Исследование проблем защиты информации (АК «Собинбанк»)
Содержание:
ВВЕДЕНИЕ
Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.
Статистика подтверждает необходимость комплексной системы защиты информации. В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.
Цель курсовой работы является исследовать проблемы защиты и информации и предположить меры по ее профилактике.
Для реализации данной темы необходимо решить следующие задачи:
- рассмотреть понятие информации;
- раскрыть понятие конфиденциальности информации;
- рассмотреть проблемы защиты информации;
- предложить мероприятия по совершенствованию защиты информации.
Объектом работы является АБ «Собинбанк».
Предметом исследования является информационные ресурсы банка.
В процессе исследования были применены такие научные методы, как структурно-функциональный анализ и синтез, экономико-статистический метод, метод сравнения.
Курсовая работа состоит из введения, двух глав, заключения, списка использованной литературы и приложений.
1. ПОНЯТИЕ ИНФОРМАЦИИ И ИНФОРМАЦИОННЫХ РЕСУРСОВ
1.1 Теоретические основы информации: сущность, понятие
Сегодня никто не будет спорить с тем фактом, что отечественная правовая система переживает период глубоких изменений. Причин для этого можно назвать несколько. Играет свою роль и технический прогресс - его развитие способствует качественному изменению структуры общества, приводя его к новой, информационной форме. В стремительно эволюционирующем мире право не может оставаться «статичным», оно должно максимально быстро реагировать на вызовы современного мира.
С позиций теории права динамический аспект правового регулирования открывается через систему функций права, отражающую взаимодействие права с внешними условиями и социальное назначение права [9, с. 172176].
А в силу специфики мирового общественного развития, связанной с необходимостью усиления коммуникационных процессов различных уровней, все большую роль среди общесоциальных функций права играет информационная функция.
Изучение выделенной функции дает теоретический инструментарий определения негативных областей общественных отношений в сфере информационного взаимодействия государства с обществом, позволяет очертить границы воздействия права на указанный вид коммуникации, а также с максимально возможной степенью эффективности осуществлять правовое регулирование общественных отношений.
Между тем анализ юридической литературы показывает, что ситуация с исследованиями информационной функции права сегодня сложная. Это связано с тем, что вызывает споры вопрос о сущности самого понятия «функция права» и о его классификации (даже несмотря на наличие такого фундаментального исследования, как монография Т.Н. Радько [7]).
А ведь именно от того, как исследователь решает для себя данные вопросы, зависит его позиция и по содержанию и наполнению отдельно взятых функций. В рамках нашей работы будем рассматривать функции права как основные направления его воздействия на общественные отношения, так как именно такой подход позволяет понять динамическую составляющую функций права.
Оживленные дискуссии ведутся и относительно места информационной функции в системе функций права. Более того, информационная функция права редко выделяется в самостоятельную конструкцию - ученые-правоведы чаще соединяют ее с ориентирующей функцией [5; 9 и др.].
Конечно, это во многом объясняется спецификой информационной функции и определяется ее целью, состоящей в том числе и в формировании положительной направленности субъективной стороны правомерного поведения, поиске баланса между правовым нигилизмом и правовым идеализмом. Однако в связи с развитием социума (а функции права, несомненно, имеют привязку к конкретному временному промежутку, исторической эпохе, формам общественного и государственного устройства) все же представляется более уместным выделение информационной функции как общесоциальной функции права.
Подходов к определению информационной функции права также можно выделить несколько.
Например, С.В. Бутузов под информационной функцией права понимает направление правового воздействия на общественные отношения, обеспечивающее как правовое информирование субъектов права и формирование социально полезной, положительной направленности их поведения, так и регулирование отношений, связанных с перераспределением и сохранением значимых информационных ресурсов [1].
В.Н. Карташов связывает информационную функцию права с правовой информацией, адресованной прежде всего юристам для соответствующей интерпретации и разрешения юридических дел [3].
А.В. Черняковским понятие «информационная функция права» определяется через родовое понятие «функция права» (как общеправовая, социальная, постоянно действующая функция права, конечной целью которой является поведение человека, основанное на правовой информированности) [10].
Такое определение, безусловно, заслуживает внимания, учитывая хорошо сформулированную в нем цель данного вида правового воздействия, что роднит его с мнением, например, В.Н. Синюкова, выделяющего информационно-ориентирующую функцию права [9, с. 174].
Несмотря на отличающееся название, по сути это та же информационная функция права с целью формирования социально полезной направленности субъективной стороны правомерного поведения. Именно через такое определение раскрывается сущность права как проводника информации о социальных возможностях того или иного поведения, а исследование информационной функции права позволяет взглянуть на право как на источник информации, проанализировать проблемы правовой культуры, решить задачи правовой информированности населения и должностных лиц.
К элементам механизма реализации информационной функции права относятся субъекты, способствующие осуществлению функции права; формы реализации функции права (прямая и опосредованная); юридическая основа реализации (закрепление путей реализации функции права в нормативных актах) и право индивида на доступ к правовой информации [10, с. 7].
В рамках информационной функции речь идет не только о нормативном закреплении отдельных новелл, но и о правовой информированности населения.
Таким образом, складывается вполне определенная последовательность действий: выбор желательного варианта поведения индивида или организации, закрепление вариантов поведения в серии нормативных правовых актов, обширная информационная кампания по доведению до населения сведений относительно их прав и обязанностей в рамках формирования желательного поведения.
И если с первыми двумя этапами ситуация еще может быть признана удовлетворительной, то относительно доведения сведений о позиции государства, выраженной в том числе и в правовых актах, дела обстоят совсем плохо. Именно поэтому представляется необходимым срочное решение вопроса о повышении правовой информированности населения.
Среди инструментов, которые могут сделать реализацию информационной функции права более эффективной, не последнюю роль играют информационные ресурсы органов государственной власти субъектов Федерации.
Такой выбор сделан нами не случайно: территория Российской Федерации достаточно обширна, тесное взаимодействие законодателей с гражданами Российской Федерации на федеральном уровне организовать практически невозможно, зато на уровне субъектов Федерации такое направление развития вполне доступно, например, на базе соответствующих информационных ресурсов.
Под информационным ресурсом понимается представленный в виде отдельных документов и/или их массивов системообразущий элемент человеческой деятельности, являющийся источником информации или средством для получения отдельными физическими лицами и организациями знаний, формируемых в результате деятельности различных структур общества [8, с. 34-43].
Однако из определения следует, что потоки информации, циркулирующей в виде информационных ресурсов, разделяются на входящие (информационные ресурсы как средства) и исходящие (информационные ресурсы как источник).
Представляется, что входящий информационный поток более уместно называть информационным обеспечением того или иного вида деятельности, а потому будем рассматривать информационные ресурсы во втором значении – как документы, формирующие исходящий поток информации. При этом сейчас основным (а иногда и единственным) их видом выступают официальные сайты рассматриваемой категории субъектов (речь идет об органах законодательной власти субъектов РФ).
Не вызывает сомнения тот факт, что объем накопленной информации практически по любому вопросу сегодня достаточно велик, поэтому необходимо говорить не о его формировании, а об оптимизации. Исследование выбранного нами информационного массива уместно проводить при помощи апробированного нами ранее метода: определение текущего состояния исследуемой системы - задание желаемого состояния исследуемой системы - оценка разницы между «тем, что надо» и «тем, что есть» как направления оптимизации [8, с. 77-84].
В рамках данного исследования задача состоит в том, чтобы обратить внимание на уровень взаимодействия законодателей субъектов РФ с гражданами регионов.
Как система нами выбраны информационные ресурсы региональных правотворческих органов. Анализ их официальных представительств в сети Интернет дает возможность сделать следующий вывод. В целом сайты похожи по внутренней структуре, но объем их информационного наполнения по одинаковым разделам различен.
Однако несмотря на отдельные попытки наладить «обратную связь», на решение вопросов повышения правовой грамотности населения эти ресурсы ориентированы слабо, а для такого контингента, как молодежь (а ведь именно молодые люди являются основными «потребителями» глобальной сети), их вообще вряд ли можно назвать привлекательными. Виртуальные приемные, организованные на сайтах, лишь половинчатое решение данной проблемы - в дополнение к ним не хватает такого интерактивного элемента, как форум.
Решая задачу повышения правовой грамотности граждан и формирования их желательного поведения, что является основной целью реализации информационной функции права, представляется полезным изучить опыт других государств.
Особенно интересным видится исследование ресурсов законодательной власти Германии, где, с одной стороны, значительным достижением выступает формирование в стране одного из самых развитых гражданских обществ [2], а с другой - форма государственного устройства так же, как и в России, федеративная. Нами отмечено следующее: на сайте Бундестага (http:// www.bundestag.de) каждый гражданин имеет право подать петицию, обязательную для рассмотрения соответствующим комитетом Бундестага. Петицию можно подать и через онлайн-форму, техническим ее воплощением в данном случае будет отдельная ветка форума, где обсуждение проводится как между гражданами, так и при участии рассматривающего петицию комитета. В сочетании с грамотной политикой распространения информации о направлениях деятельности Юундеста- га (на сайте, через трансляции, экскурсии, возможности присутствия на заседаниях и даже работу передвижных информационных «выставок», работающих на ярмарках или выезжающих к гражданам) такой способ позволяет гражданам активно участвовать в законодательной деятельности и повышает сознательное отношение индивида к своим правам и обязанностям.
Между тем территория Российской Федерации велика, а потому «рецепты» Германии в данном случае на федеральном уровне не применимы, зато на региональном могут дать неплохие результаты.
Интересный пример по формированию желательного поведения приводит Г.Г. Почепцов - президентская кампания Обамы «Change» («Перемены»), когда в социальных медиа было запущено вирусное сообщение, которое призывало прийти на ралли Обамы как на эмоционально захватывающее действие: такое сообщение стало интересным даже для тех, кто не являлся его сторонником, и изменило их поведение [4].
Что же касается молодежи, то здесь только информационными ресурсами органов власти не обойтись. Их необходимо дополнять проведением всевозможных рекламных и просвещающих кампаний в среде социальных сетей, являющихся местом сосредоточения молодежи. Социальные сети сегодня вообще являются мощной информационной средой, но тем не менее практически не применяются для целей формирования положительной направленности субъективной стороны правомерного поведения (причем не только в России).
Таким образом, можно констатировать, что сеть Интернет предоставляет богатый инструментарий по повышению правовой грамотности населения, а как следствие, и реализации информационной функции права. Однако в силу множества факторов (традиции, неумение работать с виртуальной средой и прочих) эти средства субъектами, в чьи полномочия входит реализация информационной функции права, используются крайне слабо.
Между тем ситуация недооценки возможностей глобальной сети может стать угрозой и для национальной безопасности, например, учитывая тенденцию перемещения войн в информационное пространство (одной из целей кибервойны является массированная психологическая обработка населения для дестабилизации общества и государства [6]). Нами перечислены лишь некоторые из путей оптимизации информационных ресурсов региональных органов законодательной власти, но даже их внедрение может существенно увеличить их «привлекательность» для населения и тем самым повысить эффективность реализации информационной функции права.
1.2 Понятие конфиденциальности информации
Для всякого предприятия, учреждения, организация (далее именуется организация) характерны ситуации, при которых необходимо обмениваться конфиденциальной информацией. В одних случаях этот обмен является обязательным и определен нормами законодательства Российской Федерации, в других случаях -является волеизъявлением собственника конфиденциальных сведений и, как правило, обусловлен необходимостью выполнения совместных работ.
Полученная от владельца информационного ресурса (собственника информации) конфиденциальная информация, сосредоточенная у владельца информационного ресурса (получателя информации), может стать объектом заинтересованности третьих лиц и, как следствие, спровоцировать компьютерную атаку на информационный ресурс получателя.
"Конфиденциальность информации" признак (условие) ограничения доступа к информации.
"Тайна" - конкретный режим ограничения доступа к информации. "Ограничение доступа к информации" - идентично конфиденциальности.
Федеральный закон "Об информации, информационных технологиях и защите информации" определил интересующее нас понятие следующим образом: конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7. ст. 2).
Согласно "Специальных требований и рекомендаций по технической защите конфиденциальной информации" "конфиденциальная информация"- это информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
К конфиденциальной информации относятся не только "тайна следствия и судопроизводства", "служебная тайна", а также "коммерческая тайна" и актуальные на сегодняшний день "персональные данные".
Перечислим некоторые методологические подходы к формированию системы конфиденциальности. Первое условие - интерес - определяется характером субъекта, обладающего информацией. Опираясь на привычную триаду, можно выделить три вида субъектов (личность, социальная общность, государство) и связать их интересы с конкретными видами тайн: личность (физическое лицо) безотносительно к ее служебному положению - личная тайна; социальная общность (семья, общественное объединение, хозяйствующий субъект) - семейная тайна, коммерческая тайна, профессиональные тайны; государство (в лице органов государственной власти) - государственная и служебная тайна.
Среди видов тайн можно выделить "первичные" (естественные) тайны, которые непосредственно связаны с жизнедеятельностью субъекта:
- личная - физическое лицо;
- коммерческая - юридическое лицо (субъект предпринимательской деятельности), государственная и служебная (в части внутрисистемной информации) - орган государственной власти.
Остальные тайны - "производные". Это, прежде всего, профессиональные тайны. Такие тайны составляет информация, передаваемая субъекту профессиональной деятельности в режиме личной тайны (врачебная тайна, тайна исповеди, тайна банковских вкладов, налоговая, нотариальная и др.) либо в режиме коммерческой тайны (налоговая, банковская, нотариальная и др.). Служебная тайна, если ее понимать как тайну, охраняемую государственным служащим, имеет особенности, позволяющие ее только условно отнести к профессиональной тайне. Информация, составляющая служебную тайну, включает в себя как конфиденциальную информацию, представляемую в орган государственной власти, так и информацию, создаваемую (генерируемую) в этом органе, доступ к которой временно ограничен в интересах государственного управления по решению руководителя.
Принципиальное различие между этими двумя категориями тайн состоит в следующем. Если в отношении "первичных" тайн у обладателя информации есть права на установление режима ограничения доступа, то в отношении "производных" тайн возникает обязанность устанавливать соответствующий режим лицом, которому доверена такая информация. Исходя из интересов указанных субъектов и выделенных категорий тайн, можно определиться относительно роли государства в регулировании правовых режимов тайн. Очевидно, что максимальный объем регулирования со стороны государства приходится на государственную и служебную тайны. В отношении других видов "первичных" тайн государство должно уступить право основного регулятора тем субъектам, которые образуют (устанавливают) эти режимы. Задача государства - обеспечить защиту их прав и интересов с учетом интересов других субъектов.
Зашита информации в режиме тайны предполагает законодательно установленное право субъекта на введение режима ограниченного доступа;
объем прав на охраняемую информацию;
обязанности по ее охране;
ответственность за нарушение прав и обязанностей субъектов правоотношений.
Можно выделить несколько условий, необходимых и достаточных для установления режимов конфиденциальности:
- заинтересованность субъекта в ограничении доступа к информации, т.е. ценность этой информации (в моральном, материальном или ином аспекте);
- наличие интереса (права) других субъектов на получение или использование этой информации, т.е. обладатель, реализуя свой интерес, не должен нарушать законные права других субъектов на получение информации;
- право ограничивать доступ к информации может распространяться только на информацию, полученную законным путем, в том числе самостоятельно, по договору, в дар и т д.;
- информация, доступ к которой ограничивается, не должна быть общеизвестной;
- обладатель информации, к которой он хочет ограничить доступ, должен обеспечить необходимые меры защиты этой информации - установить режим тайны.
1.3 Защита информации банков и коммерческих организаций
Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены: на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.
Опираясь на многолетний опыт и экспертизу в области аутентификации, защиты персональный данный, обеспечения конфиденциальности информации и безопасной работы в сети Интернет, компании по средствам защиты информации реализует разработку и поставку средств защиты, отвечающих национальным и международным стандартам в области информационной безопасности. Комплексные решения на их основе востребованы: в различные секторах отечественной экономики, в том числе в государственно-административном, банковском и ряде других.
Решения для банковских и финансовый систем обладают рядом специфических особенностей. Во-первы:х, обеспечение информационной безопасности носит совершенно явный прикладной характер — противодействие мошенничеству и защита финансов. Во-вторых, необходимость строгого соответствия требованиям российского законодательства и отраслевым стандартам. В-третьих, массовое применение этих решений обусловливает требования простоты: и удобства использования, необязательности специальные знаний и умений при обеспечении безопасности работы: с удаленными сервисами.
Банковская сфера является одной из самые динамично развивающихся на российском рынке. Об этом свидетельствуют как темпы: роста отрасли, так и количество сервисов, предлагаемые клиентам.
Современные информационные технологии позволяют предоставлять большинство услуг через системы: дистанционного банковского обслуживания (ДБО). Традиционно встает вопрос о защите такого рода сервисов. Ответом служит использование решений обеспечивающих двухфакторную аутентификацию. [1]
Деятельность банковской отрасли регулируется российским законодательством и международными стандартами. Решения по шифрованию данных с использованием российских алгоритмов и защите баз данных должны соответствовать требованиям регулирующих норм и отраслевых стандартов.
Развитие технологических стандартов отрасли требует от банков обеспечения безопасного (в том числе, удаленного) доступа сотрудников к корпоративной сети и информационным ресурсам, а также разграничения и аудита доступа к базам данных в качестве защиты от возможных действий инсайдеров.
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей.
Современный банк немыслим без интернет банка и системы ДБО, т. к. здесь пользователи работают не просто с бумагами, а с реальными деньгами и задача по обеспечению защищенности решения ДБО выходят на первый план.
На сегодняшний день трудно представить работу предприятий и учреждений без компьютерных сетей и баз данных. Государственные, коммерческие и личные секреты доверяются компьютерам, в связи с чем возникает потребность в надежных средствах безопасности для защиты информационных данных.
Наиболее надежным способом является двухфакторная аутентификация - аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В этом случае злоумышленник не сможет получить доступ к данным, так как ему придется не только подсмотреть пароль, но и предъявить физическое устройство, кража которого, в отличие от кражи пароля, практически всегда быстро обнаруживается.
У любой компании независимо от ее масштаба, вида деятельности и уровня развития рано или поздно возникает вопрос обеспечения сохранности коммерческой информации и ограничения доступа к ней со стороны как недобросовестных сотрудников, так и внешних лиц.
Сегодня угрозы, связанные с несанкционированным доступом к конфиденциальным данным, могут оказать существенное влияние на бизнес компании. Возможный ущерб от раскрытия корпоративных секретов может включать в себя как прямые финансовые потери, так и косвенные - плохая репутация и потери перспективных проектов. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовыми планами и другими приватными документами трудно недооценить.
Применение средств шифрования данных решает задачу ограничения доступа к конфиденциальной информации - никто посторонний, получив доступ к компьютеру, не сможет прочитать закрытые данные.
Несмотря на неоспоримые удобства всемирной паутины, современные компании сталкиваются с двумя основными проблемами, возникающими при подключении к Интернет. Любой компьютер становится потенциальным объектом для атаки и постоянно находится под угрозой инфицирования злонамеренным кодом. [2]
Основными интересами для злоумышленников является похищение информации, которую можно в том или ином виде продать или использовать для получения денег, а также пополнение ресурса бот-сетей, которые можно сдать в аренду для рассылки спама и т.д.
Кроме того, сотрудник компании, имеющий подключенный к Интернет рабочий компьютер, зачастую использует его не только для выполнения прямых обязанностей. Он отправляется в глобальную сеть по личным интересам, не имеющим никакого отношения к его служебным обязанностям. [3]
Для того, чтобы противостоять угрозам из Интернет и обеспечить более эффективное использование рабочего времени сотрудниками, необходимо комплексное решение - надежное, производительное, масштабируемое, отказоустойчивое и легкое в управлении.
Задача по защите, лицензированию и распространению программного обеспечения стоит перед каждым разработчиком коммерческих приложений.
Пиратство и недобросовестная конкуренция со стороны других производителей, которые могут воспользоваться уникальными наработками и применить их в своих продуктах, до сих пор являются острыми проблемами российского рынка программного обеспечения.
Крайне важно для разработчика грамотно организовать защиту программного обеспечения и его лицензирование. Наиболее актуальна эта задача для многофункционального программного обеспечения, состоящего из нескольких компонентов, каждый из которых может продаваться отдельно. Кроме того, часто программы удобно продавать в рассрочку или по подписке.
Применение технологий строгой аутентификации, шифрования и аудита доступа к данным значительно снижают риски несанкционированного доступа, просмотра и изменения информации со стороны неуполномоченных пользователей и администраторов.
2. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКОМ СЕКТОРЕ
2.1 Защита информации в банках
С момента своего появления в конце 80-х годов российские акционерные коммерческие банки (далее «банк») столкнулись с необходимостью обеспечения собственной безопасности от противоправных посягательств [1]. Как показала практика, наиболее опасными для любого банка по экономическим последствиям являются действия, связанные с несанкционированным доступом в банковские компьютерные сети и системы. Это привело к необходимости организовать защиту банковских структур от попыток противоправного получения конфиденциальной информации, накапливаемой и обрабатываемой в средствах информатизации банков в виде информационных ресурсов - отдельных финансовых и иных документов и массивов таких документов, содержащих сведения, относимые к коммерческой или банковской тайне. На практике многие банки продолжали и продолжают в основном совершенствовать «силовые» методы охраны своих материальных ценностей, а также системы инженерно-технической и программной защиты конфиденциальной информации, составляющей коммерческую тайну самого банка и его клиентов - юридических лиц, или персональные данные его клиентов - физических лиц. При этом уделяется мало внимания совершенствованию организационных мер по защите информации, в частности, совершенствованию работы по созданию совокупности организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих как аналитическую работу по выявлению внешних и внутренних угроз информационной безопасности банка, так и работу по созданию комплексной системы защиты информации в банке.
Показано, что для защиты компьютерной конфиденциальной информации в корпоративной сети банка основной организационной мерой является создание административной службы защиты этой информации в составе общей службы безопасности банка и определены требования, предъявляемые к администратору системы защиты компьютерной информации в корпоративной сети банка (администратору безопасности), а также сфера его ответственности. Порядок работы, права и обязанности администратора безопасности изложены в специально разработанной должностной инструкции.
2.2 Краткая характеристика банка АК «Собинбанк»
Собинбанк основан в 1990 году. Полное наименование Банка - Акционерный банк «Содействие общественным инициативам» (открытое акционерное общество) / ОАО «Собинбанк». Сегодня это универсальный банк федерального уровня, предоставляющий широкий спектр услуг корпоративным клиентам и частным лицам. 100% акций ОАО «Собинбанк» принадлежат ОАО «АБ «РОССИЯ».
С декабря 2004 года Собинбанк является участником государственной системы страхования вкладов (рег.№358).
Собинбанк обслуживает важнейшие отрасли российской экономики – энергетическую, топливную, транспортную; агропромышленный комплекс, строительство и недвижимость, городское и муниципальное хозяйство, торговлю, финансовые и инвестиционные компании.
Розничный бизнес – одно из важнейших направлений деятельности Банка. Сегодня Собинбанк активно привлекает вклады населения по выгодным депозитным программам.
Собинбанк имеет широкую филиальную сеть на территории Российской Федерации, один филиал Банка расположен в Казахстане (Байконур). Общее количество городов присутствия – свыше 30, в том числе Москва.
03.09.2013 г. агентство Рус-Рейтинг подтвердило кредитный рейтинг Собинбанка на уровне BB.
Рейтинги имеют прогноз «стабильный».
В рейтингах центральных деловых изданий по основным балансовым показателям Собинбанк стабильно входит в число крупнейших кредитных организаций России.
В частности, по данным журнала «Эксперт» Собинбанк занимает 81 позицию в рейтинге ТОП-100 банков России по активам по состоянию на 01.04.2017 года.
Акционеры и руководство |
Акционеры:
100% акций АО «Собинбанк» принадлежит АО «АБ «РОССИЯ».
Органами управления АО «Собинбанк» являются:
Общее собрание акционеров;
Совет директоров;
Правление - коллегиальный исполнительный орган;
Председатель Правления - единоличный исполнительный орган.
Совет директоров АО «Собинбанк» Председатель Совета директоров Кривощеков Кирилл Юрьевич, с 30.06.2016 года Члены Совета директоров Дружинин Максим Ярославович, с 18.01.2017 года Кривощеков Кирилл Юрьевич, с 18.01.2017 года Кондрусев Кирилл Иванович, с 18.01.2017 года Минаев Олег Александрович, с 18.01.2017 года Гришин Станислав Валентинович, с 18.01.2017 года Поляков Иван Николаевич, с 18.01.2017 года |
К основным перспективным направлениям деятельности Банка относится развитие комплекса предоставляемых услуг, увеличение их объемов и улучшение качества.
В 2014 году Собинбанк в соответствии с полученными лицензиями вел работу по следующим направлениям:
- привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);
- размещение привлеченных во вклады денежных средств физических и юридических лиц от имени и за счет Банка;
- кредитование физических и юридических лиц;
- открытие и ведение банковских счетов физических и юридических лиц;
- осуществление расчетов по поручению физических и юридических лиц по их банковским счетам;
- кассовое обслуживание физических и юридических лиц;
- купля-продажа иностранной валюты в наличной и безналичной формах;
- выдача банковских гарантий;
- осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов) и др.
Активы Банка, по данным публикуемой формы бухгалтерского баланса, по состоянию на 1 января 2015 года составили 37,41 млрд рублей, снизившись на 31% по сравнению с аналогичным показателем на 1 января 2014 года.
Основной составляющей структуры активов Банка являются кредиты, предоставленные негосударственным коммерческим организациям, физическим лицам, денежные средства и средства на счетах в Банке России, вложения в ценные бумаги, оцениваемые по справедливой стоимости через прибыль или убыток, вложения в основные средства, нематериальные активы и материальные запасы.
Пассивы Банка, включающие денежные средства физических и юридических лиц, на 1 января 2015 года составили 33,72 млрд рублей, снизившись на 32% по сравнению с аналогичной датой годом ранее.
Капитал Банка на 1 января 2015 года, рассчитанный в соответствии с требованиями Банка России, составил 5,13 млрд рублей, уменьшившись на 17% по сравнению с данными на 1 января 2014 года.
Чистый убыток Банка по итогам работы в 2014 году составил 756 млн рублей. Размер резервного фонда в 2014 году достиг 229,84 млн рублей, увеличившись по решению единственного акционера за счет прибыли по итогам 2013 года на 7,48 млн рублей.
Снижение основных балансовых показателей Банка вызвано изменением внешней конъюнктуры и негативным макроэкономическим фоном, сложившимся на отечественном финансовом рынке в 2014 году.
2.3 Защита информации
ОАО «Собинбанк» является универсальной кредитной организацией, и его деятельности присущи большинство видов рисков, характерных для банков, ведущих свою деятельность в России. Банк последовательно развивает комплексную систему управления рисками, основной целью которой является оптимизация соотношения между принимаемыми рисками и доходностью операций.
Созданная система управления рисками позволяет идентифицировать и управлять основными видами рисков, которые способны оказать существенное влияние на денежные потоки (прибыль) Банка.
Риск-менеджмент в ОАО «Собинбанк» организован в соответствии с требованиями законодательства РФ и с использованием мирового опыта управления рисками. Он основывается на сформированной нормативной базе, современных методологических подходах, стандартизации и автоматизации процессов управления рисками.
Одним из видов риска является риск со стороны информационных систем.
Операционный риск - риск возникновения убытков в результате несоответствия внутренних порядков и процедур Банка характеру и масштабам его деятельности и (или) требованиям действующего законодательства, некомпетентности или ошибок сотрудников Банка, а также в результате действия внешних неблагоприятных факторов неэкономического характера.
Риск внутренних процессов контролируется за счет анализа существующих и вновь разрабатываемых процедур, документов, регламентов и т.п. проведения банковских операций, на предмет возможного возникновения операционных рисков; оптимизации организационной структуры, внутренних процедур и правил совершения банковских операций.
Риск со стороны персонала контролируется путем:
- повышения квалификации персонала, проведения тренингов;
- проведения тестирования:
- организации проверок исполнительной дисциплины;
- разработки и принятия мер по мотивации персонала и т.д.
Контроль риска со стороны информационных систем обеспечивается за счет использования систем защиты и дублирования информации; принятия оперативных мер на уровне руководства Банка по устранению причин возникновения и последствий сбоев в информационных системах; разработки альтернативных сценариев действия в случае возникновения непредвиденных ситуаций.
Управление операционными рисками ведется по основным направлениям:
- организация превентивных мер, направленных на предотвращение фактов реализации операционных рисков;
- выявление и устранение источников риска в текущей деятельности;
- оценка достаточности капитала на покрытие убытков по операционным рискам;
- разработка процедур поддержания работоспособности подразделений и устойчивости Банка в случае возникновения чрезвычайных ситуаций.
Риск, связанных в связи с утечкой информации и прочих информационных систем контролируется в Банке службой безопасности, которая входит в штат практически любого банка.
Проблема защиты банковской информации и формирования систем информационной безопасности - одна из самых актуальных в настоящее время. Активное участие в развитии указанного направления принимает Банк России, регулярно публикуя стандарты в области информационной безопасности: Стандарт Банка России СТО БР ИББС- 1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»; Стандарт Банка России СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2010»; Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Большинство кредитных организаций сейчас находится на этапе внедрения требований Банка России и, по прогнозам, на рекомендуемый уровень соответствия требованиям выйдут через 1-3 года [1].
Проблемы защиты информации в ОАО «Собинбанке» связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации. Проанализировав возможные угрозы надлежащему хранению информации в банке ОАО «Собинбанке» можно составить рейтинг (на основе мнения специалистов[1]) значительности угроз:
- преднамеренное хищение информации внутри организации;
- халатность сотрудников, допустивших утечку информации;
- аппаратные и программные сбои;
- вредоносные программы;
- внешнее финансовое мошенничество;
- хакерские атаки;
- стихийные бедствия и катаклизмы.
Угрозы банковским информационным системам в банке ОАо «Собинбанк», их конкретные проявления и причины возникновения представлены в таблице 1.
Таблица 1 - Угрозы банковским информационным системам в ОАО «Собинбанк»
Угрозы банковским информационным системам |
Проявления угроз банковским информационным системам |
Причина возникновения угроз банковским информационным системам |
преднамеренное хищение / изменение информации внутри организации |
несанкционированный доступ к секретной или конфиденциальной информации как банка, так и клиента и ее хищение или искажение преднамеренная порча электронных данных и их носителей при их хранении в банке, в ходе записи или перевозки |
мошенничество сотрудников и низкий уровень внутреннего контроля |
Халатность сотрудников, допустивших утечку информации |
внедрение в линию связи между другими участниками расчетов в системе интернет-банкинга в качестве активного тайного ретранслятора осуществлением платежей по счетам клиентов на основании сфальсифицированных поручений |
низкая квалификация персонала и низкий уровень внутреннего контроля |
Аппаратные и программные сбои |
изменение функций программного обеспечения поломка аппаратуры |
устаревание и износ программно-технических средств использование некачественного программного обеспечения |
Продолжение таблицы 1 |
||
Вредоносные программы |
DDoS- атаки («зомби»-сеть) рассылка вирусов по электронной почте фишинговые атаки |
устаревание и износ программнотехнических средств использование некачественного программного обеспечения |
Внешнее финансовое мошенничество |
представление себя в качестве другого лица с целью уклонения от ответственности, либо отказа от обязательств, либо использования прав третьего лица для:
считывающие информацию на банковских картах устройства в банкоматах (скимминговые устройства) |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
Хакерские атаки |
провоцирование других участников взаимодействия в системе интернет-банкинга на нарушение правил обмена электронными сообщениями фальсификация или кража данных |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
стихийные бедствия и катаклизмы, вандализм пользователей |
поломка, выход из рабочего состояния оборудования банка преднамеренная порча оборудования банка |
недостаточная пожарная и техническая безопасность помещений банка низкий культурный уровень в обществе |
Анализ структуры приведенных выше возможных информационных угроз показывает, что наибольший вред могут принести внутренние, а не внешние угрозы. Таким образом, информационная безопасность - не только техническая сфера, не только сфера информационных технологий, но также и область корпоративного управления и эффективной организации бизнеса.
2.4 Рекомендации по повышению защиты информации
Важнейшим элементом системы информационной безопасности являются меры организационного характера, при этом необходимо в первую очередь систематизировать банковскую информацию, нуждающуюся в защите, в соответствующем внутреннем документе банка, в котором необходимо также закрепить ответственность сотрудников за ее надлежащее использование и хранение.
При хранении и защите информации в первую очередь должно соблюдаться требование о неизменности (сохранности) надлежащего качества информации. Это означает следующее.
- Информация должна быть надежной (достоверной). Информацию можно считать надежной (достоверной) в том случае, если она не искажает истинного положения дел. На практике выполнение этого требования достигается за счет использования методически правильной техники получения данных, а также путем перепроверки полученных сведений. Управленческие решения, принятые на основе недостоверной информации, скорее всего будут ошибочными и будут вести к потерям для экономического субъекта.
- Информация должна характеризоваться полнотой и регулярностью ее получения, что подразумевает систематическое поступление необходимого объема данных, а также должный уровень организации их хранения. Информация удовлетворяет требованию полноты, если ее достаточно для понимания и принятия на ее основе верных управленческих решений. Неполнота информации не только сдерживает принятие решений, но и может стать причиной управленческих и исполнительских ошибок.
Информация должна представлять ценность, т. е. быть полезной, поскольку в противном случае она лишь отвлекает внимание, мешает осмыслению сущности процессов, событий, операций. Ценность информации зависит от объема и значимости решаемых на ее основе задач.
- Информация должна быть в достаточной степени подготовлена к применению, что позволяет своевременно и эффективно использовать ее для принятия управленческих решений. Выполнение этого требования обеспечивается за счет соответствующей обработки данных и представления их в доступной, легко читаемой форме (например, в виде таблиц, схем, диаграмм, графиков).
- Информация должна удовлетворять и такому важному требованию, как сопоставимость. без этого обработка новых данных становится бессмысленной. сопоставимость данных достигается за счет использования единой методической базы наблюдений и регистрации показателей во всех подразделениях банка, включая филиалы и иные территориально удаленные подразделения.
- Информация должна быть своевременной и быстро доступной для представления в заданный момент требования. пользователей информации при этом может быть несколько, и всем им необходимо обеспечить возможность использования нужной информации. Для проведения многих видов операций необходимо иметь доступ к данным в режиме реального времени.
- Информация должна быть актуальной на тот момент, когда она становится доступной для ее использования. Требования к актуальности существенно возрастают при работе в постоянно меняющихся условиях. Временной период, в течение которого информация остается актуальной, зависит, в частности, от природы принимаемых на ее основе решений, но в любом случае этот период должен быть меньше того времени, которое отводится для принятия управленческого решения.
- Информация должна характеризоваться целостностью и конфиденциальностью, что предполагает защиту от сбоев, ведущих к ее потере, от несанкционированных изменений или уничтожения данных. Также должен быть обеспечен ограниченный доступ к информации, предназначенной только для авторизованного пользователя.
Анализируя банковскую информацию, нуждающуюся в защите, можно использовать разные критерии ее группировки. На наш взгляд, такая информация должна быть ранжирована с присвоением соответствующего уровня конфиденциальности. можно рекомендовать следующий типовой укрупненный перечень конфиденциальных сведений банка как объектов защиты (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации):
- абсолютно конфиденциальные сведения (уровень ХХХ) включают в себя:
- информацию, составляющую банковскую тайну;
- закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибыли;
- информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно-финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);
- любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;
- прикладные методы защиты информации банка (коды, пароли, программы);
- строго конфиденциальные сведения (уровень ХХ), которые могут включать в себя:
- все прочие конфиденциальные сведения о клиентах банка;
- информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;
- информацию о сотрудниках банка, содержащуюся в индивидуальных досье;
- конфиденциальные сведения (уровень Х), включающие в себя:
- базы данных по направлениям деятельности, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;
- сведения о заработной плате и индивидуальных социальных пакетах сотрудников банка, а также о составе резерва на выдвижение;
- внутренние регламенты (положения, инструкции, приказы и т. п.), используемые в системе внутрибанковского менеджмента;
- информация для служебного пользования, к которой следует отнести любые другие сведения, не подлежащие публикации в открытых источниках.
Разрабатывая и реализуя политику информационной безопасности, ее конкретные процедуры, следует иметь в виду, что к основным мерам защиты информации в банках относятся:
- меры программно-математического характера, а именно: программы, ограничивающие доступ к сети и отдельным компьютерам банка, защищающие информацию от повреждения умышленно или случайно занесенными вирусами, автоматически кодирующие (шифрующие) информацию, препятствующие ее перезаписи на внешние носители или через сеть, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа;
- меры технического характера: использование экранированных помещений для проведения конфиденциальных переговоров, специальных хранилищ и сейфов, детекторов и иной аппаратуры для выявления перехвата информации, а также применение защищенных каналов телефонной связи, средств автоматического кодирования (шифровки) устной и письменной информации и т. д.;
- меры организационного характера, в частности, направленные на ограничение доступа к конфиденциальной информации, снижение возможности случайного или умышленного разглашения информации или других форм ее утечки, контроль за соблюдением установленных правил информационной безопасности.
Среди актуальных технических решений противодействия угрозам банковским информационным системам следует выделить: средства криптографической защиты информации; фильтрация IP-адресов; автоматическое SMS-информирование клиентов о доступе к системе от их имени; обязательное создание резервного ЦОД (центра обработки данных); регулярное обновление антивирусных программ.
ЗАКЛЮЧЕНИЕ
Основная угроза исходит изнутри, а именно со стороны работников самого предприятия. Поэтому необходимо особое внимание уделить системе защиты информации внутри самого предприятия.
Таким образом, можно констатировать, что сеть Интернет предоставляет богатый инструментарий по повышению правовой грамотности населения, а как следствие, и реализации информационной функции права. Однако в силу множества факторов (традиции, неумение работать с виртуальной средой и прочих) эти средства субъектами, в чьи полномочия входит реализация информационной функции права, используются крайне слабо.
В завершение отметим, что осознание всей важности обозначенной проблемы является необходимым не только в банковской сфере, но и во всем обществе. В России стремительными темпами растут потери от мошенничества: по некоторым оценкам, в 2011 г количество случаев хищения денежных средств с банковских карт возросло по сравнению с предыдущим годом в 5 раз, при этом около 60% случаев связано с несанкционированным списанием средств с банковских счетов клиентов [2]. На наш взгляд, решать проблему необходимо глобально и комплексно, что требует активного участия не только самих банков и платежных систем, но и принятия общегосударственных решений, таких, как ужесточение Уголовного кодекса в части киберпреступности и взлома информационных систем.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Белоглазова Г.Н. Банковское дело / Г.Н. Белоглазова, Л.П. Королевицкая. - М.: Финансы и статистика, 2011. - с. 115.
- Букин С.О. Безопасность банковской деятельности / С.О. Букин. - М.:Питер, 2010. - с.25
- В России красть деньги с банковских карт стали в пять раз больше // Аргументы недели. № 20 (312). 13.03.2012.
- Гамза В.А. Безопасность банковской деятельности / В.А. Гамза, И.Б. Ткачук. - М.: Маркет ДС, 2009. - с. 76.
- Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебно-практическое пособие. М.: издатель Шумилова И.И., 2000. 216 с.
- Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - с. 187.
- Государственная программа Российской Федерации «Информационное общество (2011-2020 годы)», утвержденная распоряжением Правительства от 20.10.2010 г № 1815-р.
- Концепция информационной безопасности банка АККСБ «КС БАНК».
- Кормишкина Л.А. Экономическая безопасность предприятия (организации) / Л.А. Кормишкина, Е.Д. Кормишкин. - Саранск: Изд-во Мордов. ун-та, 2007. -с.67.
- Марченко В.С. Вклад ведущих мировых компаний в сферу защиты информации. VI // Сборник статей Международной научно- практической конференции «Наука - промышленности и сервису». - Тольятти: Изд-во ПВГУС, 2012.
- Марченко, В.С. Анализ систем защиты информации с точки зрения бионики [Текст] // Вестник Поволжского государственного университета сервиса. Серия Экономика. - Тольятти: Изд-во ПВГУС, № 2 (16) 2011.
- Партыка Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - с. 432.
- Петров С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - с. 75.
- Стандарт Банка России СТО БР ИББС-1.0-2010. «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения».
- Токаренко А. СТО БР ИББС: рекомендовано к обязательному применению // Банковское обозрение. 2010. № 10.
- Тысячникова Н.А., Сандалов И.В., Юденков Ю.Н. Интернет-технологии в банковском бизнесе: перспективы и риск. Учебно-практическое пособие. М.: КНОРУС, 2011
-
Авторами был проведен опрос экспертов - банковских специалистов в области информационных технологий и безопасности. ↑
- Проектирование реализации операций бизнес-процесса «Планирование производства.
- Система защиты информации в банковских системах (АК «Собинбанк»)
- Проектирование бизнес-процесса (ОБСЛЕДОВАНИЕ ОБЪЕКТА ИНФОРМАТИЗАЦИИ))
- Анализ внешней и внутренней среды организации(Теоретические основы понятия внешней и внутренней средой организации)
- Демографическое прогнозирование в РФ
- Кадровое обеспечение органов местного самоуправления: состояние и пути оптимизации ( ГО «Город Лесной» )
- РАЗЛИЧНЫЕ СПОСОБЫ ПРЕДОСТАВЛЕНИЯ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ (Информационные системы предприятий)
- Разработка регламента выполнения процесса «Движение библиотечного фонда» ( АИС «Библиотека» )
- Интегрированные среды разработки программ ( Microsoft Visual Studio )
- Аббревиатуры в английском языке (Английские сленговые аббревиатуры)
- Роль мотивации в поведении организации
- Проблема личности в социальной психологии (Социально- психологические теории личности)