Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в банковских системах (информационная безопасность электронных банковских платежей)

Содержание:

Введение

Темой данной работы является: «Совершенствование информационных технологий как необходимость усиления информационной безопасности в банковском бизнесе».

Данная тематика актуальна на сегодняшний день. В связи с постоянным развитием требований к обеспечению информационной безопасности банковских операций, а также внешних угроз безопасности банкам, необходимо более подробное исследование важных совершенствований в области законодательного регулирования работы банков в сфере информационных технологий, а также формирование новых моделей управления в данном бизнесе при использовании современных систем безопасности.

Постоянно усиливающаяся конкуренция за клиентов и за источники финансовых ресурсов, общая необходимость сохранения прибыльности финансовых институтов и оптимизация операционной деятельности, постоянные угрозы, связанные со взломами личных данных и кражей ресурсов клиентов, мошенничеством заставляют банки вводить в практику новые информационные технологии, методы работы и подходы.

При этом информационные технологии можно назвать необходимым элементом бизнеса для обеспечения бесперебойной деятельности банка, комплексной информационной безопасности, инструментов для быстрого получения необходимой актуальной клиентской аналитики, для осуществления мобильного банкинга.

В данной работе исследуются проблемы защиты банковской информации и угрозы по надлежащему хранению информации. Классификация проблем информационной безопасности рассмотрена не только со стороны информационных технологий, но и с точки зрения корпоративного управления финансового института, а также с позиции успешной реализации стратегии банковского бизнеса.

В результате работы предложен комплекс мер организационного характера по актуальной защите информации, защите от мошенничества и прочих информационных угроз.

Предметом исследования являются используемые информационные технологии в банках и моделей управления, организационная структура банков, связанная с поддержанием информационной безопасности всевозможных угрозы в сфере информационных технологий, связанных с деятельностью работы банков, проблемы обеспечения безопасности в банковском бизнесе.

Объектом исследования являются банки России.

Целью данной работы является комплексный анализ информационной безопасности в банках с применением информационных технологий, влияние информационных технологий на деятельность банков. Выявление проблемных зон в деятельности банков в сфере информационной безопасности.

В связи с поставленной целью необходимо разрешение следующих задач:

рассмотреть теоретические основы информационных технологий и информационной безопасности в банковском бизнесе;
исследовать работы и деятельность банков в сфере информационной безопасности и информационных технологий;
проанализировать существующие проблемы работы банков, связанных с информационной безопасностью.

Теоретическая значимость данной работы отражается в приведенных основах обеспечения информационной безопасности в банках, эту информацию можно применять для будущих исследований информационных технологий в банковском бизнесе.

Практическая значимость данной работы определяется в приведенных мероприятиях по совершенствованию информационных технологий и информационной безопасности в банковском бизнесе. Также, будут рассмотрены внедрения информационных технологий в банковский бизнес путем аутсорсинга при помощи системного интегратора «Техносерв», выявлен положительный эффект для банков по внедрению новых информационных технологий, а также, будет даны рекомендации по изменению работы в сфере информационной безопасности в банках.

Методами исследования в данной работе являются:

анализ литературных источников;
анализ нормативно-правовых данных, связанных с работой по поддержанию информационной безопасности.
анализ работы банков по поддержанию информационной безопасности.

Теоретической основой в данной работе являются труды авторов, в сфере информационных технологий и информационной безопасности, законы Центрального Банка о деятельности банков при поддержании информационной безопасности, изучения статей про банки по внедрению новых технологий для обеспечения информационной безопасности.

Работа состоит из введения, основной части, заключения, списка литературы.

Глава 1. Теоретические основы информационных технологий и информационной безопасности в банковском бизнесе

1.1.Основы применения информационных технологий в банковском бизнесе

Информационные технологии стали использоваться повсеместно, это стало объективной необходимостью. Одной из сфер, где их значение особенно велико, является финансовая сфера. С уверенностью можно утверждать, что процесс автоматизации банковской деятельности продолжится и дальше. В банковской сфере в ближайшее время будет постепенно повышаться качество и надежность предлагаемых услуг и продуктов, увеличится скорость проведения расчетных операций, организовываться электронный доступ клиентов к банковским продуктам. Это объясняется, прежде всего, тем, что банки стремятся к достижению конкурентных преимуществ на финансовом рынке.

Прежде чем рассмотреть информационные технологии и системы в банковской системе, дадим определения этих понятий.

Под системой понимается любой объект, который можно одновременно рассматривать и как единое целое, и как совокупность разнородных элементов, объединенных для достижения поставленной цели. В информатике понятие «система» получило широкое распространение и имеет несколько смысловых значений. Чаще всего оно применяется для обозначения набора программ и технических средств. Также системой может быть названа аппаратная часть ПК. Системой является также множество программ для решения определенных прикладных задач, которые дополнены процедурами управления расчетами и ведения документации [7, с.19].

Если добавить к понятию «система» слово «информационная», то становится понятной цель ее проектирования и функционирования. Информационные системы (ИС) создаются для обеспечения сбора, хранения, обработки, поиска, выдачи информации, которая необходима для принятия решений задач из любой области. ИС помогают при проведении анализа проблем и создания новых продуктов.

Информационная система представляет собой взаимосвязанную совокупность методов, средств и персонала, которые используются для хранения, выдачи и обработки информации для достижения поставленной цели.

Информационная система управления организацией должна обеспечить следующие свойства информации [6, с.25]:

полноту информации для каждого звена системы управления. Полноту информации можно определить, как отношение полученной информации к запрошенной или нужной для управления. Так как наши знания относительны, то 100% полноты информации добиться не получится. Кроме того, нужно учитывать, что стремление увеличить полноту информации приводит к тому, что растут затраты на управление и снижается его оперативность;
ценность и полезность информации. Информация только тогда имеет ценность для руководителя, когда она может быть использована для принятия управленческих решений. Поэтому информационные потоки в системе управления организацией должны быть направлены по определенным адресам, т.е. конкретным специалистам, руководителям и служащим аппарата управления;
достоверность и точность информации. При принятии решений на основе недостоверных или недостаточно точных данных повышает риск допущения ошибки, принятия неверного решения;
своевременность поступления информации. При поступлении информации не своевременно, то орган управления не сможет принять решение именно в тот момент, когда предприятие больше всего нуждается в принятии этого решения;
агрегируемость информации. Под агрегируемостью понимается рациональное распределение информации по уровням иерархии управления. Более обобщенная информация должна поступать на высшие уровни управления, более детальная – на нижние. Примером агрегируемости является система оперативного, статистического и бухгалтерского учета. Для принятия решений на уровне управления республикой важны статистические данные, для начальника участка предприятия важны данные оперативного учета;
актуальность информации. В современном темпе развития рыночной экономики, в условиях постоянного обновления информация очень быстро теряет свою актуальность. Поэтому для принятия решений нужно учитывать возраст информации, и ее актуальность для решения определенных управленческих задач;
эффективность обработки и экономичность информации. Для оценки эффективности создания ИС существуют различные методики. Например, эффективность можно оценить, сопоставляя базовые затраты на обработку информации с проектируемым вариантом. Кроме того, автоматизированная информационная система должна соответствовать таким техническим требованиям, как:
быстродействие – скорость при поиске, вводе и обработке информации;
надежная защита данных от несанкционированного доступа;
удобный пользовательский интерфейс системы;
возможность дальнейшего развития системы;
интеграция с другими системами;
высокая надежность работы.

Информационная система организации включает носители и каналы информации, субъектов коммуникации, а также технические средства информационной работы.

В настоящее время сформировались следующие направления развития информационных систем:

- внедрение информационных систем для автоматизации различных видов деятельности: работы с клиентами, бухгалтерского учета, документооборота и т.д.;
- построение и внедрение локальной сети компании для локальной автоматизации офиса;
- использование систем управления базами данных;
- использование Интернета и т.д.

Мировой опыт свидетельствует, что фактором, определяющим успех деятельности любой организации на рынке, является оптимизация времени обслуживания клиентов. Выигрывает тот, кто в состоянии предоставить клиенту весь комплекс услуг в режиме реального времени.

Применение информационных технологий при организации бизнеса дает существенную выгоду и удобства как для компаний и фирм, организующих деятельность, так и для клиентов - потребителей продуктов и услуг.

Компаниям применение новых информационных технологий дает возможность значительно повысить эффективность внутренней деятельности, оптимизировать взаимоотношения с партнерами, обеспечить предоставление широкого спектра услуг и продуктов клиентам, организовать маркетинговые исследования и рекламные кампании.

Применение новых информационных технологий позволяет фирмам организовать эффективное управление внутренней деятельностью, автоматизировав документооборот, работу финансовой службы, обеспечив взаимозаменяемость сотрудников, оперативность руководства в принятии верных управленческих решений, мониторинг состояния рынка услуг, рациональные отношения с партнерами и привлечение клиентов [22, с.94].

Организация документооборота в предприятии. LAN-сеть позволяет обеспечить оперативный доступ сотрудников фирмы к необходимым им для работы документам (файлам), хранящимся в базах данных на сервере.

У сотрудников появляется возможность практически мгновенно переходить от одного документа к другим из баз данных, пользоваться внутренней поисковой системой, отслеживать исполнение и прохождение документов, внесение в них изменений и т.д.

Значительное место в деятельности сотрудников занимает работа с клиентами и оформление документов. Наличие в базе основных готовых форм документов позволяет существенно упростить и ускорить процесс работы с клиентами, что положительно скажется на имидже фирмы.

На общей эффективности работы фирмы влияет и автоматизация бухгалтерской деятельности, для чего применяются специализированные программы (например, «1С Бухгалтерия»). В ряде случаев небольшие фирмы, работающие по упрощенной системе налогообложения, для ведения бухгалтерского учета пользуются услугами аудиторских компаний. В этом случае в организации можно ограничиться применением специальных программ по учету финансов.

Одни из необходимых условий функционирования любого предприятия становится сайт. Сайты предназначены не только для информирования клиентов, но и формирования имиджа, осуществления продаж через Интернет.

Появляется возможность анализировать целевую аудиторию сайта и её информационных страниц. Анализ позволяет устанавливать посещаемость конкретных страниц сайта, востребованность информации, сервисов и услуг.

Изучение интересов аудитории сайта помогает структурировать его содержание и строить политику по отношению к клиентам, компаньонам и конкурентам. Знание особенностей целевой аудитории помогает привлечь рекламодателей и правильно планировать рекламные акции.

Современные Internet-технологии позволяют автоматизировать данные и полученную статистику. Для принятия правильных управленческих решений фирма может использовать специализированное программное обеспечение, позволяющее формировать исчерпывающее количество отчетов, показывающих рентабельность работы предприятия, среднюю доходность заявок [18, с.102].

Это позволяет правильно ориентироваться на рынке услуг и разрабатывать нужные направления, выстраивая взаимоотношения с компаньонами, в нужное время давать целевую рекламу и оценивать, как она работает.

Важное место в менеджменте занимает автоматизация взаимоотношений с партнерами. Для этого практикуется создание на сайтах специальных сервисов, позволяющих партнерам (например, поставщикам) получать доступ на сайт предприятия, где они могут заполнять типовые документы, получать информацию о наличии товара, стоимости и т. п.

Системы автоматизации деятельности финансовых и кредитных организаций сегодня являются самостоятельным направлением в сфере информационного бизнеса. Информационные системы для банковской сферы прошли достаточно долгий путь развития, начиная от простых, разработанных на персональных системах управления базами данных СУБД (например, dBase, Clipper, Foxpro), до современных – на основе клиент/серверных решений промышленных СУБД (Informix, Oracle,Sybase, MS SQL Server), благодаря которым возможна автоматизация всего спектра банковских бизнес- процессов: управление кадрами, ликвидностью, банковскими рисками и т.д.

В настоящее время на рынке программных средств для кредитных организаций имеется широкий спектр систем, которые различаются как функциями, так и аппаратной платформой, технической реализацией, уровнем системного сервиса, методами обеспечения информационной безопасности и т.д. Однако любая банковская автоматизированная система обязательно должна соответствовать следующим требованиям:

возможность многопользовательской работы в сети;
выполнение всего комплекса банковских операций по кредитно-депозитной деятельности, расчетно-кассовому обслуживанию, валютным операциям;
поддержка нескольких аппаратных платформ;
возможность гибкой настройки для доступа конечных пользователей;
автоматическое формирование большинства отчетных форм, возможность их перенастройки и т.д.

Эти требования в настоящее время выполняются большинством систем для кредитных организаций, представленных на рынке банковских программных продуктов.

Все банковские автоматизированные системы могут быть разделены на две большие группы: разработанные на основе технологии клиент/сервер или файл/сервер. Технология клиент/сервер стала фактически стандартом. Она имеет следующие очевидные преимущества:

высокая скорость обработки информации, при этом она слабо зависит от объема обрабатываемых данных и количества пользователей;
развитая система защиты информации, что, в свою очередь, объясняется обработкой основного объема информации на сервере, доступ к которому может быть физически ограничен;
гибкость в отношении выборки и анализа данных.

Хотя следует отметить, что данной технологией предъявляются повышенные требования к аппаратно-техническому обеспечению финансовой организации, прежде всего к сетевому и серверному оборудованию, на которые ложится большая нагрузка при обработке данных. Достоинства реализации клиент/серверной архитектуры полностью проявляются при обработке существенных объемов информации большим количеством одновременно работающих пользователей.

При выборе банком автоматизированной системы, безусловно, необходимо учитывать не только стремление к использованию последних достижений в данной области, но и объективные требования. В первую очередь, следует учитывать размер банка: количество сотрудников и автоматизированных рабочих мест, структуру и объем документооборота, количество клиентских и внутрибанковских счетов, наличие филиалов, валютных операций и т.д. Это определяет требования к производительности и функциональности информационной системы. Например, если банк является достаточно крупным, имеет десятки тысяч счетов, более чем сотней сотни сотрудников в головном офисе и оборот документов в несколько тысяч в день, филиалы, работающие в режиме On-line, то с уверенностью можно считать, что нужна система на основе клиент/серверной технологии на платформе одной из промышленных СУБД. Определенные требования к информационной системе накладывает специализация банка. В основном это касается ее функциональных возможностей и особенностей настройки на конкретную технологию работы финансовой организации.

1.2.Понятие, сущность информационной безопасности в банковском бизнесе

Обеспечение информационной безопасности направлено на предупреждение возможности возникновения, предотвращение возможности реализации или снижения эффективности деструктивных действий в результате реализации той или иной угрозы информационной безопасности [12, с.59].

Под угрозой информационной безопасности (ИБ) понимается совокупность условий и факторов, создающих потенциальную опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

В общем случае угроза ИБ может характеризоваться следующими параметрами [12, с.63]:

источник угрозы;
используемая уязвимость;
способ реализации угрозы;
деструктивные действия, выполняемые при реализации угрозы.

Защита информации от несанкционированного доступа – деятельность (работа) должностных лиц, направленная на создание и поддержание условий, установленных тре- бованиями нормативных документов, исключающих НСД к защищаемой (подлежащей защите) информации. Под защищаемой информацией понимаются информационные ресурсы и программное обеспечение, подлежащие защите.

Защите подлежит информация любого вида, доступ к которой ограничивается. Ограничение доступа к информации устанавливается федеральными законами и нормативными актами для защиты основ конституционного строя, здоровья, нравственности, прав и законных интересов других лиц [15, с.102].

Утечка защищаемой информации – ее неконтролируемое разглашение, несанкционированный доступ к ней, получение защищаемой информации разведками [12, с.89].

Хищение информации – несанкционированный доступ к информации, повлекший ознакомление с ней недопущенных субъектов. При этом возможно как полное хищение, когда похищаемая информация на машинном носителе информации полностью уничтожается, так и хищение, при котором производится только копирование защищаемой информации.

Несанкционированный доступ к информации – доступ к информации, нарушающий установленные (принятые) нормативными правовыми актами требования (правила, порядок) разграничения доступа с использованием штатных средств (механизмов, методов, способов, возможностей), предоставляемых средствами ВТ.

Основной целью службы информационной безопасности в коммерческом банке считается защита информационных ресурсов, принадлежащих банку, его акционерам, клиентам и инвесторам от случайных (ошибочных) и направленных противоправных посягательств, утраты, разглашения, искажения, утечки, уничтожения и модификации охраняемых сведений.

Работа банков основана на доверии клиентов и связана с работой с огромными массивами данных, поэтому банк, в первую очередь, должен обеспечивать защиту баз данных клиентов, т.к. именно клиентами в конечном итоге финансируются успешные действия банка, именно они расплачиваются за ошибки, если персонал кредитной организации допускает их в процессе решения каких-то задач.

Недостаточно хорошая система защиты баз данных может привести банк к отзыву лицензии или банкротству. Поэтому в финансовой сфере информационная безопасность обычно имеет высокий приоритет.

1.3. Информационная безопасность электронных банковских платежей

В первую очередь в банке стремятся защищать свою платёжную систему. Основная причина проблемы безопасности электронных банковских платежей заключается в невозможности (либо крайне высокой стоимости) создания доверенной рабочей среды на компьютере каждого клиента. Это и приводит к успешной реализации атак на расчетные счета клиентов. Даже аппаратные средства криптографической защиты информации с неизвлекаемым ключом электронной подписи (ЭП) не позволяют надежно защитить пользователей от современных видов атак.

При выполнении финансово значимых транзакций в системах дистанционного банковского обслуживания (ДБО), необходимо контролировать целостность подписываемого документа и подтверждать авторство. Для этого используются электронная цифровая подпись (ЭЦП). В данном случае самое уязвимое звено системы – закрытый (секретный) ключ ЭЦП. Для обеспечения его защиты от копирования можно использовать смарт-карты или токены с аппаратно-реализованными криптографическими функциями. При этом закрытый ключ ЭЦП создается в смарт-карте, является неизвлекаемым и используется только для подписи передаваемых «снаружи» данных.

Однако, даже в случае применения аппаратных криптографических средств, злоумышленники находят возможности для проведения мошеннических операций, используя несанкционированный доступ к криптографическим возможностям смарт- карты или удаленное управление рабочей станцией пользователя. Причина этого заключается в невозможности построения доверенной среды на компьютерах клиентов, так как современные операционные системы (ОС) подвержены воздействию вредоносного программного обеспечения (вирусы, «трояны» и т.д.). Отдельно стоит отметить технологию «руткитов», которые перехватывают управление компьютером еще до загрузки операционной системы и не могут быть обнаружены классическими антивирусными средствами.

Хищение ключей электронной подписи (ЭП) с незащищенных носителей является наиболее простой и отработанной технологией, при помощи которой до сих пор реализуют большинство атак на клиентов систем ДБО, хранящих ключи ЭП на дисках, флешках, на жестком диске и т. д.

Хищение закрытых ключей ЭП из оперативной памяти

Обычно применяется в том случае, когда клиент использует средства защищенного хранения ключей ЭП, которое позволяет извлекать их из закрытой области памяти устройства.

Одна из наиболее опасных и перспективных атак. Реализуется либо при помощи

средств удаленного управления компьютером клиента (класса TeamViewer), либо с использованием удаленного подключения к USB-порту (технология USB-over-IP). Ограничением для данной атаки является обязательное подключение смарт-карты (токена) в момент ее проведения.

Подмена документа при передаче его на подпись в смарт-карту

Наиболее сложный и опасный на сегодняшний день вид атак. В данном случае пользователь видит на экране монитора одну информацию, а в смарт-карту на подпись отправляется другая. Параллельно могут быть подменены данные об остатках на счете, выполненных транзакциях и т. д.

Также следует отметить, что каждая из четырех перечисленных технологий эффективна не только на своем уровне защиты, но и на всех более «простых». Данная ситуация проиллюстрирована на рис. 1.

Рис.1. Уровни защиты и уровни атаки

Исходя из исследуемого материала, анализа данных информационных технологий и информационной безопасности следует, что традиционных средств защиты, не позволяющих контролировать содержание подписываемого документа, на сегодняшний день недостаточно для защиты от современных видов атак. Несмотря на то, что банки постоянно развиваются, развитие информационных технологий необходимо для привлечения и удержания новых и существующих клиентов. Поддержания информационной безопасности также очень актуальный на сегодняшний день вопрос. Несмотря на то, что банки постоянно структурируют и развивают данную сферу, угрозы тоже не стоят на месте, каждый год мы наблюдаем по новостям новые события применения хакерских атак на различные финансовые организации. Тем самым, это подтверждает тот факт, что данная тема исследования актуальна и по сей день.

Глава 2. Совершенствование информационной безопасности в банковском бизнесе с применением информационных технологий

2.1.Информация о компании «Техносерв»

На текущий момент компания «Техносерв» является одним из самых крупных системных интеграторов, которые работают на территории Российской Федерации, странах СНГ и Европе. Компания была основана в 1992 году. В 2015 финансовом году оборот предприятия составил более чем 51,8 млрд. рублей. Головной офис компании расположен в Москве, также есть региональное представительство во Владивостоке, Волгограде, Краснодаре, Екатеринбурге, Новосибирске, Нижнем Новгороде, Санкт- Петербурге, Хабаровске. На сегодняшний день в компании работают более чем 2700 сотрудников.

Главным направлением сферы деятельности компании является реализация крупных проектов по развитию, внедрению, и аутсорсингу инфокоммуникационной инфраструктуры, систем информационной безопасности, инженерных и энергетических систем, прикладных платформ. Ко всему прочему, компания специализируется на ИТ- консалтинге, услугах сервиса и аутсорсинга. Вдобавок к этому, «Техносерв» внедряет и развивает информационные и инженерные системы на основе собственных технологических разработок, а также разработок признанных мировых людеров, таких как: APC by Schneider Electric, Avaya, Cisco Systems, EMC, Hitachi Data Systems, HPE, HP Inc, Huawei, IBM, Juniper Networks, Microsoft, Oracle, VMware и других.

Таблица 1 История компании «Техносерв»

Год	Событие
1992	Основание компании «Техносерв»
1995	Один из первых в мире Value Added партнеров IBM
2000	«Техносерв» окончательно структурирует свой бизнес по инфраструктурным и прикладным решениям
Середина 2000-ых	«Техносерв» развивает компетенции по аутсорсингу, а также создает собственную практику ITSM
2007	«Техносерв» открыл свои первые зарубежные представительства – в Узбекистане и Украине.
2009	В структуре Группы компаний появилась новая составляющая – «Техномедикал» – как ответ на очевидный запрос со стороны здравоохранения на комплексную ИТ-экспертизу.
2011	«Техносерв» стал единственным исполнителем госзаказа по поддержке, обслуживанию и развитию ведомственного сегмента ФМС России государственной системы изготовления, оформления и контроля паспортно-визовых документов нового поколения

Таблица 2.Организационная структура (руководство)

ФИО	Должность
Ананьев Алексей Николаевич	Председатель совета директоров
Корнеев Сергей Павлович	Президент ГК «Техносерв»
Закрепин Евгений Николаевич	Первый вице-президент ГК «Техносерв»
Никитин Валерий Михайлович	Технический директор ГК «Техносерв»
Булгаков Кирилл Алексеевич	Генеральный директор «Техносерв Консалтинг»
Егоров Александр Геннадьевич	Генеральный директор «Рексофт»

Оборот группы компании «Техносерв» в 2015 году составил более 51,8 миллиарда рублей. Если прибегнуть статистике, то по сравнению с предыдущим годом, данный показатель вырос на 14,7%. Основные направления бизнеса все те, же: 67% - системная интеграция, 21% сервисные услуги, консалтинг -11%, разработка программного обеспечения.

системная интеграция

сервисные услуги консалтинг

разработка программного обеспечения

11.00%

21.00%

67.00%

Сфера деятельности

1.00%

Рис 2. Сфера деятельности компании «Техносерв»

«Оборот Группы «Техносерв» в 2015 году вырос на 14,7%. Основной вклад в этот результат внесли системная интеграция, работы по оказанию сервиса и аутсорсинга и консалтинговые услуги. Серьезные проекты были реализованы в финансовом и телекоммуникационном секторах, активно велась работы с госструктурами. В течение прошедшего года Группа активно работала над собственными продуктами для различных отраслей, в том числе в рамках развития практик «Безопасный город», Big Data и аналитика», - отметил Сергей Корнеев, президент группы Техносерв. Иными словами, это доказывает, что выручка постоянно растет за счет внедрения новых проектов с крупными корпорациями, а компаниями из госструктур.

2.2. Примеры внедрения интегратором «Техносерв» информационных технологий для поддержания информационной безопасности в работу банков

В данном разделе рассматриваются ключевые проекты компании «Техносерв» по внедрению информационных технологий с целью поддержания информационной безопасности для своих клиентов в банковском бизнесе. Будут рассмотрены ключевые проекты компании «Техносерв» по поддержанию информационной безопасности в области дистанционного банковского обслуживания и рисками, связанные с оформлениями кредитов – ключевыми проблемами, связанными с рисками в сфере информационной безопасности в банковском бизнесе. Именно эти проблемы были рассмотрены во второй главе. В данной главе будет рассмотрены экономическая эффективность по внедрению проектов для банков ВТБ24 в области дистанционного банковского обслуживания и ПАО «Сбербанк» по системе распознавания лиц при оформлении кредита.

Системный интегратор «Техносерв» предлагает комплекс услуг и решений по обеспечению и поддержанию информационной безопасности, защиту ведомственных и корпоративных систем. В данной деятельности компания опирается, как и на российские, так и на зарубежные мировые методологии и стандарты.

Ключевое внимание «Техносерв» уделяет внедрению решений на этапе эксплуатации, а также и развитию и модернизации систем информационной безопасности в соответствии с потребностями заказчиков.

Ключевые решения и услуги, которые предоставляют своим клиентам системный интегратор «Техносерв» в данной сфере это: аудит информационной безопасности, консалтинг в области международных стандартов, оценки степени риска информационной безопасности, анализ и контроль защищенности, инструментальная оценка уровня защищенности информационных систем. Также в функционал компании входят такие пункты, как: аттестация по требованиям безопасности, создание комплекса систем защиты информации в компании, защита веб-приложений, сетевых параметров удаленного доступа, криптографическая защита каналов связи, баз данных, электронных почти и средств связи, антивирусная защита. Защита персонализации данных, управление доступам к сетевым ресурсам, управление с ключевыми пользователями, многопрофильная сложносоставная аутентификация, защита информации в национальной платежной системе, обеспечение соответствия банковских организаций СТО БР ИББС.

Банк ВТБ24 совместно с компаниями «Техносерв» и ЕМС завершил проект по внедрению системы, противодействующей мошенничеству на новой платформе RSA Transaction Monitoring & Adaptive Authentication. Запуск данного проекта позволит банку уменьшить сумму потенциального риска от мошеннических угроз более чем в 10 раз.

Изменение по внедрению повышают степень защиты дистанционного банковского обслуживания корпоративного бизнеса, мобильных приложений и интернет-банкинга. Многоуровневая ступенчатая системы защиты обеспечивает широкое и активное противодействие при обнаружении подозрительных действий и транзакций. Несмотря на это сохраняется высокая степень эффективности оплаты клиентов. ВТБ24 является одним из первых банков в Российской Федерации, который реализует комплексную защиту операций клиентов с использованием самообучающейся модели оценки рисков (искусственного интеллекта), который работает в режиме реального времени.

Для совершенствования систем предупреждения мошенничества при кредитовании физических лиц банк стал внедрять системы выявления случаев подлога и подделки документов с использованием электронных и машинных систем. Основой идеей данного решения является продукт компании «Техносерв» – «Каскад-Поиск». Особенностью данной системы является распознавание лиц, которая реализует функции идентификации личности по фотографии или фотороботу, которая предназначена для использования в оперативной, справочной и экспертной работе. Специально для Сбербанка разработчики

«Техносерва» адаптировали продукт, который предназначен для работы с силовыми структурами, под требования и бизнес-процессы банка, а команда входящей в Группу

«Техносерв» компании «Рексофт» создала эргономичный интерфейс новой системы.

Метод решения «Каскад-Поиск» был интегрирован с централизованной автоматизированной системы рассмотрения кредитных заявок Сбербанка и, работая в режиме онлайн, пользуется архивом фотографий заемщиков, которые ранее обращались в банк за кредитом с целью выявления мошеннических схем с использованием поддельных документов высокого качества.

В момент, когда происходит подача заявки на кредит, программа, на основе снимка лица потенциального заемщика, строит математическую модель, которая содержит информацию о геометрии лица клиента (т.н. метрический шаблон), а затем сравнивает эту модель с шаблонами, занесенными в ту или иную выборку, например, выборку «стоп-лист банка» или выборку клиентов, вышедших на раннюю просрочку. Благодаря ряду инновационных решений сравнение по всем базам проходит в течение нескольких секунд (хотя каждая заявка прогоняется почти по десятку баз, некоторые из которых имеют размер, близкий к миллиону объектов).

На текущий момент система распознавания лиц уже используется в промышленной эксплуатации и позволяет выявлять лица, которые манипулируют своими данными при подаче заявки на кредит или используют поддельные документы. Например, благодаря системе могут быть выявлены случаи с применением мошенниками документации добросовестных клиентов, даже если мошенник пытается получить кредит в банке по чужим документам первый раз, когда одно и то же лицо подает документы под двумя разными фамилиями или одинаковые паспортные данные вносятся на два разных лица.

2.3. Экономическая эффективность внедрения информационных продуктов в банки системным интегратором «Техносерв»

В данном разделе будут рассмотрена экономическая эффективность для внедрения проектов для банков ВТБ24 и ПАО «Сбербанк». Будет выведен положительных эффект от внедрения данных проектов, не только с точки зрения поддержки лояльности клиента, а также и в денежном выражении для банков.

Первым делом стоить рассмотреть проект ВТБ24 и Техносерва внедрения системы противодействия мошенничеству. Поскольку данный проект был реализован только в августе 2016 года, большого количества результатов увидеть на текущий момент не представляется возможным. Тем не менее, можно провести промежуточные итоги.

По сравнению с третьим и четвертым кварталов 2015 года, в 2016 году уже появился значительный прогресс по снижению мошеннических действий и улучшению качества обслуживания при ДБО. Следует отметить, что при внедрение данного проекта удалось:

- 1. Выявить 80% инцидентов до начала массовых обращений клиентов,
  2. Сократить время оповещения о кибератаках на 30%,
  3. Сократить длительность устранения инцидентов на 10%.
  4. Сумма риска от мошеннических угроз уменьшилась более чем в 10 раз.

Несмотря на относительно короткий промежуток времени, после внедрения данного проекта, положительная динамика на лицо. Эксперты ВТБ24 и ГК «Техносерв» полагают, что при изменении и модернизации, данный проект может принести еще большую пользу. Стоит также подчеркнуть, что ВТБ24 один из первых в России реализующих комплексную защиту клиентских операций с использованием самообучающейся модели оценки рисков (искусственный интеллект), работающей в режиме реального времени. В связи с полученными промежуточными результатами нет сомнений, что данная система будет прогрессировать, и начнет свою работу в других банках.

Гораздо более наглядно эффект информационных технологий на информационную безопасность можно рассмотреть на примере внедрения ГК «Техносерв» в ПАО

«Сбербанк» системы распознавания лиц. Данный проект был внедрен еще в 2014 году. Он стал первым подобного рода проектом в России. По словам заместителя председателя правления ПАО «Сбербанк России», куратора блоков «Риски» и «ИТ» Вадима Кулика данный проект окупил себя за шесть-семь месяцев после внедрения. Это подтверждает факт эффективности применения информационных технологий для поддержания и совершенствования информационной безопасности. Далее стоит рассмотреть более подробно статистику изменений мошеннических действий в ПАО «Сбербанк» до и после внедрения проекта.

Для начала следует рассмотреть рынок кредитования российскими банками в целом и сбербанка в частности. Стоит отметить, что рынок кредитования развивается стремительными темпами. На текущий момент сумма общих выданных кредитов по стране составляет 3,25 трлн. рублей. На данном этапе банкам не удалось выйти на докризисный уровень 2014 года. Тем не менее, положительная динамика уже наблюдается.

Таблица 3. Количество выданных кредитов Российскими банками в 2012-2016гг

Год	Количество выданных кредитов (трлн. рублей)	Количество выданных кредитов (тыс.шт)
2012	2,95	24334,91
2013	3,52	26865,74
2014	4,5	30600,08
2015	2,55	22580,05
2016	3,25	25830,07

Далее стоит отметить количество кредитов, выданных с мошенническими действиями. Согласно статистике, с каждым годом, данный показатель непрерывно растет. По состоянию на 2016 год, доля кредитов, выданных с мошенничеством, в среднем по банкам составляет 3,4% от общего количества выдаваемых кредитов. Стоит отметить, что данный показатель в 2012 году был равен лишь 1,7% и в каждом из последующих годов наблюдается исключительно положительная динамика.

Динамика кредитов, выданных с мошенничеством от общего количества выдаваемых кредитов

Год	Количество выданных кредитов (тыс.шт)	Количество выданных кредитов с мошенничеством (тыс.штук)	Процент мошеннических кредитов от общего количества (%)
2012	24334,91	413,69	1,7%
2013	26865,74	537,31	2,0%
2014	30600,08	642,60	2,1%
2015	22580,05	519,34	2,3%
2016	25830,07	878,22	3,4%

Исходя из таблицы 16, можно сделать вывод о том, что, несмотря на колебания количества выданных кредитов, процент мошеннических кредитов от общего количества выданных кредитов неизменно растет. Это говорит о том, что показатель количества мошеннических действий не зависит от общего увеличения (или уменьшения) количества выдаваемых кредитов, и каждый год количество кибератак растет.

Это подтверждается и показателями, описанными в таблице 17. На данной таблице изображена динамика количества выданных кредитов, как в денежном, так и в количественном эквиваленте и динамика кредитов с мошенническими операциями. Вычисления производятся на основе сравнения и изменения двух годов. Тут также стоит отметить, при увеличении количества кредитов процент мошеннических кредитов увеличивается в большей степени, а при уменьшении – в меньшей.

Таблица 4 Динамика изменения количества кредитов и мошеннических кредитов по сравнению с прошлым годом (%)

Год	Изменение количества выданных кредитов	Изменение количества мошеннических кредитов	Изменение объема выданных кредитов

2012
2013	10,4%	29,9%	19,3%
2014	13,9%	19,6%	27,8%
2015	-26,2%	-19,2%	-43,3%
2016	14,4%	69,1%	27,5%

Далее стоит рассмотреть данные показатели отдельно для Сбербанка. Поскольку банк является одним из ведущих банков в стране, и занимают большую долю рынка, он уделяет особое внимание сфере информационной безопасности. Несмотря на положительные показатели в данной сфере, по сравнению с конкурентами, ПАО

«Сбербанк» имеет приблизительно такую же динамику по мошенническим операциям, как и рынок в целом.

Таблица 5 Количество и динамика кредитов, выданных с мошенничеством в ПАО «Сбербанк»

Год	Количество выданных кредитов (трлн.руб)	Количество выданных кредитов (тыс.шт)	Количество выданных кредитов с мошенничеством (тыс.штук)	Процент мошеннически х кредитов от общего количества (%)
2012	0,94	7787,17	116,81	1,5%
2013	1,15	8785,10	158,13	1,8%
2014	1,51	10251,0	194,77	1,9%
2015	0,92	8106,24	129,70	1,6%
2016	1,23	9763,77	146,46	1,5%

Стоит подчеркнуть, что в 2015 году наблюдается положительная динамика по количеству мошеннических кредитов от общего количества выдаваемых. Именно 2015 год стал первым после внедрения системы распознавания лиц. Когда по рынку в целом наблюдалось увеличение количества мошеннических кредитов, в ПАО «Сбербанк» они сокращались в процентном выражении.

Также, стоит подчеркнуть, что динамика мошеннических кредитов стала расти меньшими, по сравнению с динамикой увеличения общего количества выдаваемых кредитов.

Таблица 6. Динамика изменения количества кредитов и мошеннических кредитов по сравнению с прошлым годом в ПАО «Сбербанк» (%)

Год	Изменение количества выданных кредитов	Изменение количества мошеннических кредитов	Изменение объема выданных кредитов
2012
2013	12,8%	35,38%	21,93%
2014	16,7%	23,17%	30,97%
2015	-20,9%	-33,41%	-39,27%
2016	20,4%	12,92%	34,20%

Это подтверждает факт эффективности данного проекта ПАО «Сбербанк». По оценкам экспертам, данный процент количества мошеннических операций от общего количества кредитов будет уменьшаться.

В заключении, стоит выделить положительные и отрицательные стороны данного проекта. К положительным сторонам можно отнести следующие факторы:

1. Система просматривает огромное количество кредитных заявок банка.
2. Снижения затрат в связи с увеличением распознавания мошеннических действий.
3. Снижение количества времени на рассмотрение кредитных заявок.

Из отрицательных факторов стоит выделить большую стоимость внедрения проекта. Соответственно, далеко не все банки могут позволить себе использовать данную систему.

В целом, стоит отметить эффективность данного проекта по поддержанию информационной безопасности. Это подтверждается еще тем фактором, что после внедрения данного проекта, банк «Открытие» и «ВТБ24» также преступил к созданию такой платформы у себя в 2015 и 2016 годах соответственно.

Также, нужно упомянуть тот факт, что ПАО «Сбербанк» продолжит внедрять все больше новых информационных технологий для поддержания информационной безопасности. В интервью газете «Известия» председатель правления Сбербанка Герман Греф заявил о начале старта внедрения проекта по распознаванию клиента по голосу. По его словам, такое решение не только повысит защиту клиентов от мошенничества, но и позволит сделать общение их с банком более удобным.

2.4.Рекомендации по улучшению информационной безопасности в банковском бизнесе

В заключительной части третьей главы будут рассмотрены рекомендации по улучшению и поддержанию информационной безопасности в банковском бизнесе.

Страхование информационной безопасности – важная тема для обсуждения. Давно созрело понимания, что данный вид деятельности нужен и выгоден всем – и банкам, и клиентам, и страховым компаниям тоже. Тем не менее, этот вид страховых услуг в нашей стране пока прозябает в зачаточном состоянии.

В ближайшем прошлом, компании, которые тесно связанны с информационными технологиями, если и пользовались услугами страховых компаний, то только для того, чтобы застраховать свое имущество от стихийных бедствий – пожаров, наводнений и тому подобное.

Но, как известно, угрозы не ограничиваются только стихийными бедствиями. Стоит понимать, что абсолютной защиты не существует и создать системы, которые устраняют сто процентов угроз, невозможно.

В отличии от страхования имущества, страхование информационных рисков распространяется на:

программное обеспечение, в т.ч. биллинговые системы, Web-сервера, ERP-системы и средства защиты;

электронные данные, находящиеся в базах данных, на файловых серверах и других носителях (CD-ROM, DVD, стриммерные ленты и т.д.);

финансовые активы в электронной форме, в т.ч. в системах клиент-банк.

Исходя из этого, страхование от электронных и компьютерных преступлений в кредитно-финансовой сфере представляется крайне актуальной темой. Широко известны следующие красноречивые цифры: ущерб банковского сообщества США от компьютерных преступлений измеряется $100 млрд. ежегодно. В Европе аналогичный показатель составляет в $30 млрд., «рекордным» считается компьютерное ограбление банка в Германии на $1 млрд. В Великобритании средний размер хищений при проникновении в банковские компьютерные сети оценивается $500 000.

В связи с этим, страхование информационной безопасности в мире является необходимым дополнением в пакете страхования в банках. BBB (Bankers Blanket Bond). Существуют два вида специализированных полисов − Computer Crime, от преступлений в компьютерной сфере, и Haker Insurance − соответственно, от хакеров.

У различных страховых компаний свои условия страхования. Ведущие компании в данной сфере. Компания AIG , которая является лидером в области информационного страхования, работает в данной сфере при наличие от несанкционированного доступа мошенников к компьютерной системе страхователя или к системе, к которой он подключен.

Другие лидеры - Chubb и Zurich North America предлагают свои услуги в сфере страхования информационной безопасности. При этом, стоит отметить, что они дают существенные скидки если банки работают с определенным вендором и разработчиков программного обеспечения.

Также, стоит отметить, что большую роль в взаимоотношениях между банками и страховыми компаниями играют специализированные консалтинговые и аудиторские фирмы. Они изучают риски, действующие в банках системы информационной защиты и математически точно оценивают условия страхования. Услуги по проверке системы информационной безопасности страхователя стоят от $4 500 до $50 000.

Как правило, лимит ответственности страховщиков, по которым выплачиваются убытки, составляет $ 5-10 млн., для крупнейших банков − до $ 100 млн., а с учётом повышенной страховой премии − и до $ 200-300 млн. Страховые взносы составляют от 2 до 8% суммы покрытия. Устойчивость системы этого вида страхования обеспечивается широко развитой практикой перестраховки − страхование рисков самих страховых компаний.

Несмотря на то, что страхование информационной безопасности не является обязательным условием ни в США, ни в Европе, трудно найти банк, который не страхует данного рода риски. Для зарубежных банков этот вид страхование является неотъемлемой привычкой. Страхование рисков в сфере информационной защиты банков за рубежом − хорошо отработанный, повсеместно применяемый механизм, а также солидный и устойчиво развивающийся сектор рынка страховых услуг.

Выплаты страховыми компаниями банкам в случае утечки, кибератак и прочих взломах заключается на основе судебного разбирательства. Банк подает иск в суд, предоставляя доступ к тем данным, которые были украдены. Затем производится аудит, после которого выявляется величина ущерба. Далее судом устанавливается размер выплат для банка страховыми компаниями согласно лимиту ответственности страховщиков.

Ситуация в России прямо противоположная. Данный рынок не развит в нашей стране.

Поскольку банковская система создавалась на основе зарубежных практик, у нас были попытки по внедрению данного рода деятельности. Были две попытки по внедрению страхования информационных технологий, в 90ых и начале 2000-х. Первыми громкими преступлениями в сфере информационной защиты банков стали хищение в 1991 году $ 125 500 у Внешэкономбанка и, в 1996 году, $320 000 в «Автобанке».

Если рассматривать наши страховые компании, то стоит отметить, что они представляют услуги по данному виду деятельности. Несмотря на это, данный вид деятельности является далеко не самым важным в страховых организациях, и многие сотрудники даже не знают, что данные виды услуг предоставляются в организации.

Справедливости ради, стоит подчеркнуть, что условиями страхования пользуются крупные банки, такие как «Альфа-банк», «Газпромбанк» и прочие. Однако по объемам и значимости более заметной выглядит страхования лиц, принимающих вклады физических лиц. Но, важно подчеркнуть, что данная программа является государственной, а не частной. Также – это является антикризисной мерой, и она защищает не сколько банки, сколько защищает вкладчиков.

Существует множество проблем, мешающих развитию страхования информационной безопасности на массовом уровне. Первым делом стоит отметить, это достаточно затратный для некоторых банков. Одной из проблем, требующих решения при информационном аудите это трудность локализованного (изолированного) изучения объекта страхования, иными словами, выявления и учета зависимости объекта страхования от других компонентов информационных систем, которые могут оказывать влияние на безопасность рассматриваемого объекта. Небольшие организации могут не располагать необходимыми финансовыми средствами. Далее, страхование информационной безопасности требует от банков полностью регламентированной информационной технологии, без которой будет невозможно провести оценку защищенности объектов страхования и связанных с ними информационных рисков. Также, стоит обратить внимание, что во многих банках, информационные технологии терпят множество изменений, вызванных, к примеру, с изменением программного обеспечения. Об этих изменениях банки должны сообщать страховым компаниям, которые принимают решение о повторном проведении информационного аудита, что предполагает дополнительные затраты клиента на страхование.

Барьеры между страховыми компаниями и банками должен быть разрушен с обеих сторон. Информационная безопасность многократно более важная для банков в сравнении с реальным сектором экономики, может оказаться прорывным направлением. Начать данный процесс необходимо не с глобальных законодательных решений. Да и не стоит ждать положительных сразу положительных изменений даже после внедрения этого законодательно.

В сфере информационной безопасности следует нужно попробовать сформировать простой понятный и эффективный страховой продукт, не замахиваясь на страхование всего и сразу, при этом сосредоточившись на более важных видах банковских услуг. Например, на использовании кредитных и дебетовых пластиковых карточек или некоторых видах дистанционного банковского обслуживания. Для начала ограничиться немногими рисками, зато характерными для самых частых и болезненных типов инцидентов.

Крайне необходимо создание доступного, недорогого и эффективного страхового продукта в сфере информационной безопасности банков. В качестве примера можно выделить медицинскую страховку, при выезде за рубеж. Раньше мало им кто пользовался, теперь все. А параметры данного страхования очень просты – страхуемый риск типичный и частый, ущерб очень простой и легко считаемый, признаки страхового случая также однозначны.

Стоит отметить тот факт, что в постсоветском пространстве уже есть примеры внедрения данного страхового предложения с указанными параметрами. OTP Bank, которая является украинской «дочкой» одноимённого венгерского банка, вместе с французской страховой компанией Cardif предложили для держателей платежных карт VISA и MasterCard новый сервис. Программа «Дополнительная защита» предусматривает для клиентов страхование ряда типичных информационных рисков, связанных с использованием эмитированных банком карт.

Рекомендации по изменению законодательства в сфере информационной безопасности

Также, стоит обратить внимание на проблемы, связанные с законодательством в сфере информационной безопасности в банках. Существует четыре ключевых пункта, в которых требует пересмотра трактовки или изменения регламента:

- - 1. Осуществление государственного контроля за вводом в эксплуатацию банковских интернет ресурсов, в том числе и интернет сайты.
    2. Развитие электронной подписи среди населения, законодательное закрепления ее использования при работе с банковскими операциями.
    3. Введение обязательного страхования от взлома интернет-приложений.

Теперь рассмотрим каждое это направление более подробно.

Первый вариант можно внедрить при помощи некоторых изменений в Федеральный закон от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе". Существующий нормативный правовой акт охватывает любой денежный перевод электронным способом. В своем потенциале данный закон может стать ключевым в вопросе информационной безопасности, но, тем не менее, данный закон требует доработок. Например, в данном законе отсутствует прямое регулирование интернет- банкинга.

Таким образом, следует подчеркнуть следующие необходимые изменение по данному разделу. Необходимо ввести в ФЗ "О национальной платежной системе" главу под названием "Требования к вводу в эксплуатацию и функционированию программ для ЭВМ в сфере электронных платежей", которая бы регулировала предлагаемые нововведения.

Суть идеи состоит в следующем: каждый банк, который собирается ввести в свою деятельность интернет-сайт либо новое программное обеспечение, позволяющие клиентам осуществлять дистанционные интернет операции, должен зарегистрировать свое ПО в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций. Данный государственный орган будет должен в определенные сроки должен провести проверку данного программного обеспечения проанализировать степень соответствия современным требованиям к безопасности. Роскомнадзор должен ввести реестр всех программ, успешно прошедших проверку и которые разрешены в эксплуатацию. В случае выявления нарушений, орган выносит предупреждение, которое устраняется банком, если они хотят использовать у себя данное программное обеспечение.

Далее, следует внести некоторые изменения в закон в статью 1. Там необходимо добавить предмет регулирования закона интернет-банкинга, поскольку в нынешней редакции регулирование данной сферы этим законом подразумевается, но не называется в тексте первой статьи.

Помимо всего прочего необходимо в статье номер три закрепить понятие интернет- банкинга, которое можно позаимствовать из письма Банка России от 31 марта 2008 г. № 36-Т «О рекомендациях по организации управления рискам, возникающими при осуществлении кредитными организациями операций с применением систем интернет- банкинга». Также, стоит включить в данный раздел определения программы ЭВМ в сфере электронных платежей следующим образом:

Программа ЭВМ – электронное средство платежа, которое является набором данных и команд, которые позволяют функционировать ЭВМ в целях осуществления перевода электронных платежей (электронных денежных средств).

Данные нововведения позволяет осуществлять контроль за безопасностью в интернет-банкинге на государственном уровне. Тем не менее, у данных нововведений будет существовать и свои недостатки: дополнительная нагрузка на органы Роскомнадзора и возможно и данного органа нет набора специалистов, чтобы качественно оценивать безопасность кода, а также и методы шифрования, используемые в программном обеспечении. Соответственно, потребуется набор новых высокооплачиваемых специалистов, а также и вносить изменение в организационную структуру.

Далее мы переходим по второму пункту изменения – развитие электронной подписи. Основной идеей данного подхода является разграничение электронных трансакций на две группы, платежи, не требующие никакой электронной подписи или платежи, требующие простую электронную подпись. Логично предположить, что платежи первой категории должны быть небольшими, когда как вторая категория должна относится к суточным трансакциям, но с большей суммой, нежели платежи из первой категории. В качестве примера, можно осуществлять платежи без электронной подписи до двадцати тысяч рублей. Все платежи сверх этой суммой должны сопровождаться электронной подписи.

Данные меры по изменению необходимо внести во вторую главу ФЗ «О национальной платежной системе». Будет достаточно внести дополнительную статью касательно таких ограничений. Это же должно и касаться электронных денежных средств.

Огромным плюс данного подхода в том, что будет развиваться переход к электронному документообороту, а также будет повышена безопасность счетов граждан, плюс безопасность платежей.

Среди недостатков данного подхода следует сложность второго пункта, поскольку в таком случае банкам следует пересмотреть в своих интернет-приложениях пункт об электронной подписи, и соответственно, некоторые телефоны не смогут поддерживать данную процедуру. Но эта проблема выходит за рамки рекомендаций.

Заключительным вариантом совершенствования законодательства является предложение по введения обязательного страхования для банков от взлома банковских интернет-приложений. Суть подхода – обязать банки осуществлять страхование на случай убытков, понесенных в результате взлома. Тем не менее, данный подход, скорее всего, не будет пользоваться успехом, поскольку страхование ответственности является в первую очередь выбором банка.

Также, стоит рассмотреть информационную безопасность с точки зрения рисков и составить последовательность шагов по определению и минимизацию рисков в банках.

Первые шаги должны быть использованы согласно стандартам оценки риска, которые были рассмотрены в пункте 2.5, а именно:

- 1. На этапе подготовки корпоративного стандарта управления рисками необходимо разработать стандарт, который устанавливает процедуры по управлению информационной безопасностью.
  2. На этапе оценки информационной безопасности выявляются оценки рисков, связанных с ними, и их значимость. Иными словами, вероятность того, будут ли реализованы эти нежелательные события, который могут сказаться отрицательно на достижение определенных процессов банка. Оценка рисков включает их идентификацию, анализ, оценку, а также методы снижения рисков или уменьшения связанных с ними неблагоприятных последствий;

Далее, необходимо назначить ответственное лицо, отвечающего за все процессы и мероприятия по управлению информационной безопасностью (исходя из предложенной организационной структуры это руководитель службы информационной безопасности). Далее определить этапы обработки проблем с определенными рисками. В данном случае можно принять четыре виды работы с рисками информационной безопасности, а именно:

Избежать, передать, минимизировать, принять.

В процессе мониторинга, идентификации и переоценки рисков для каждого из них следует определить и документировать события, которые можно отслеживать для того, чтобы понять, удалось ли избежать наступления риска либо минимизировать последствия наступившего риска. Для каждого риска должны быть выполнены все действия, предусмотренные планом смягчения последствий риска.

Рекомендации по совершенствованию информационной безопасности при дистанционном банковском обслуживании

Также, стоит обратить внимание на ключевые проблемы, связанные с информационной безопасностью в дистанционном банковском обслуживании. Первым делом необходимо выделить ключевые проблемы в рамках информационной безопасности в дистанционном банковском обслуживании. При рассмотрении нескольких крупных банков были выделены ключевые проблемы дистанционного банковского обслуживания.

Рис 3. Ключевые проблемы дистанционного банковского обслуживания в сфере информационной безопасности

Далее были выделены ключевые следствия, по которым эти проблемы возникают.

Как видно из рисунка 3, на сегодняшний момент при дистанционном банковском обслуживании присутствует десять ключевых причин возникновения проблем в сфере информационной безопасности.

57% 57%

60%

50%

40%

30%

20%

10%

54% 54%

46% 46%

43%

36%

29% 29%

Рисунок 4. Причины возникновения проблем информационной безопасности.

В следующем пункте рассмотрим ключевые особенности, а именно какими способами банки пытаются устранять данные проблемы. Рассмотрим ключевые инструменты безопасности системы ДБО, а именно как банки стараются устранить причины возникновения проблем, связанной с информационной безопасностью.

Рис 5. Ключевые решения по устранению причин возникновения проблем

В завершающей части, следует рассмотреть нововведение, предложенные автором, в дополнение к существующим решениям по устранению причин возникновения проблем.

Во второй главе совершенствование информационной безопасности в банковском бизнесе. В первом разделе был рассмотрен системный интегратор Техносерв (его функционал, история, организационная структура, ключевые клиенты). Также была рассмотрена их политика информационной безопасности с финансовыми организациями, и какие методы работы с информационной безопасностью они применяют.

Во втором и третьем разделе были рассмотрены одни из крупнейших проектов Техносерва в сфере информационной безопасности для российских банков ВТБ24 (внедрения системы противодействия мошенничеству) и ПАО «Сбербанк» (система распознавания лиц). Здесь же было рассмотрено положительное влияние данных проектов на деятельность банков и выявлены экономическая эффективность проекта системы распознавания лиц путем аналитики общего объема кредитования в Российской федерации в 2012-2016 годах и ПАО «Сбербанком в частности». Выявлено уменьшение количества мошеннических кредитов в банке после внедрения системы по сравнению с общим процентов по стране.

В заключительном разделе были предложены рекомендации по улучшению информационной безопасности в банковском бизнесе. В данном разделе автором были предложены следующие решения:

Рекомендации по успешному внедрению страхования информационной безопасности в России с целью минимизации рисков по утечки, кражи информации и так далее.
Изменение законодательства, позволяющие улучшить работу с информационной безопасностью в сфере интернет-банкинга.
Выявлены ключевые проблемы информационной безопасности, следствия этих проблем, основные методы решения и рекомендации по усилению информационной безопасности при дистанционном банковском обслуживании.

Заключение

В данной работе были рассмотрены ключевые проблемы, связанные с информационной безопасностью в банковском бизнесе. В связи с постоянными утечками информации, киберпреступлениями, мошенничеством, совершенствование и поддержание защиты информационной безопасности банков является актуальным направлением развития банковского бизнесе.

В первой главе исследования были рассмотрены теоретические основы информационных технологий и информационной безопасности в банковском бизнесе. Были рассмотрены основы применения информационных технологий в банковском бизнесе, понятие информационной безопасности в банковском бизнесе, а также информационная безопасность электронных банковских платежей. В данной главе было выявлен тот факт, что, несмотря на постоянное совершенствование информационных технологий, и регламентов по работе с ними, проблем, связанных с защитой информационной безопасности меньше не становится. Это и подтверждает тот факт, что данная тема до сих пор актуальна и по сей день.

Во второй главе были рассмотрены современные информационные технологии и стандарты для улучшения и поддержания информационной безопасности в банковском бизнесе. Были изучены ключевые инновационные технологии в банковском бизнесе, современные стандарты информационной безопасности в банковской сфере и средства их исполнения, предложенные Центральным банком Российской федерации и британской бизнес школой. Были выявленные ключевые сферы деятельности, в которых возникают проблемы, связанные с информационной безопасностью, а именно: дистанционное банковское обслуживание и проблемы при оформлении кредита. Далее были рассмотрены методы и способы оценок риска информационной безопасности в банках, предлагаемые ЦБ РФ и британской бизнес школой. Рассмотрены ключевые шаги и процессы при выявлении оценки (количественной и качественной) уязвимости информационной безопасности в банках, а также денежные потери, связанные с проблемами утечки информационной безопасности. В заключении были рассмотрены информационные продукты, которые используют банки для защиты информационной безопасности на сегодняшний день. Итогом данной главы следует то, что, несмотря на использование таких банковских продуктов для защиты информационной безопасности, они могут только выявлять возможную утечку и атаку, которую частично могут устранить. Тем не менее, если будет выполнено совершенно новые процессы по атаке информационной безопасности или в данном процессе будет присутствовать человеческий фактор, данные программы будут не в силе устранить или помещать процессам утечки информации. Это и подтверждает тот факт, что на сегодняшний день банкам постоянно требуется обновлять свои информационные продукты и программы, которые работают с ключевыми бизнес- процессами банка, для поддержания информационной безопасности.

Также были представлены совершенствование информационной безопасности в банковском бизнесе с применением информационных технологий. Были представлены примеры внедрения совершенно новых информационных технологий ГК «Техносерв» в банки ВТБ24 (внедрения системы противодействия мошенничеству) и ПАО «Сбербанк» (Система распознавания лиц). Данные информационные продукты рассматривали ключевые бизнес процессы, в которых возникают проблемы, связанные с информационной безопасностью. Был выявлен положительный эффект внедрения данный информационных технологий путем анализа данных, предложенных банками, ЦБ РФ, и НБКИ, в деятельность банка. Далее автором работы были предложены рекомендации по совершенствованию информационной безопасности в банковском бизнесе. Были предложены рекомендации по развитию страхования информационной безопасности на основе зарубежного опыта. Описание процедур, особенностей работы, были выявлены проблемы, мешающие развитию данного рода деятельности в нашей стране, и предложены собственные рекомендации по их устранению. Были предложены изменение и дополнения некоторых пунктов законодательства, регламентирующие работу информационной безопасности в сфере интернет банкинга. Был изучен ФЗ "О национальной платежной системе" и были предложены рекомендации по дополнению некоторых регламентов. Также были описаны достоинства и недостатки данных дополнений.

В заключении, стоит отметить, что совершенствование информационных технологий является неотъемлемой частью по совершенствованию информационной безопасности. Существует множество авторов, которые рассматривают вопросы, связанные с совершенствованием информационной безопасности в банковском бизнесе. Именно это свидетельствует о том факте, что данный вопрос будет рассматриваться и в дальнейшем другими зарубежными и отечественными авторами.

Список используемой литературы

Доктрина информационной безопасности
«Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» // ГОСТ Р ИСО/МЭК 15408-2002.
Конституция Российской Федерации от 25 декабря 1993 года, с изменениями от 30 декабря 2008 года
Гражданский кодекс РФ от 30.11.1994 N 51-ФЗ
Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-ФЗ
«Об информации, информационных технологиях и о защите информации» //

Федеральный закон от 27 июля 2006 г. N 149-ФЗ.

«Об электронной подписи» // Федеральный закон от 07 апреля 2011 г.
«О персональных данных» // Федеральный закон 152-ФЗ от 25.07.2011г.
«О национальной платежной системе» // Федеральный закон от 27 июня 2011 года 161-Ф.
«О коммерческой тайне» // Федеральный закон №98-ФЗ от 14 марта 2014г.
Национальное бюро кредитных историй (НБКИ)
Центральный Банк Российской Федерации. Статистика кредитов.
Объединенное кредитное бюро (ОКБ)
Стандарты СТО БР ИББС-1.0-2006, СТО БР ИББС-1.0-2014.
Международный стандарт ISO/IEC 27005
Информационная безопасность организаций банковской системы Российской Федерации [Электронный ресурс] // Центральный банк Российской Федерации. – Режим доступа: http://www.cbr.ru/credit/gubzi_docs/
Митков М. Сканер-ВС. Швейцарский нож администратора безопасности // Заместитель директора департамента программных разработок [Электронный ресурс]. – 2015, Режим доступа: http://s3r.ru/wp-content/uploads/2010/11/SKANER- VS.pdf
Бойцова Е. Обзор MaxPatrol SIEM // Обозреватель Anti-Malware.ru [Электронный ресурс]. – 2016, Режим доступа: https://www.anti- malware.ru/reviews/MaxPatrol_SIEM
MasterCard Worldwide. CEMEA Fraud Report, may 2010.

В России растет мошенничество с платежными картами // E-money news. – 2009. [Электронный ресурс]. – Режим доступа: http://www.e-moneynews.ru/v-russia-rastet- moshennichestvo-s-platezhnymikartami/

Компания ГК Техносерв. Ключевые клиенты ГК Техносерв. // Официальный сайт [Электронный ресурс]. – 2016. Режим доступа: http://www.technoserv.com/about/customers/customers/
Компания ГК Техносерв. История компании ГК Техносерв // Официальный сайт [Электронный ресурс]. – 2016. Режим доступа: http://www.technoserv.com/about/company/profile/history/
Компания ГК Техносерв. Организационная структура ГК Техносерв. // Официальный сайт [Электронный ресурс]. – 2016. Режим доступа: http://www.technoserv.com/about/company/tops1/
Национальный банковский журнал. Аутсорсинг информационной безопасности. // [Электронный ресурс]. – 2017. Режим доступа: http://nbj.ru/publs/upgrade- modernizatsija-i-razvitie/2015/03/26/autsorsing-informatsionnoi- bezopasnosti/index.html
British Standards Institution «Стандартизация и сертификация - новые стратегии в кризис» - презентация.
Аляев Д.А. Банковские риски при операциях с кредитными картами // М.: Российское предпринимательство, 2010
Аверин С. Проблемы банковской безопасности». // М.: Банковские технологии, 2010.
Баранова Е. К, Бабаш А.В Информационная безопасность и защита информации: Учебное пособие / М.: НИЦ Инфра-М., 2014.
Бабаш А.В., Мельников Ю.Н., Баранова Е.К. Информационная безопасность. Лабораторный практикум: Учебное пособие. - М.: КноРус, 2013..
Бартон Т., Шенкир У., Уокер П. Комплексный подход к безопасности сетей. — М.: Издательский дом «Вильямс», 2013.
Бузов Г.A. Защита от утечки информации по техническим каналам: Учебн. пособие / Бузов Г.A., Калинин C.B., Кондратьев A.B.- M.: Горячая линия - Телеком, 2015..
Гайкович В. Н. Безопасность электронных банковских систем / В. Н. Гайкович. – М. : Единая Европа, 2009. - 314 с.
Герасименко В. А., Медатунян М. В. Организация комплексной защиты информации на современных объектах // Вопросы защиты информации, №1, 2014.
Головин Л. Стандарты информационной безопасности в банках. Научная статья. RSCLUB № 4 ОКТЯБРЬ—ДЕКАБРЬ 2007. С 28-32.
Девянин Н.П., Михальский О.О., Правиков О.О., Щербаков А.Ю. Теоретические основы компьютерной безопасности.- М.: Радио и связь, 2012. – 278с.
Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2015. - 392 с.
Зима В.М., Молдвян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. 2-е изд. — С.-Пб.: БХВ-Петербург, 2013. –368 с.
Кинг Б. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. М.:Олимп-Бизнес, 2014. 520 с.
Киселевич Ю. В. Влияние технологических инноваций на повышение конкурентоспособности банковской сферы РФ: статья, 2012 – 7 стр.
Кузнецов И.Н. Бизнес-безопасность. - Издательско-торговая корпорация

«Дашков и К°» • 2016 год • 416 страниц

Лукацкий А.В. Обнаружение атак. — С.-Пб.: БХВ–Петербург, 2014. –624 с.
Мельников В.П., Петраков А.М. Информационная безопасность и защита информации: Учебное пособие для студентов учреждений высш. проф. образования / С.А. Клейменов, В.П. Мельников, А.М. Петраков; Под ред. С.А. Клейменов. - 6-e изд., стер.- М.: ИЦ Академия, 2012. – 336с.
Мартынов А. Управление информационной безопасностью в банках. Особенности, реализация, аудит // RSClub. 2007. № 2. С. 40—45.
Михайлов С.Ф., Петров В.А., Тимофеев Ю. А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции. Учебное пособие. — М.: МИФИ, 2013. –112 с.
Пасечникова О. В. Конкурентоспособность организации и методы ее оценки / О. В. Пасечникова, А. В. Малеева, 2014.
Суворов А. В. Международные аспекты использования информационных технологий в банковском бизнесе: учебное пособие, 2013.
Торокин А.А. Инженерно-техническая защиты информации: учебное пособие для студентов, обучающихся по специальностям в обл.информационной безопасности / А.А.Торокин. – М.: Гелиос АРВ, 2012. – 960с.
Пашков Р. В., Юденков Ю. Н. Контроль мобильных платежей: информационная безопасность и финансовый мониторинг // Инновации и инвестиции. — 2016. —№ 11. — С. 99–10