готовый (восстановлен) (1198180), страница 10
Текст из файла (страница 10)
Процессы обеспечения информационной безопасности АТБ являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: «планирование-реализация-пррверка-совершенствование-планирование».
Безопасность информационных активов банка оценивается и обеспечивается по каждому из следующих аспектов:
- доступность;
- целостность;
- конфиденциальность.
При этом критерием оценки является вероятность, размер и последствия нанесения банку любого вида ущерба (невыполнение имеющихся перед государством, клиентами и партнерами обязательств, финансовые потери, потеря репутации и пр.). Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности банка, в связи с чем, любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие.
Задачами системы обеспечения информационной безопасности
являются:
- снижение операционных рисков банка, связанных с использованием информационных технологий;
- оптимизация затрат на обеспечение информационной безопасности;
- создание условий для максимальной автоматизации выполнения банковских операций и исключения ручных операций;
- своевременное выявление новых угроз;
- контроль состояния информационной безопасности на всех этапах жизненного цикла автоматизированных банковских систем;
- минимизация потерь банка при реализации угроз информационной безопасности;
- обеспечение жизнедеятельности банка и безопасности его информационных активов в условиях неблагоприятных событий (экономические и политические кризисы, природные и техногенные катастрофы, террористические угрозы и пр.).
Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.
Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода. Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.
Существуют основные принципы, согласно которым обеспечивается информационная безопасность «Азиатско-Тихоокеанский Банк» (ПАО):
1. Осведомленность о риске информационной безопасности;
2. Персональная ответственность;
3. Ограничение полномочий;
4. Адекватность защиты;
5. Эргономичность защиты;
6. Документированность;
7. Непрерывность процессов контроля и совершенствование системы обеспечения информационной безопасности;
8. Пассивность контроля;
9. Разделение полномочий по управлению информационных технологий;
10. Контроль со стороны руководства и коллегиальных органов;
11. Сочетание централизованного и децентрализованного подходов к управлению рисками информационной безопасности;
12. Целевое финансирование мероприятий по обеспечению информационной безопасности. [54]
Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.
Источниками угроз информационным активам банка являются:
- внешние и внутренние злоумышленники;
- ошибочные действия персонала банка;
- вирусные атаки;
- отказы и сбои оборудования и ПО;
- техногенные и природные катастрофы;
- террористические угрозы.
В любом банке одним из немаловажных источников угроз информационной безопасности являются ошибочные действия персонала, в основном из-за своей некомпетентности и неосведомленности в конкретных вопросах, так и «Азиатско-Тихоокеанский Банк» (ПАО) не становится исключением.
Проблема искажения банковской информации практически всегда связана с человеческим фактором, сами сотрудники банка могут сделать ошибку при копировании или транспортировании информации, причем, ошибка может быть, как намеренной, так и автоматической. Чтобы решить эту проблему должен проходить тщательный отбор персонала, имеющего доступ к важной информации, автоматизация процессов внесения данных, шифрование информации, а также контроль действий рядовых сотрудников со стороны менеджеров.
Должностные обязанности сотрудников и трудовые договоры должны предусматривать обязанности персонала по выполнению требований по обеспечению информационной безопасности, включая обязательства по неразглашению информации, составляющей банковскую тайну и коммерческую тайну банка. Также нужно реализовывать программы обучения персонала банка и информирования в вопросах обеспечения информационной безопасности, периодически проверять и оценивать уровень компетентности персонала в этих вопросах. Приказы и распоряжения, актуальная информация по вопросам обеспечения информационной безопасности, в том числе по выявленным нарушениям, должны доводиться до всех сотрудников банка под роспись. [50]
Следующей и одной из серьезнейших проблем в АТБ является проблема уничтожения банковской информации. Проблема уничтожения банковской информации может быть вызвана, как поломкой или сбоями программного обеспечения, так и, например, специальными вирусами, вызывающими сбои операционных систем. Чтобы свести к минимуму потери информации, следует проводить ежедневное резервное копирование информации, постоянное обновление операционных систем и специальные защитные программы.
Также требуется соблюдать общие требования по обеспечению информационной безопасности средствами антивирусной защиты, такие как:
1. Каждый сотрудник банка обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение;
2. Техническая возможность подключения пользователями к рабочим станциям локальной вычислительной сети внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование гибких магнитных дисков, CD-/DVD-дисководов максимально ограничиваются;
3. Антивирусная защита обеспечивается использованием в банке специализированного ПО.
4. Для снижения влияния человеческого фактора, исключения возможности отключения или необновления антивирусных средств, контроль и управление антивирусным ПО, а также устранение выявленных уязвимостей в системном ПО производится централизованно в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления с учетом обязательного предварительного тестирования на совместимость с банковским системным и прикладным ПО.
5. При невозможности централизованного обновления антивирусного и системного ПО периодичность, сроки и порядок проведения соответствующих мероприятий определяются оценкой имеющихся рисков вирусного заражения критичных информационных ресурсов и техническими возможностями такого обновления. [33]
А вот получение банковской информации третьими лицами — это основная угроза банковской системе «Азиатско-Тихоокеанский Банк» (ПАО), которая может привести к огромным финансовым потерям. На сегодняшний день могут быть применены три основных способа несанкционированного доступа к информации:
1) доступ к местам обработки и хранения информации. Может произойти, как примитивным путем физического взлома офиса банка, взлома электронных источников хранения информации (достаточно редкий случай, учитывая степени защиты таких источников) и кража информации при помощи электронных носителей самими сотрудниками банка;
2) использование резервных копий. Доступ к копиям информационных блоков менее строг, чем доступ к самим носителям, которые в случае злого умысла или ошибки могут попасть в руки мошенников. В мировой практике было множество случаев кражи денежных средств именно при помощи резервных копий информационных блоков;
3) несанкционированный доступ со стороны сотрудников банка. Это наиболее вероятный и наиболее частый способ потери информации.
Защита банковской информации «Азиатско-Тихоокеанский Банк» (ПАО) от утечки и разглашения третьим лицам производится при помощи следующих инструментов:
- надежное специализированное программное обеспечение;
- программы защиты от атаки вирусов и других вредоносных программ извне - антивирусные программы;
- тщательный отбор и текущий контроль персонала, имеющего доступ к информации; различие в уровнях доступа;
- системы распознавания пользователей;
- программы специального шифрования информации;
- применение межсетевых экранов;
- защита от физического грабежа.
Несмотря на возросший уровень информационных технологий, позволяющих несанкционированно получить доступ к секретной информации, «Азиатско-Тихоокеанский Банк» (ПАО) способен предложить эффективные и надежные способы защиты банковской информации, которые совершенствуются с не меньшей скоростью, чем инструменты взлома. Обеспечение информационной безопасности — это одна из наиболее актуальных проблем для банка, в которое вкладывается достаточно большое количество ресурсов. [54]
Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.
Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства. Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.
Заключение
Вопрос экономической безопасности имеет большое значение в системе управления банком. Только достоверная и оперативная информация о всех производственно-хозяйственных процессах позволит предприятию определить степень риска, связанную с резким изменением экономической ситуации в регионе, определить конкурентоспособные направления, провести оперативный анализ безубыточности предприятия, обосновать альтернативные решения для успешного проведения финансовой и инвестиционной политики.
Финансовый результат деятельности предприятия в свою очередь во многом зависит от правильно выбранной стратегии управления. Среди проблем защиты кредитной организации от угроз внешнего и внутреннего характера все более актуальны необходимость обеспечения охраны финансовых ресурсов, защита информации, имущества и персонала коммерческого банка, создание механизмов финансовой защиты банковской системы и др.
Объектом исследования выпускной квалификационной работы является «Азиатско-Тихоокеанский Банк» (ПАО).
Предметом исследования являются: сущность, структура, содержание состояние, динамика, системы управления экономической безопасностью, особенности ее проявления в АТБ.
Цель исследования: анализ системы управления экономической безопасностью, особенностей её формирования в «Азиатско-Тихоокеанский Банк» (ПАО), обоснование путей оптимизации в современных российских условиях.
В соответствии с целью исследования были выполнены следующие задачи:
- проанализирована сущность, структура и содержание системы управления экономической безопасностью, и особенности ее реализации в «Азиатско-Тихоокеанский Банк» (ПАО);
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
