Диплом (1198319), страница 11
Текст из файла (страница 11)
Несмотря на то, что АО «Россельхозбанк» менее подвержен подобным атакам, чем перечисленные банки, на своем сайте в разделе «Меры безопасности» АО «Россельхозбанк» сообщает о возможных случаях мошеннических действий третьих лиц, связанных с рассылкой в адрес клиентов ложных уведомлений от лица АО «Россельхозбанк». Указанные сообщения, поступающие в виде sms-сообщений, электронных писем, могут содержать информацию о заочном одобрении кредита, выпуске кредитной карты на имя клиента или иную информацию. Банк регулярно обновляет информацию в данном разделе, в целях предотвращения мошеннических действий в отношении своих клиентов. Также Банк рекомендует своим клиентам внимательно ознакомиться с условиями договоров, а также Памятками по безопасности.
АО «Россельхозбанк» повышает свою экономическую безопасность и ведет разработки различных программ и стратегий развития. За 2016 год Банк улучшил показатели рентабельности, прибыльности, экономической эффективности. В 2016 году АО «Россельхозбанк» улучшил свои показатели в системе дистанционного обслуживания, реализовал ряд значимых проектов. Банк продолжает совершенствовать систему управления рисками, внедряются разные системы и процедуры ежедневного мониторинга рисков.
Залогом успешной реализации политики экономической безопасности является создание подразделения информационной безопасности. Основываясь на внутренних регламентах и положениях, данное подразделение обеспечивает поддержание целостного механизма информационной безопасности. Одной из главных задач подразделения информационной безопасности является защита экономических интересов кредитных организаций, создание благоприятных условий для ведения финансовых операций и извлечения максимальной прибыли.
В целях повышения экономической безопасности АО «Россельхозбанк» г. Хабаровск могут быть даны следующие рекомендации:
- внедрить аналитический CRM для розничного бизнеса, что позволит производить анализ значительных объёмов клиентских данных и в автоматическом режиме формировать маркетинговые компании, содержащие индивидуальные предложения;
- внедрить новые технологии кредитования в розничном бизнесе; все виды продуктов перевести на конвейерную технологию принятия решений, что позволит существенно сократить время рассмотрения кредитных заявок и оптимизировать операционные расходы – это позволит улучшить качество кредитного портфеля;
- ввести систему мотивации работников сети, выстроить систему постоянного обучения и развития персонала, это позволит существенно увеличить производительность работников;
- использовать технологию автоматизация взыскания проблемной задолженности с физических лиц;
- внедрить автоматизированную систему управления активами и пассивами банка, которая является эффективным инструментом анализа и прогнозирования структуры баланса;
- использование новой современной автоматизированной банковской системы с учётом современных и перспективных технологий, высокотехнологичной платёжной инфраструктуры, оптимизация трудовых ресурсов, автоматизация основных этапов кредитного процесса, сквозного обслуживания клиентов и увеличения доли автоматизированных операций, что позволит оптимизировать затраты и снизить операционные риски;
- введение самооценки Банка (аудит) в целях совершенствования информационной безопасности, выявления недостатков системы обеспечения информационной безопасности;
-внедрение системы управления судебными делами, позволяющей автоматизировать процессы судебной работы, осуществлять оперативный мониторинг и контроль, систематизация судебной практики по делам Банка;
- реализация проектов и мероприятий, направленных на обеспечение непрерывности деятельности ИТ-инфраструктуры Банка.
4 Информационная безопасность в структуре кредитной организации АО «Россельхозбанк»
4.1 Общие понятия
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка.
Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Безопасность банка - совокупность внешних и внутренних условий банковской деятельности, при которых потенциально опасные для банковской деятельности действия или обстоятельства предупреждены, пресечены либо сведены к такому уровню, при котором не способны нанести ущерб установленному порядку банковской деятельности и воспрепятствовать достижению банком установленных целей.[33]
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках безопасности учитываются объективно существующие внешние и внутренние условия, влияющие на банковскую систему в целом.
4.2 Виды угроз безопасности банковской деятельности
Виды угроз безопасности банковской деятельности:
Внутренние угрозы - это источники, порождаемые внутренними противоречиями или иными факторами, которые могут исходить непосредственно от коллектива, групп людей и отдельных личностей, наделенных определенными полномочиями при выполнении своих обязанностей в данном учреждении.
Внешние угрозы - это источники, которые существуют или могут появляться за рамками организации, в частности банка, и воздействовать на его интересы извне. Основу внешних угроз, как правило, составляет социальные источники опасности (люди), а также и природные.
Классификация потенциальных угроз безопасности банков:
Первая группа - физические угрозы.
Вторая группа - технические угрозы.
Третья группа - интеллектуальные угрозы
Физические угрозы, как воздействие физических лиц, совершающих противоправные действия методом физического насилия, также и природные, техногенные катастрофы.
К физическим угрозам относятся:
-похищения и угрозы похищения сотрудников банка, членов их семей и близких родственников;
-убийства, сопровождаемые насилием, издевательствами и пытками; разбойные нападения с целью завладения денежными средствами, ценностями и документами;
-уничтожение собственности банка и собственности банковских работников; угроза безопасность банковская
-террористические акции,
-чрезвычайные обстоятельства
Технические угрозы - это совокупность мероприятий и технических средств, направленных на получение нужной информации, а также на нарушение, нейтрализацию аппаратных средств и программного обеспечения интересующего объекта (банка), к ним относятся:
- перехват информации;
- радиоразведка связи и управления;
-искажение информации;
-ввод ложной информации;
-информационное нападение;
Интеллектуальные угрозы - это угрозы направленные на продукт интеллектуального труда, умственные способности индивида.[24]
Лжепредпринимательство - создание коммерческих организаций без намерения осуществлять предпринимательскую или банковскую деятельность, с целью получения кредитов, освобождения от налогов, извлечение других имущественных выгод или прикрытие запрещенной деятельности. Цель - создание банков и других кредитных организаций предназначенных для привлечения и последующего хищения денежных средств других лиц.
Лжепредпринимательство - один из обязательных элементов по отмыванию нелегально полученных доходов через банковскую систему.
Преступления с использованием пластиковых платежных средств:
- операции с поддельными картами;
- операции с украденными/поддельными картами;
- многократная оплата услуг и товаров;
- мошенничество с почтовыми/телефонными заказами ;
- многократное снятие со счета;
- мошенничество с использованием подложных слипов;
- использование для выдачи наличных денег через банкомат;
-подключение электронного записывающего устройства к POS - терминалу/банкомату, “Skimming” и другие виды мошенничества.
Основные способы подделки пластиковой карты:
- изменение информации на магнитном носителе;
- изменение информации записанной на лицевой стороне;
- их сочетание;
Скимминг - тщательное и полное копирование всего содержимого магнитных треков (дорожек)
Кардинг - мошенничество с кредитными каточками (кража номеров кредитных карт, продажа поддельных кредитных карт и т.д.)Фишинг - получение информации от владельцев пластиковых карточек путем рассылки по электронной почте с фальшивыми веб-страницами, имитирующие легитимные сайты, запросов от имени банков и платежных систем. Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка.
По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным. Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.[19]
В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием.
Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.
4.3 Меры обеспечения защиты информации на примере АО «Россельхозбанк»
Важной составляющей программы действий по защите информации становится работа с сотрудниками IT-подразделений. Поскольку именно они обладают доступом к данным компании, утрата которых может поставить под вопрос не только стабильное функционирование организации, но и ее надежность в глазах клиентов.
Для обеспечения работоспособности системы и минимизации вероятности несанкционированного вторжения необходим аудит и мониторинг внешних атак из Интернета в режиме реального времени. В задачу IT-подразделения входит построение информационно замкнутых зон видения IP-адресного пространства с целью контроля вероятного доступа к рабочей станции в сети банка извне. .
Таким образом, безопасность банковской системы напрямую зависит от того, насколько ответственно и профессионально выполняют свои задачи специалисты отдела информационных технологий: системные администраторы, IT-менеджеры и др.
Круг задач данных специалистов и значимость их работы для обеспечения информационной безопасности требуют с особым вниманием проводить подбор на вакантные должности. Рекрутеры акцентируют внимание на том, что, нанимая работника, но не удостоверившись в его достаточной квалификации, компания рискует не только информацией, но и эффективностью работы всего подразделения. Ведь исправление его ошибок потребует значительных затрат времени и средств. Поэтому основным требованием при подборе является уровень первоначальной подготовки соискателя - наличие навыков программирования, знание языков и т.д. [31]
В зависимости от этого определяется сфера деятельности нового сотрудника в отделе, типичный состав которого включает:
-специалистов технической поддержки;
-системных администраторов;
-ведущего системного администратора (консультанта);
- IT-менеджера и (или) IT-директора.
Также одной из ключевой составляющей по защите информации являются антивирусные программы.
Все платные антивирусы можно разделить на несколько ключевых групп, каждая из которых ориентирована на определенную доминирующую функцию.
Этот перечень выглядит следующим образом:
- программы-доктора;( Kaspersky Antivirus, Norton AntiVirus, Doctor Web)
- ревизоры;( Kaspersky Monitor)
- вакцины;( Anti Trojan Elite, Ttojan Remover, Dr. Web Curelt)
- фильтры;( VSafe)
- детекторы.( AVP, Aidstest и Doctor Web)
Каждый из них может понадобиться в таком нелегком и ответственном деле, как организация защиты информации. Антивирусная защита, например, из категории «Доктор», способна не только обнаружить угрозу, но и вылечить систему, что является крайне актуальным свойством. В этом случае тело вируса удаляется из пораженного файла, а последний возвращается в исходное состояние.[41]
Изначально такие программы, называемые фаги, занимаются поиском вирусов, и если находят таковые, то, прежде всего, их уничтожают и лишь затем активируют восстановительные процессы.
Если компьютер в силу различных причин постоянно подвергается воздействию значительного количества угроз, то есть смысл использовать полифаги, которые предназначены специально для таких нагрузок.
Что касается детекторов, то они необходимы для быстрого поиска вирусов в различных носителях и оперативной памяти в частности. Такие антивирусные системы и защита информации не могут рассматриваться отдельно друг от друга.
Внимание стоит уделить и программам-фильтрам. Они созданы для обнаружения подозрительных процессов в системе. Именно благодаря работе таких антивирусов пользователи периодически видят на мониторе предупреждения о том, что конкретная программа пытается выполнить некорректное или подозрительное действие.[42]
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
