Обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР в банковской сфере на примере «Р

 

 

 

2. Особенности обеспечение  экономической безопасности информационных  процессов при разработке и  принятии управленческого решения  в банковской сфере на примере «Россельхозбанка».

2.1. Основные направления  обеспечения комплексной экономической  безопасности информации при  разработке и принятии управленческого  решения на примере «Россельхозбанка»

ОАО «Российский Сельскохозяйственный банк» — один из крупнейших банков в России. Созданный в 2000 году в целях развития национальной кредитно-финансовой системы агропромышленного сектора и сельских территорий Российской Федерации, сегодня это универсальный коммерческий банк, предоставляющий все виды банковских услуг и занимающий лидирующие позиции в финансировании агропромышленного комплекса России. 100% акций банка находится в собственности государства.

Россельхозбанк занимает четвертое место в банковской системе России по объему активов, входит в тройку лидеров рейтинга надежности крупнейших российских банков. Кредитный портфель банка на 1 июля 2012 года превышает 1 трлн рублей.

Россельхозбанк обслуживает розничных и корпоративных клиентов, предлагая наряду с универсальными банковскими продуктами десятки специализированных программ для развития производства в области сельского хозяйства и смежных отраслей. Особое внимание уделяется программам кредитования малого и среднего бизнеса.

Россельхозбанк является агентом Правительства Российской Федерации по выполнению федеральных целевых программ в аграрном комплексе.

Россельхозбанк занимает второе место в России по размеру филиальной сети. Порядка 1600 отделений работают во всех регионах страны, в том числе более половины в малых городах и сельских населенных пунктах. Представительства Банка открыты в Белоруссии, Казахстане, Таджикистане и Азербайджане.

Банк располагает широкой и оптимально сформированной корреспондентской сетью, насчитывающей более 100 иностранных банков-партнеров и позволяющей обеспечивать полный спектр услуг клиентам по международным расчетам и связанному кредитованию и совершать прочие межбанковские операции.

Рейтинги ОАО «Россельхозбанк» соответствуют суверенному кредитному рейтингу Российской Федерации и являются рейтингами инвестиционного класса.

Рейтинговое агентство Fitch Ratings:

Долгосрочный рейтинг дефолта  эмитента — BBB, прогноз «стабильный»; Краткосрочный рейтинг дефолта эмитента — F3;  
Долгосрочный рейтинг по национальной шкале — ААA(rus), прогноз «стабильный».

Рейтинговое агентство Moody’s:

Долгосрочный рейтинг  депозитов в национальной и иностранной валюте — Baa1, прогноз «стабильный»; Краткосрочный рейтинг депозитов в национальной и иностранной валюте — Prime-2, прогноз «стабильный»;  
Рейтинг финансовой устойчивости — E+, прогноз «стабильный»;  
Долгосрочный рейтинг по национальной шкале — Aaa.ru.

Количество платежных  карт, выпущенных Россельхозбанком, к началу мая 2012 года превысило 484 тысячи. Только с начала текущего года банк предоставил своим клиентам около 160 тысяч пластиковых карт, увеличив таким образом количество действующих платежных карт на 49 процентов.  
Кроме того, с января по май 2012 года банк запустил в эксплуатацию 294 новых банкомата. Общая численность действующих банкоматов Россельхозбанка достигла 2177.

Число пунктов выдачи наличных в Россельхозбанке с начала года увеличилось с 1548 до 1583. В текущем году также более чем в 2 раза выросло количество обслуживаемых в рамках карточного проекта торгово-сервисных предприятий – с 483 в январе до 970 в мае 2012 года.  
Банк приступил к выпуску платежных карт в 2008 году. В настоящее время Россельхозбанк предоставляет своим клиентам как карты международных платежных систем VISA и MasterCard, так и пластиковые карты собственной платежной системы. [15]

Как и любой  коммерческий банк «Россельхозбанк» значительное количество внимания уделяет вопросам информационной безопасности, в том числе обеспечению безопасности информационных процессов при разработке и принятии управленческого решения.

Применительно к персоналу, работающему  с информационными системами, используются операционные регуляторы, действующие  на окружение компьютерных комплексов. Имеются в виду способы подбора  персонала, его обучения, обеспечения  дисциплины. Сюда же относятся меры по физической защите помещений и  оборудования и некоторые другие.

Для поддержания режима экономической безопасности информации необходимой при разработке и принятии УР особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п. Напомним названия ключевых механизмов безопасности:

• идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование.

Значительное  внимание уделяется борьбе с инсайдерами. Современные системы контроля деятельности сотрудников позволяют реализовать эффективный процесс противодействия утечкам конфиденциальных данных, но легальность их внедрения и эксплуатации остается под вопросом по причине существования рисков привлечения к уголовной ответственности за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.(см. Приложение 2)

В ноябре 2010 г. в головном офисе  ОАО «Россельхозбанк» завершено внедрение автоматизированной системы мониторинга информационной безопасности и управления соответствиями на базе продукта MaxPatrol компании Positive Technologies. Данные работы осуществлялись специалистами компании «Информзащита» при активном участии сотрудников Банка.

Благодаря внедрению системы Банк успешно решает следующие задачи:

• обеспечивает централизованный контроль уязвимостей информационных ресурсов;
• осуществляет постоянный мониторинг информационных систем на соответствие корпоративным требованиям безопасности;
• предоставляет периодическую отчетность и оценку эффективности мер защиты на основе метрик безопасности /KPI/.

Внедряемая система, соответствующая  требованиям международных стандартов в области информационной безопасности PCI DSS и СТО-БР ИББС, позволила оценить эффективность деятельности ИТ-подразделений банка.

Заместитель директора Департамента безопасности - начальник управления информационной безопасности Россельхозбанка Артем Сычев подчеркнул, что деятельность ОАО «Россельхозбанк» в значительной степени зависит от информационных технологий, поэтому риски, связанные с их использованием, составляют значительную часть рисков Банка. В свою очередь, среди этих рисков особое значение имеют риски нарушения экономической безопасности информации при разработке и принятии управленческого решения - из-за большого объема и сложности процессов информационного обмена в Банке.

Внедрение данной системы стало фундаментом, на базе которого можно будет создать централизованную систему контроля защищенности региональных информационных ресурсов.

Такой подход в полной мере соответствует  требованиям, изложенным в комплексе  документов по стандартизации Банка  России /БР ИББС/.

По словам Сергея Шерстобитова, заместителя коммерческого директора компании «Информзащита»: «Специалистам компании «Информзащита» и ОАО «Россельхозбанк» пришлось приложить серьезные усилия для того чтобы обеспечить выполнение всех поставленных задач проекта с учетом особенностей инфраструктуры Россельхозбанка. Внедрение системы мониторинга информационной безопасности способствует повышению эффективности управления и внутреннего контроля в области информационных технологий, в первую очередь, за счет своевременного получения актуальных, полных и достоверных данных о состоянии информационной системы Банка и ее реальной защищенности».

Как отметил Борис Симис, директор по развитию компании Positive Technologies: «Задачи контроля защищенности и своевременного устранения уязвимостей в критичных информационных системах довольно остро стоят перед банками. Вместе с тем, решать их в ручном режиме практически невозможно. По этой причине, в 2010 году мы наблюдаем активный рост количества внедрений системы MaxPatrol в банковском секторе. Особенностью данной работы является сильная территориальная распределенность банка и, соответственно, большое количество удаленных подразделений. Специалисты Россельхозбанка и нашего партнера, компании «Информзащиты», проявили основательность в выборе подхода к решению сложных и, подчас, уникальных задач». [15]

Учитывая высокие требования к  конфиденциальности информации, обрабатываемой системой, в MaxPatrol реализованы мощные механизмы обеспечения безопасности.

Рисунок 5. Защита данных [14]

При передаче и хранении используются криптографические  методы защиты, обеспечивающие конфиденциальность и целостность важной информации, такой как пароли пользователей, привилегии на доступ и т. д. Предусмотрена  возможность использования сертифицированных  реализаций отечественных криптографических  алгоритмов.

Защита трафика  обеспечивается с помощью цифровых сертификатов и протокола SSL/TLS, являющегося  индустриальным стандартом, что обеспечивает высокую совместимость и защиту данных. Поддерживается интеграция с  существующей инфраструктурой открытых ключей (PKI). [14]

Рисунок 6. Разграничение доступа [14]

Гибкая система разграничения  прав доступа дает возможность производить  мониторинг информационной безопасности на различных уровнях иерархии (см. Приложение 1). Для каждого из пользователей системы можно задать список задач, которые он может выполнять в системе, а также разрешения на операции над конкретными объектами системы. Так, администратору Web-серверов могут быть делегированы права на изменение профиля сканирования, запуск и просмотр результатов задачи по оценке защищенности управляемых им серверов, но запрещено изменять список сканируемых узлов. В тоже время разработчик Web-приложений будет иметь возможность только просматривать отчеты по результатам сканирования.

Разрешения  могут назначаться на уровне MaxPatrol Server или MaxPatrol Consolidator. Такой подход позволяет адаптировать систему разграничения доступа практически под любую иерархию управления системой ИБ.  

Кроме того в  целях обеспечения безопасности информационных процессов при разработке и принятии управленческого решения «Россельхозбанк» использует модель информационного обмена клиент-сервер.  Согласно парадигме клиент-серверной архитектуры один или несколько клиентов и один или несколько серверов совместно с базовой операционной системой и средой взаимодействия образуют единую систему, обеспечивающую распределенные вычисления, анализ и представление данных.

С каждым сервером связан служебный (сервисный) адрес. Клиент посылает запросы по этому адресу. В зависимости от вида осуществляемой обработки данных, различают серверы без состояния (stateless) и серверы с состоянием (statefull). Сервер без состояния не сохраняет о своих клиентах никакой информации. Сервер с состоянием сохраняет информацию о состоянии своих клиентов после каждого запроса.

Рисунок 7. Модель «Клиент-сервер». [16]

В целом работу данной модели можно описать следующим  образом: Информация с пользовательского  интерфейса попадает на уровень обработки, где проходит считывание, проверку и зашифровывается. далее отправляется запрос в СУБД, где происходит его выполнение и возврат на уровень обработки и интерпретация (дешифрование). После чего происходит отображение в пользовательском интерфейсе. (смотри рисунок 8)

 
  

Рисунок 8. Обработка информации при модели «клиент-сервер» [16]

Одним из наиболее популярных направлений  в области обеспечения ИБ предприятия  является контроль за действиями сотрудника, или так называемая борьба с инсайдерами. В основном такой контроль осуществляется с помощью специализированных технологий DLP (Data Loss Prevention). Современные DLP-системы основываются на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При определении в потоке конфиденциальной информации срабатывает активная компонента защиты, и передача данных блокируется.

Распознавание конфиденциальных данных в DLP-системах осуществляется двумя  способами: анализ "цифровых отпечатков" данных и анализ содержимого пересылаемой информации. Первый способ позволяет  добиться высокой эффективности  предотвращения утечки коммерческой тайны  и минимального количества ложных срабатываний, однако требует предварительной  классификации защищаемой информации и определенной формализации корпоративного документооборота. Второй способ дает ложные срабатывания, зато позволяет  выявить утечку конфиденциальных, но еще не классифицированных данных. Обычно в ОАО «Россельхозбанк» оба способа сочетаются.

Правление Банка является коллегиальным  органом. В связи с этим управленческие решения в «Россельхозбанке» разрабатываются совместно Правлением и утверждаются Председателем Правления.

Рисунок 9. ФОПУП в «Россельхозбанке». (Данная схема разработана самостоятельно)

У истоков любого решения  находится проблемная ситуация, требующая  своего разрешения. Задача менеджера  на этом этапе состоит в анализе  проблемной ситуации, т.е. в определении  симптома «болезни», изучении положения  дел и целей, предварительной  формулировке критериев решения. Таким  образом, процесс определения проблемы состоит в ее обнаружении и оценке. Обнаружение проблемы — осознание того, что возникло отклонение от первоначально установленных планов. Источники, из которых менеджер может узнать о существовании проблемы, включают в себя его личный обзор и анализ информации, общественное мнение и т.д. Мнение других менеджеров и подчиненных тоже является важным источником при обнаружении проблемы. Оценка проблемы — установление ее масштабов и природы тогда, когда проблема обнаружена. Определение масштаба проблемы не есть нахождение ее причины и источника: речь идет лишь об оценке средств для ее решения и степени ее серьезности. Выявление ограничений и определение альтернатив: причиной возникновения проблемы могут быть находящиеся вне организации силы (внешняя среда), которые менеджер не может изменить. Ограничения такого рода сужают возможности принятия оптимальных решений, поэтому необходимо определить их источник и суть и наметить возможные альтернативы, т.е. нужно выделить все возможные действия, устраняющие причины появления этой проблемы. Принятие решения: на этой стадии разрабатываются альтернативные решения, дается их оценка и отбирается альтернатива с наиболее благоприятными общими последствиями. Реализация решения. Процесс не заканчивается выбором альтернативы. На стадии реализации принимаются меры по конкретизации решения и доведению его до исполнителей, т.е. ценность решения состоит в том, что оно осуществлено (реализовано). Контроль за исполнением решения: в процессе контроля выявляются отклонения и вносятся поправки, помогающие реализовать решение полностью. С помощью контроля устанавливается своего рода обратная связь между управляющей и управляемой системами. [21]