Обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР в банковской сфере на примере «Р

Важнейшим элементом обеспечения экономической безопасности информации при ФОПУР является «моно» доступ к управленческой информации. Сам по себе процесс коллегиального принятия управленческого решения противоречит данному требованию.  В этой связи целью данной работы является разработка оптимальной модели ФОПУР, обеспечивающей экономическую безопасность информационных процессов.

2.2. Критерии  оценки обеспечения безопасности  информационных процессов при  разработке и принятии управленческого  решения в деятельности «Россельхозбанка»

Обоснованию критериев и созданию методологии  оценки информационной безопасности уделено  значительное внимание. В настоящее  время можно выделить следующие  документы, которые внесли серьезный  теоретический и практический вклад  в решение задач обеспечения  информационной безопасности.

1. Критерии оценки защищенности компьютерных систем, которые известны как "Оранжевая книга".
2. Европейские критерии оценки безопасности информационных технологий. Данные критерии разработаны с учетом выявленных недостатков и ограничений по применению "Оранжевой книги" и являются гармонизированными по отношению к первым.
3. Канадские критерии оценки безопасности надежных компьютерных систем.
4. Федеральные критерии США, разработанные по заказу правительства США и направленные на устранение ограничений, неудобств практического применения и недостатков "Оранжевой книги"
5. Международный стандарт ISO/IEC 15408 - "Критерии оценки безопасности информационных технологий", или Единые критерии
6. Рабочий проект стандарт СЕМ-97/017 - "Общая методология оценки безопасности информационных технологий".

Перечисленные нормативные документы, и особенно последние два, вносят существенный вклад в формирование единой международной  научно-методологической базы решения  проблемы обеспечение информационной безопасности в продуктах и различных  информационных технологиях. Анализ этих документов подтверждает тот факт, что для решения задач обеспечения  информационной безопасности, наряду с формальными методами моделирования  процессов и оценки эффективности  функционирования систем необходимо широко использовать методы декомпозиции и структуризации компонентов систем и процессов, неформальные методы оценки эффективности функционирования и принятия решений. Это означает, что аппарат системного анализа необходимо использовать на всех этапах жизненного цикла систем защиты информации.

Критерии «Россельхозбанка» обеспечения безопасности информационных процессов при разработке и принятии управленческого решения открыли путь к ранжированию информационных систем по степени надежности. В «Россельхозбанке» определяется четыре уровня безопасности - D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст и ситуация едва ли когда-нибудь изменится. По мере перехода от уровня С до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы ( C1, С2, В1, В2, В З ) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять оговоренным требованиям. Распределение требований по классам вызывает ряд конкретных возражений. Неоправданно далеко отодвинуты такие очевидные требования, как извещение о нарушении защиты, конфигурационное управление, безопасный запуск и восстановление после сбоев. Возможно, это оправдано в физически защищенной военной среде, но никак не в коммерческой, когда постоянное слежение за перемещениями сотрудников может быть очень дорогим удовольствием.[15]  

3. Совершенствование  системы обеспечения экономической безопасности информационных процессов при разработке и принятии управленческого решения «Россельхозбанке».

3.1. Основные направления  совершенствования механизмов обеспечение  экономической безопасности информационных  процессов при разработке и  принятии управленческого решения  в банковской сфере на примере «Россельхозбанка».

Учитывая непомерно высокую  стоимость современных охранных технологий, есть смысл обратиться к так называемому "человеческому фактору", при правильном понимании и использовании которого создаются условия для экономии финансовых средств в обеспечении безопасности конфиденциальной информации. Вместе с тем, сложность воздействия на сложившуюся ситуацию заключается в том, что роль человеческого фактора определяется, по мнению психологов, "высокой степенью психологической неопределенности совершения преступления во времени и различной обстановке, когда желанию сотрудника разгласить конфиденциальную информацию в корыстных целях не могут помешать даже самые дорогостоящие средства и методы защиты"

В виду важности технико–технологической составляющей (ТТС), обеспечение ее является приоритетной задачей для коммерческого банка. Определить направления вложения средств в эту сферу, объемы капвложений и распределение их во времени возможно при наличии научно–обоснованных индикаторов ТТС экономической безопасности предприятия.

В случаях  с банками наиболее частой жертвой  хакерских атак становится именно банкомат. Несовершенство операционной системы Windows, уязвимость приложений, сравнительная лёгкость маскировки зловредного кода под безобидное обновление или патч – так банкомат становится заманчивой добычей для электронного преступника. Службы безопасности банка, способные эффективно предотвратить угрозы физического взлома, порой совершенно бессильны против киберпреступлений, поскольку должным образом не оценивают вероятность и потенциал такой угрозы, а значит и не вооружаются эффективными практиками противодействия им.

При активном развитии бизнеса невозможно избежать перемещения денежных средств, ценностей  и документации. Все риски при  инкассации условно можно разделить  на две основные группы: возможные  разбойные нападения и хищения  самими сотрудниками инкассации

Проблемы, возникающие с безопасностью  передачи информации при работе в  компьютерных сетях, можно разделить  на три основных типа:

· перехват информации - целостность информации сохраняется, но её конфиденциальность нарушена;

· модификация информации - исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

· подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом)

Несложно подсчитать, что доходность этой незаконной деятельности начинает обгонять доходность наркоторговли  и незаконного оборота оружия. Привлекательности кибермошенничества способствует тот факт, что законодательство не в должной мере препятствует преступной деятельности в сфере компьютерного мошенничества.

В федеральном законе «О национальной платежной системе» позиционируется  двусторонняя связь с клиентом, что, при наличии других норм законодательства, привносит ряд сложностей. Банк должен уведомить клиента о платеже  и получить его подтверждение  легитимности операции. В то же время  банк обязан провести платеж в установленные  сроки. При этом законодатель до настоящего момента не дал банкам возможности  увеличить этот временной промежуток.

В связи с изложенным у мошенников сформировалось ощущение безнаказанности, возможности получения «лёгких денег». Наблюдается массовое распространение инструментария для этого и вовлечение в преступную деятельность новых участников.

В целом в банковской системе  риски, связанные с проведением  платежей, растут. В то же время, приняв закон «О национальной платежной  системе», законодатели переложили всё  бремя ответственности на банки. При наличии признаков вины клиента  в инциденте при проведении платежа  именно банк, оставаясь наедине с  Фемидой, вынужден доказывать, что платёж был санкционированным.

Статистика банковского сообщества свидетельствует, что атакам подвергаются все пользователи, и «толстые», и  «тонкие» клиенты. Статистика атак показывает: их интенсивность не снижается. В  последние несколько лет наблюдается рост количества инцидентов по разным типам ДБО. Значит, сформировалась «высокотехнологичная» преступная среда, которая специализируется на хищениях средств в системах ДБО, устоялся и рынок смежных криминальных услуг.

Рисунок 10. Динамика атак в «Россельхозбанке» по различным ДБО. [12]

Внутренние факторы возникновения рисков связаны, прежде всего, с несоблюдением законодательства РФ. В том числе требований идентификации клиентов, изучения их документации и установления выгодоприобретателей (лиц, в чьих интересах они действуют). Практика банковской деятельности показывает, что риски возникают из-за несоблюдения принципа «знай своего клиента», в результате чего среди клиентов оказываются дроперы.[12]

Рисунок 11. Динамика покушений на хищение в «Россельхозбанке» за период с 2010 по 2012 гг. [12]

Кроме того, к сожалению, федеральный  закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в России работает лишь частично. Отмывать деньги на Западе почти невозможно, у человека обязательно спросят, каков источник этих средств. У нас дроперы обходят ограничения, выводя не всю сумму сразу, а разделяя её на ряд платежей.

Второй фактор – несоответствие внутренних документов организации  законодательству РФ, а также неспособность  своевременно приводить свою деятельность и документы ДБО, в соответствие с изменениями законодательства.

Мало кто из банковского сообщества внёс изменения в нормативные  документы, связанные с тем, что  с 1 июля 2012 года утрачивает силу старый федеральный закон №1-ФЗ «Об электронной  цифровой подписи». Понятно, что на это есть объективные причины, но появление нового фактора риска  никто не отменит.

Следующий фактор – неэффективная  организация работы ДБО, которая  приводит к ошибочным действиям  персонала, участвующего в дистанционном  банковском обслуживании. Отсутствие внутреннего контроля влечет рост операционных рисков, которые, в свою очередь, повышают вероятность проведения мошеннических  операций.

Не проверил операционист входящий документ на признаки мошенничества, подписал операционист вместо клиента, и получается, что совершил ошибку банк. Раньше банки в большинстве случаев могли переложить подобные операционные риски на клиента. Но теперь законодатель однозначно запретил делать так.

Ещё один фактор – нарушение кредитной  организацией условий договоров, связанных  с ДБО. И, наконец, следует отметить недостаточную проработку технологических, организационных и других вопросов при разработке и внедрении новых  технологий и условий осуществления  ДБО.

Есть и внешние факторы возникновения рисков. Это, прежде всего, несовершенство правовой системы и отсутствие надлежащего правового регулирования. Встречаются противоречия в самом законодательстве РФ, оно подвержено изменениям. Далеки от совершенства методы государственного регулирования и надзора.

Имеют место и некорректные применения законодательства иностранного государства, норм международного права. Законодатели пока не повернулись лицом к названной  проблеме. Видимо, до той поры, пока в банковской системе не случится по указанным причинам каких-либо чрезвычайных происшествий.[12]

Частью решения проблемы могут быть следующие меры. Они довольно понятные и простые. Нужно провести стандартизацию банковских операций ДБО (порядки, процедуры, технологии осуществления). Обязательно распределить зоны ответственности кредитной организации и клиента. Банк при необходимости должен уметь документально подтвердить факт предупреждения клиента о возможных уловках мошенников. Например, собственноручной подписью клиента в соответствующем документе.

Внутри  банка должен быть установлен внутренний порядок согласования заключаемых  договоров ДБО, отличающихся от стандартизированных и типовых. Иначе появятся лазейки для киберпреступников. В обязательном порядке должен проводиться анализ влияния факторов риска на показатели деятельности ДБО, причём на постоянной основе.

При этом работники правового направления  должны перманентно осуществлять мониторинг изменений законодательства РФ, касающегося  ДБО. И, наконец, банк должен выполнять  требования стандартизации комплекса  документов Банка России «Обеспечение информационной безопасности организаций  банковской системы Российской Федерации».

К мерам  стандартизации действий должно относиться своевременное информирование клиентов ДБО о требованиях безопасности, выполнение которых обязательно  для предотвращения хищений денежных средств злоумышленниками. Также банкам нужно разработать типовые рекомендации по обеспечению информационной безопасности системы ДБО. Разработка типового порядка разбора инцидентов позволит оперативно получить всю необходимую информацию для передачи в территориальные подразделения «К» органов внутренних дел.

Требуется разработать и типовой порядок  взаимодействия с территориальными подразделениями «К» органов  внутренних дел при разборе инцидентов. В банке должна существовать примерная  схема неотложных мероприятий при разборе инцидентов и типовой порядок взаимодействия с банками – конечным получателем и транзитным.