ВКР МОРОЗ ГОТОВ (1206471), страница 8

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 8)

Поиском индикаторов мошенничества в конкретном деле должны заниматься сотрудники компании, имеющие опыт разоблачения данных видов страхового мошенничества. Для успешного разоблачения мошенничества должны активно привлекаться надежные сторонние эксперты, специалисты и аналитики.

Этап 4. Выдвижение версий совершенного мошенничества

Версия - обоснованное предположение. Для определения верных направлений расследования версии имеют ключевое значение.

Общие версии:

• имела место инсценировка страхового события;

• имело место реальное страховое событие;

• имело место реальное страховое событие, но его обстоятельства изменены заявителем.

Частные версии - это версии, выдвигаемые по способам совершения мошенничества, которые освещались выше.

Всегда жертвами мошенничества становятся доверчивые люди, которые излишне доверяют документам, дрожащему голосу, слезам и честным глазам профессиональных мошенников. Помните: мошенничество - это обман или злоупотребление доверием.

При этом всегда нужно предполагать наличие сговора между всеми участниками цепочки: страхователь - застрахованное лицо - страховой представитель - сотрудник медицинского учреждения.

Этап 5. Планирование расследования

Следует обратить внимание на то, что любое мероприятие, осуществляемое спонтанно, без предварительного планирования, не достигает цели, тем более, если мы говорим о расследовании преступления, связанного с обманом, ложными показаниями и фиктивными документами.

Очень часто возникают ситуации, когда сотрудник компании, обнаруживший «ниточку», указывающую на возможный обман, опьяненный близкой удачей, сломя голову начинает сбор доказательств. При этом, как ему кажется, он все делает правильно и руководствуется принципом «победителей не судят».

Однако крайне редко из этой затеи что-то получается. Обычно все кончается судебным процессом, к которому страхователь подготовился очень хорошо благодаря осведомленности о подозрениях страховщика.

В план расследования должны быть включены следующие пункты:

• общие и частные версии события;

• мероприятия по установлению факта мошенничества и закреплению доказательств;

• реализация полученных доказательств;

• привлечение специалистов, экспертов для проведения исследований и экспертиз;

• привлечение юристов, адвокатов для продумывания правовой стратегии;

• исполнители и сроки мероприятий;

• использование технических и специальных средств;

• условия оформления и хранения собранной информации и доказательств по делу;

• сроки сбора участников группы расследования для обсуждения результатов расследования и корректировки плана.

Таким образом, в режиме устойчивого функционирования страховая организация при решении задач обеспечения своей экономической безопасности акцентирует главное внимание на поддержании нормального ритма деятельности, на предотвращении любого вида ущерба, на недопущении несанкционированного доступа к служебной информации и разрушения компьютерных баз данных, на противодействии недобросовестной конкуренции и криминальным проявлениям и др.

3.2 Экономическое обоснование создания самостоятельной службы экономической безопасности на примере САО «ВСК»

Мошенничество – одна из самых острых проблем в сфере страхования. Участившиеся случаи обманов и общая тенденция криминализации проанализированного сегмента услуг серьёзно тормозит не только развитие рынка страхования, но и отрицательно сказывается на экономике государства в целом.

Проанализировав данные РСА (годовые отчеты организации) за 2015-2016 годы, мы видим, что страховыми компаниями были выплачены компенсации на сумму 211,08 млрд рублей. Порядка 10-15% от данных выплат (а это минимум 20 млрд рублей!) ушли в карманы мошенников. В данную цифру включены все спорные случаи, когда по мнению организации клиент пытался получить выплату незаконным путем, но доказать это было сложно, а судебный процесс нецелесообразен.

В связи с этим, на наш взгляд, является целесообразным ввести в организационную структуру исследуемого предприятия обособленный отдел- службу экономической безопасности в САО «ВСК».

Безопасность страховой компании – это состояние защищенности интересов владельцев, руководства и клиентов, а также материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

В России страховая безопасность не соответствует объективным требованиям, а состояние защиты страховых организаций от мошенничества и посягательства преступных элементов находится на низком уровне.

В последние годы начали приниматься меры, направленные на обеспечение безопасности страховых компаний. Действия правительства РФ и Банка России были нацелены на формирование системы страховой безопасности и применение мер безопасности на практике.

В соответствии с поставленными задачами мы выявили следующие актуальные угрозы безопасности САО «ВСК» :

Первая: кредитное мошенничество, махинации с бланками ОСАГО и платежными документами.

Вторая: необдуманная работа страховых компаний с неподготовленными клиентами.

Третья: нападения на инкассаторов, обменные пункты, операционные кассы, денежные хранилища с целью завладеть наличными средствами. Главная опасность заключается в угрозе жизни людей.

Опираясь на общую организационную структуру страховой компании нами предлагается следующим образом структурировать службу экономической безопасности.

Руководитель всем подразделением должен относиться к высшему руководству компании. В его обязанности входит формирование стратегии

обеспечения безопасности компании, решение текущих проблем начальниками структурных подразделений и высшим руководством, взаимодействие с

правоохранительными органами, контроль над выполнением поставленных перед всеми подразделениями задач, решение всех ее внутренних проблем и непосредственное руководство службами собственной безопасности и экспертов-консультантов.

Далее в штат на наш взгляд необходимо ввести специалиста,

отвечающего за информационно-аналитическую работу.

Специалист собирает и анализирует всю информацию:

• о конкурентах, их рыночной стратегии, используемых технологиях и угрозе с их стороны;

• о коммерческой добропорядочности, финансовой надежности клиентов и партнеров страховой компании;

• об изменениях в экономической политике государства;

• о потенциальных угрозах криминальных структур (деятельность преступных элементов, базы хакеров, подготовка акций, направленных против организации).

• А также информацию о потенциальных угрозах со стороны собственного персонала (соблюдение сотрудниками правил обеспечения безопасности, поведение сотрудников, лояльность которых вызывает сомнения, общие настроения в коллективе).

После этого формируются рекомендации для руководителей других отделов компании, аналитические отчеты об экономической и криминальной ситуации, а также информационно-обзорные бюллетени, используемые при обучении персонала и в работе психологов. Кроме этого, принимаются меры по предотвращению угрозы от одной из заинтересованных сторон.

На ряду с этим должен быть специалист, отвечающий за

информационную безопасность, в обязанности которого входит защита компьютерных сетей и баз данных от проникновения с целью копирования и повреждения, а также защита бумажной информации (разработка определенных правил поведения с документами).

Для выполнения поставленных задач инженерно-техническая служба совместно с компьютерной службой обеспечивает технические средства защиты и необходимый уровень защиты компьютерных сетей и баз данных страховой компании. Кроме того, указанная служба экономической безопасности будет обеспечивать личную безопасность сотрудников, безопасность перевозок денежных средств (инкассация), безопасность здания и отдельных помещений компании (патрульно-постовая служба).

Некоторые крупные страховые компании даже создают учебно-тренировочные центры для поддержания уровня квалификации сотрудников отдела физической защиты.

Проанализировав некоторые варианты мошенничества в страховой компании мы предлагаем создать отдел собственной безопасности, который будет в подчинении вице-президента компании, призван поддерживать внутреннюю безопасность и защищать страховую организацию от сотрудников самой службы безопасности. В функции отдела будут входить разработка внутренних правил поведения сотрудников службы безопасности, контроль над выполнением данных правил, проведение служебных расследований в отношении сотрудников, поставивших под сомнение собственную лояльность.

Специалисты, работающие в этом отделе, проходят самый жесткий контроль при поступлении на работу и имеют самый высокий уровень заработной платы.

Опираясь на выше сказанное подведем итог, специалисты каждого отдела должны быть компетентны, коммуникабельны, толерантны. Работа в службе безопасности страховой компании будет доступна только специалистам с высокой квалификацией и большим опытом работы. Поэтому всем известно, как проверяет страховая организация соискателей на должность сотрудника отдела безопасности: изучается не только личная информация, но и ближайшее окружение претендента. Предпочтительнее в отдел планируется принимать

бывших сотрудников правоохранительных органов, юристов и аналитиков.

Большое значение при комплектовании отдела уделяется знаниям в области права, финансов, навыкам работы с компьютером и умению работать в коллективе.

Работа службы безопасности затрагивает все подразделения страховой компании. Объектами безопасности являются персонал, финансовые средства, материальные ценности, банковские технологии и информационные ресурсы.

4 Информационная безопасность

4.1 Информационная безопасность в САО «ВСК»

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерба владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

• доступность (возможность за разумное время получить требуемую информационную услугу);

• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

• конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

• аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

• программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

• данные, хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

• персонал - обслуживающий персонал и пользователи.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Ниже рассмотрим классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

• хищение носителей информации;

• чтение информации с экрана или клавиатуры;

• чтение информации из распечатки.

• Через программу:

• перехват паролей;

• дешифровка зашифрованной информации;

• копирование информации с носителя.

• Через аппаратуру:

• подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

• перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер - ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

• с помощью прямого обмена сеансовыми ключами;

• используя один или несколько центров распределения ключей.

Практически во всех видах деятельности в частности САО «ВСК» информационные и телекоммуникационные технологии и информационная безопасность играют решающую роль. Их широкое внедрение в автоматизированные и информационно-управляющие системы, корпоративные и вычислительные сети различного назначения значительно повышает эффективность холдинга и создает ощутимые конкурентные преимущества. При этом существует риск, что нарушение таких характеристик информации, как конфиденциальность, целостность, доступность, достоверность, может привести к неприемлемому ущербу или катастрофическим последствиям.

Решению проблемы защиты информации и информационной безопасности САО «ВСК» корпоративных информационных систем и сетей компании уделяется немалое внимание. В данный момент система обеспечения информационной безопасности (СОИБ) САО «ВСК» представляет собой сложную организационно-техническую систему, предназначенную для обеспечения защиты информации и информационной инфраструктуры от воздействий, которые могут нанести неприемлемый ущерб САО «ВСК» вследствие утраты конфиденциальности, целостности и доступности информации.

К основным объектам защиты информации в САО «ВСК» относятся:

• программно-технические комплексы и система управления единой магистральной цифровой сетью связи (ЕМЦСС);

• системы управления автоматических телефонных станций оперативно-технологической и общетехнологической сетей;

• программно-технические комплексы и система управления сети передачи данных;

• отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), в том числе задействованные в технологических процессах;

• серверные сегменты информационных систем и автоматизированных систем управления; программно-технические комплексы поддержания специализированных баз данных;

• системы документооборота.

Главными целями создания и функционирования СОИБ являются обеспечение защиты информации, внедрение и эксплуатация технических подсистем, комплексов и средств обеспечения информационной безопасности, обеспечение доступности соответствующих категорий информации для пользователей САО «ВСК», других организаций и частных лиц, управление информационной инфраструктурой с точки зрения недопущения непроизводственного и непроизводительного использования ее ресурсов, а также аудит уровня информационной безопасности САО «ВСК». В составе существующей СОИБ выделяются три составляющие - организационная, нормативно-правовая и техническая.

Разработка нормативной базы по информационной безопасности осуществляется на основе действующего законодательства Российской Федерации (ФЗ «О персональных данных», ГОСТ 51275-99, ГОСТ Р 51624-2000, ГОСТ Р 51583-2000 и др.), в том числе нормативных актов, гармонизированных с международными стандартами (например, ИСО/МЭК 15408 - 2002 и др.), а также нормативных актов ФСТЭК и ФСБ России.

Характеристики

Список файлов ВКР