчиков. Поэтому в системе управления безопасностью защита банковской тайны всегда имеет приоритет перед защитой тайны коммерческой.Банк имеет более обширный в сравнении с другими сферами деятельности перечень потенциальных угроз банковской безопасности и, соответственно, объектов защиты. Это связано со спецификой уставной деятельностью и постоянной работой ее с высоколиквидными средствами - денежными средствами, валютой, драгоценными металлами, ценными бумагами и т. п.         Дополнительные особенности организации банковской безопасности в современных отечественных условиях:           -  общий уровень криминагенности экономики переходного периода;   -  высокая степень криминагенности банковской деятельности, например, участие отдельных банков в противоправных финансовых операциях, связи с “теневой” экономикой и преступными группировками;        -  более высокий уровень распространенности угроз банковской безопасности насильственного характера (ограбления, покушения на персонал);    -  недостаточная лояльность банковских служащих к своему работодателю;  -  не всегда достаточная квалификация сотрудников службы безопасности в области защиты компьютерной информации;        -  недостаток у многих банков финансовых ресурсов для внедрения высокоэффективных систем защиты информации и имущества;      -  непонимание многими руководителями службы безопасности необходимости системного подхода к решению этой проблемы из-за общей ориентации на односторонние по своей направленности методы – защита персонала, защита имущества, защита информации.

1.2. Система управления безопасностью  банка.      Управление безопасностью выступает в качестве одного из необходимых элементов внутрибанковского менеджмента.       Для обеспечения необходимой эффективности управление безопасностью должно осуществляться в рамках целостной системы управления, структура которой иллюстрируется следующей схемой:

СХЕМА 2

Стратегия обеспечения безопасности – совокупность долгосрочных целей и управленческих подходов, реализация которых обеспечивает защиту кредитно-финансовой организации от потенциальных угроз разглашения коммерческой и банковской тайны, а также нанесения ей любых других форм ущерба имущественного и неимущественного характера.В своей основе стратегия обеспечения безопасности банка может иметь одну из трех рассмотренных ниже концепций:   Вариант 1. Концепция «упреждающего противодействия».    Она предполагает возможность использования службой безопасности наиболее активных методов профилактики и противодействия возможным угрозам.При реализации рассматриваемой концепции допускаются, в частности, банковский шпионаж, не всегда легитимные методы контроля над лояльностью собственного персонала.             Вариант 2: Концепция «пассивной защиты».        Данная концепция является логическим следствием ранее избранной банком стратегии сокращения и вытекающей из нее пассивной конкурентной стратегии. Она предполагает приоритетную ориентацию банка на защиту со стороны государства . Это позволяет резко ограничить функции собственной службы безопасности, сохранив в ее инструментарии лишь минимально необходимую номенклатуру методов профилактики и отражения потенциальных угроз.Рекомендации по применению: для небольших банков, работающих либо на наименее конкурентных рынках, либо под непосредственным патронажем органов государственного управления.  Вариант 3. Концепция «адекватного ответа».      Она предполагает возможность использования службой безопасности всего комплекса легитимных методов профилактики и отражения потенциальных угроз. В порядке исключения допускается использование и не полностью легитимных методов, но лишь в отношении тех конкурентов или иных источников угроз, которые первыми применили подобные методы против конкретного банка.   Вариант является компромиссом между первой и второй концепциями. В современных условиях применяется большинством кредитно-финансовых организаций.              Факторы, определяющие выбор базовой концепции обеспечения безопасности банка:               -  общая стратегия развития (“миссия”) банка, например ориентация на обслуживание высокорентабельных отраслей или теневой экономики;     -  степень агрессивности конкурентной стратегии банка;     -  степень “криминагенности” региона размещения банка;     -  финансовые возможности банка по обеспечению собственной безопасности; -  квалификация персонала службы безопасности банка;     -  наличие поддержки со стороны местных органов государственной власти. Операционными подсистемами называются – самостоятельные элементы системы управления, каждый из которых направлен на решение формализованного перечня однотипных задач по обеспечению безопасности.Блок обеспечения является необходимой частью любой управляющей системы. Формируя исходные условия для эффективного управления, он включает в себя несколько направлений.   а) Информационное обеспечение системы управления безопасностью включает в себя три компонента:           -  используемые в рамках системы методы и конкретные процедуры получения субъектами управления необходимой первичной информации;    -  формализованные каналы прохождения информации в рамках системы, которые определяют маршрут движения ранее собранной информации по инстанциям (принципиальная схема: «от кого - кому - в какой форме - в какие сроки»);   -  базы данных, связанных с любыми проблемами внутренней и внешней безопасности, которые накапливаются и обновляются в течение всего периода функционирования на рынке и используются при формировании управленческих решений любого уровня.             б) Нормативно-методическое обеспечение включает в себя комплект внешних и внутренних регламентов, а также документов рекомендательного, т. е. не директивного характера. К внешним регламентам относятся, например, Закон РФ «О частной детективной и охранной деятельности в РФ», Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну». К внутренним регламентам и рекомендациям относятся любые постоянно действующие документы, разработанные в рамках конкретного банка и введенные в соответствии с действующим в нем порядком – инструкции, приказы, распоряжения Непротиворечивость действующему законодательству.       в) Технологическое обеспечение определяется как совокупность формализованных технологий обеспечения безопасности банка от различных видов угроз. Их наличие является основной предпосылкой эффективности управления, поскольку позволяет четко определить:           -  непосредственных участников (инстанции и рабочие места, принимающие участие в описываемой операции по защите от конкретной угрозы);    -  управленческие процедуры (мероприятия, осуществляемые в рамках операции);               -  типовые сроки по операции в целом и каждой управленческой процедуре в отдельности;             -  ответственность участников за нарушение описываемой технологии.   г) Инструментальное обеспечение определяется как совокупность прикладных методов управления, используемых в рамках системы. Применительно к управлению безопасностью их можно дифференцировать на три группы:    -  методы профилактического характера, позволяющие не допустить практической реализации потенциальной угрозы;         -  методы пресекающего характера, позволяющие отразить уже реализуемую угрозу, не допустив или минимизировав возможный ущерб;     -  методы карающего характера, позволяющие наказать непосредственных виновников реализованной угрозы.          д) Трудовое обеспечение определяется как полностью укомплектованный штат службы безопасности, включающей в себя три квалификационные категории работников:             -  менеджеры, т. е. руководители различного уровня – от возглавляющего рассматриваемое направление вице-президента банка до бригадира смены охранников; -  эксперты, т. е. высококвалифицированные сотрудники службы безопасности, специализирующиеся на определенных направлениях ее обеспечения (аналитики, разработчики специальных программных средств и т. п.), но не выполняющие при этом прямых управленческих функций;        -  исполнители (охранники, ремонтники спецоборудования и др.).   е) Финансовое обеспечение определяется как совокупность финансовых ресурсов, выделяемых на поддержание и развитие рассматриваемого направления (приобретение спецоборудования, зарплата персонала, оплата информации и т. п.). При формировании, эксплуатации и развитии системы управления безопасностью банка необходимо соблюдать некоторые общие методические требования. Главным из них выступает системный подход к проблеме обеспечения безопасности. Под этим понимается недопустимость акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным.Вторым требованием определяется приоритет мероприятий по предотвращению потенциальных угроз (т. е. методов профилактического характера).Третьим требованием выступает ориентированность системы на обеспечение приоритетной защиты конфиденциальной информации и лишь затем иных объектов потенциальных угроз. Все для большего числа хозяйствующих субъектов утеря или разглашение информации становится более значимой потерей, нежели хищение денежных средств и материальных ценностей.       Четвертым требованием является непосредственное участие в обеспечении безопасности банка всех ее структурных подразделений и сотрудников.Пятым требованием выступает обеспечение взаимодействия системы управления безопасностью с другими направлениями менеджмента.Шестым требованием является соразмерность затрат на обеспечение безопасности банка реальному уровню угроз. Оно связано с реализацией принципа «разумной достаточности».    Заключительным требованием является формализованное закрепление не только функциональных обязанностей, но и полномочий (предела компетенции) службы безопасности.           Оценка эффективности управления безопасностью является необходимым элементом системы. В отличие от большинства других направлений менеджмента здесь не всегда можно точно подсчитать обеспеченный экономический эффект. В частности, затруднительно определить возможные потери от своевременно пресеченных угроз.

1.3 Служба безопасности в системе управления банком и возможные подходы к ее организации.             В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т. е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов кредитно-финансовой организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.Отношения между службой безопасности и остальной частью трудового коллектива банка всегда имеют потенциально конфликтный характер. Это определяет необходимость регулярных профилактических мероприятий, направленных, с одной стороны, на основную часть персонала, а с другой – на сотрудников самой службы безопасности.       Выбор принципиального подхода к организации службы безопасности в конкретном банке определяется многими факторами. Главным из них является избранная ее руководством стратегия по рассматриваемому направлению деятельности, а именно – степень ее активности (агрессивности). Чем более активна эта стратегия, тем большие требования предъявляются к службе безопасности, соответственно, сложнее ее внутренняя структура, больше численность персонала.   Вторым фактором является ориентация руководства на возможное использование услуг специализированных структур . Ниже проводится сравнительный анализ трех возможных подходов.         Первый из них предполагает полный отказ от их услуг и характерен, обычно, для крупных банков, ориентированных на проведение стратегии «упреждающего противодействия». В этом случае кредитная организация вынуждена формировать собственную службу безопасности, комплектуя ее всеми необходимыми специалистами и обеспечивая соответствующими ресурсами.      Основным преимуществом данного варианта является большая степень доверия со стороны руководства банка к собственным сотрудникам, входящим в постоянный штат организации.          Недостатками данного варианта выступают высокий уровень затрат на содержание подобной службы, а для периферийных банков – объективные сложности с комплектацией ее высококвалифицированными сотрудниками всех необходимых специальностей.            Второй, прямо противоположенный, подход предполагает минимизацию штатных сотрудников службы безопасности банка, с возложением основных ее функций на сторонние специализированные структуры, привлекаемые на контрактной основе.             Привлекательность данного подхода обеспечивается многими факторами, среди которых можно выделить:           -  меньшую капиталоемкость;         -  гарантированный контрактом профессионализм привлеченных из специализированных структур сотрудников;          -  в отечественных условиях – отсутствие многих ограничений, связанных с частной охранной деятельностью.         Однако, в отличие от предприятий в других отраслях экономики, российские и зарубежные банки используют данный подход крайне редко. Это определяется в первую очередь низким доверием к любым сторонним для конкретного банка структурам.              Третий, компромиссный, подход предполагает возможность частичного использования услуг специализированных частных структур для выполнения локальных задач. Он ориентирован на кредитные организации, реализующие стратегию «адекватного ответа» и при этом относительно редко сталкивающиеся со сложными задачами обеспечения собственной безопасности.      Для таких банков целесообразно ориентироваться на принцип «разумной достаточности» и не включать в постоянный штат службы безопасности сотрудников, чей опыт и квалификация будет востребована от случая к случаю.[2]