Диплом Весь (1216688), страница 12
Текст из файла (страница 12)
В настоящее время стало обязательным наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности, данная политика формируется на основе стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014. В документе выделяются весомые угрозы безопасности сведений в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы.
Выделяют главные элементы системы информационной безопасности банка [14]:
авторизация и аутентификация;
защита от несанкционированного доступа к данным, а также и внутренняя защита от незаконного доступа сотрудников банка;
защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;
обеспечение юридической значимости электронных документов;
управление инцидентами информационной безопасности;
управление непрерывностью ведения бизнеса;
аудит системы информационной безопасности внутренний и внешний.
При организации системы информационной безопасности банка следует учесть и такие функциональные требования к ней:
получение от должностных лиц в зависимости от их иерархической подчиненности тех сведений, которые необходимы им для решения поставленных задач;
возможность использования должностными лицами всех средств математического и программного обеспечения в интересах принятия решений;
при работе с системой, обеспечение диалогового взаимодействия участников;
соответствие особенностям хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления;
возможность объективного регулирования и проверки промежуточных данных и результатов на основе протоколирования.
Рассматриваемый в данной работе Дальневосточный банк «Сбербанк России», является одним из крупнейших банков России, соответственно данный банк заинтересован в надежности и сохранении своих информационных данных.
Для обеспечения безопасности информационных данных в ПАО Сбербанк создана система защиты информации, которая представляет совокупность направлений, требований, средств и мероприятий, уменьшающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке [51].
ПАО Сбербанк выделяет достаточно много времени на обеспечение информационной защиты. Для наиболее результативной организации защиты и увеличения быстроты реагирования на различного рода угрозы нужен был инструмент, объединяющий информационную инфраструктуру банка. С этой целью был сформирован центр управления информационной безопасности SOC (Security Operation Center), который основывается на базе решения компании ArcSight ESM – лидера в сфере мониторинга корпоративных угроз и рисков безопасности, а также уровня исполнения норм отраслевого регулирования.
Обычно под определением Security Operation Center (SOC) понимают некоторую систему, которая построена на основе продукции класса SIEM (Security Information and Event Management), предназначенной, в свою очередь, для сбора и хранения лог-файлов устройств и приложений для их дальнейшего анализа и обнаружения инцидентов [14].
В настоящее время SOC на основе SIEM-продуктов помогает банку решать важнейшие задачи:
собирать и хранить лог-файлы в едином централизованном хранилище;
для соответствия требованиям законодательства и отраслевым стандартам предъявлять специализированные отчеты аудиторам;
определить некоторую "границу" сетевой активности организации, превышение которой может свидетельствовать о различных угрозах;
выполнять соотнесение событий между различными источниками.
В сутки Сбербанк фиксирует до 1 млн. событий, которые могут нести риски информационной безопасности. В SOC все риски оперативно анализируются и предотвращаются.
За период 2016 года Сбербанк предотвратил мошенничество против своих клиентов - физических и юридических лиц в каналах дистанционного банковского обслуживания и торговых точках на сумму более 8,6 млрд. руб. В 2015 году за аналогичный период было предотвращено мошенничество на сумму 4,8 млрд рублей [51].
Это предоставляет возможность ПАО Сбербанк России осуществить ряд задач, в числе которых мониторинг безопасности прикладных систем и сервисов и введение сбора необходимой информации.
В продолжение развития информационной безопасности банка, в 2016 году Сбербанк основал дочернюю компанию «Безопасная информационная зона» (краткое название – «Бизон»), которая будет вести деятельность в области информационной безопасности. А именно, она будет вести анализ ситуации в мире в области киберугроз, проводить тестирование всех систем Сбербанка на предмет их уязвимости, а также проводить экспертизы, связанных с киберрисками. Компания также оказывает поддержку для работы SOC [51].
Служба внутреннего аудита Сбербанка, осуществляет аудит информационной безопасности, она проверяет и оценивает результативность системы информационной безопасности банка. Сбербанк ежемесячно проводит аудит своей информационной безопасности от угроз цифрового мира.
По состоянию на конец 2016 года, по данным Станислава Кузнецова - заместителя председателя правления Сбербанка, курирующий и координирующий работу блока «Сервисы», управления внутрибанковской безопасности, информационной безопасностью в Сбербанке занимаются «несколько сотен» сотрудников.
Во избежание потери сведений внутри организации, то есть внутри корпоративной сети, Сбербанк России использует антивирусное программное обеспечение «Лаборатории Касперского» и ее продукты. Комплексная защита корпоративной сети осуществляются на основе программы Kaspersky Total Space Security, которая контролирует все входящие и исходящие потоки данных: сетевые взаимодействия, электронную почту, интернет – трафик. Защищает пользователей корпоративных почтовых систем и публичных почтовых сервисов от спама. Компонент Kaspersky Anti-Spam, анализирующий информацию и позволяющий надежно защитить пользователей от нежелательных сообщений и рекламы. Все программное обеспечение приобретается по лицензионному соглашению от поставщика данных программ.
Банк «Сбербанк России» имеет ряд внутренних требований по обеспечению информационной безопасности, условия этих документов базируются на типовых нормах защиты информации в банковской деятельности.
Далее приведем общие условия по обеспечению информационной защиты к системе автоматизированного формирования кредитной документации в анализируемом банке [14].
Существуют нормы к средствам обеспечения целостности документов:
1. В системе должны применяться криптографические средства на базе международных стандартов (RSA, Triple-DES и пр.), для гарантирования целостности документов, отправляемых в банк, и подтверждения их авторства.
2. Варианты реализации криптографической защиты документов:
вычисление аналога собственноручной подписи (АСП) под документом путем расчета криптографического контрольного значения, рассчитываемого внутри аппаратного устройства, обеспечивающего также хранение секретных ключей в защищенной области, доступной только при предоставлении правильного ПИН-кода, и невозможностью извлечения их извне. Секретные ключи должны быть исключительными для каждого аппаратного устройства.
3. До реализации АСП все финансово-значимые документы требуют одновременной отправки в бумажном виде.
А так же существуют условия по защите от несанкционированного доступа:
1. Только после представления уникального персонифицированного идентификатора (имени) и проведения процедуры аутентификации на основе некоторой вводимой информации (пароль) открывается доступ к информации и функциям системы банка предоставляемый пользователям и клиентам.
2. Автоматизированная система обязана располагать гибкими средствами управления аутентификационной информацией пользователей/клиентов (паролями) и механизмами надзора за ее качеством.
3. Хранение паролей в системе банка и передача по каналу связи на сервер должна реализовываться таким образом, чтобы устранить возможность восстановления пароля (кроме как методом полного перебора) по хранящейся в системе или перехваченной в канале связи информации;
4. При попытке подбора паролей для входа в систему (неправильный набор пароля несколько раз подряд) банковская система должна блокировать соответствующую учетную запись, данное событие должно регистрироваться в журнале аудита. Также в журнале аудита должен фиксироваться любой неправильный набор пароля с указанием IP-адреса или имени компьютера, с которого осуществлялась данная попытка.
5. При увеличении настраиваемого администратором периода неактивности система должна принудительно завершать сеанс работы пользователя.
6. Должен осуществляться контроль целостности программного обеспечения системы путем вычисления значений хэш-функции, при установке или обновлении клиентской части системы. Автоматически вычисленные значения хеш-функции отправляются в банк для учета и автоматического сравнения с эталонными значениями.
Благодаря вышеуказанным требованиям, правилам и программам, в настоящее время специалисты Сбербанка быстро реагируют на различные угрозы и риски касающиеся информаций безопасности банка. Данные системы информационной безопасности необходимы для больших федерально-распределенных компаний, которой как раз и является анализируемый нами банк, нуждающийся в надежности и бесперебойности работы информационных систем.
Заключение
Либерализация и неустойчивость финансовых рынков, возросшая конкуренция и диверсификация подвергают банки новым рискам и проблемам, требуют постоянно обновлять способы управления бизнесом и связанными с ним рисками, чтобы сохранить конкурентоспособность. Растущая рыночная ориентация банков также вызывает необходимость изменений принципов регулирования и надзора. Вопросы предупреждения и снижения рисков становятся все более востребованными как банковской теорией, так и практикой. Банковские риски являются в большей степени социально ответственными процессами. В условиях, когда банки рискуют не только собственными, но и, главным образом, заемными ресурсами, последствия становятся более острыми.
В случае неудачи теряет не только банк, но и его клиенты - физические и юридические лица, разместившие в кредитной организации свои денежные средства (при этом для физических лиц предусмотрена система страхования вкладов, а вот для корпоративных клиентов такой защиты нет). Банковские кризисы оказываются при этом более болезненными, чем кризисы производства, поскольку влекут за собой многочисленные финансовые потери участников, связанных друг с другом цепочкой денежно-кредитных обязательств. Качество банковского менеджмента, и особенно процесса управления риском, является решающим фактором обеспечения безопасности и стабильности, как отдельных банков, так и банковской системы в целом.
Общий концептуальный подход к управлению риском заключается в следующем:
– изучение возможных последствий деятельности в рисковой ситуации;
– разработка мер, не допускающих, предотвращающих или уменьшающих размер ущерба от воздействия рисковых факторов, в том числе непредвиденных;
– реализация такой системы адаптации к рискам, при помощи которой могут быть не только нейтрализованы или компенсированы негативные вероятные результаты, но и максимально использованы шансы на получение высокого дохода.
В данной дипломной работе были рассмотрены особенности управления рисками кредитной организации на примере Дальневосточного банка ПАО «Сбербанк России». Был проведен анализ теорий банковских рисков, их классификации, были выделены различные методы управления рисками, возможность применения этих методов в банковской системе России.
Динамика основных финансовых показателей ПАО «Сбербанк России» свидетельствует о неустойчивой тенденции развития всех основных направлений бизнеса. Но сохраняются стабильно высокие темпы роста доходов и прибыли банка, в совокупности за счет увеличения прочих доходов.
В третьей главе работы были выявлены проблемы управления рисками в банковской организации, определены перспективы банковского менеджмента в управлении рисками, а также предложены направления по совершенствованию системы управления рисками.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
