Обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР в банковской сфере на примере «Р

Банки должны обмениваться информацией о  дроперах, без этого невозможно оперативно и эффективно реагировать на инциденты. Такая площадка информационного обмена для банков уже создана на базе Ассоциации российских банков. Объединение начиналось несколькими банками, теперь их более 220. Все кредитные организации должны вступить в этот «клуб» и передавать коллегам информацию о мошеннических операциях, попытках хищения средств. Только совместно банки смогут своевременно останавливать группировки кибермошенников.

Банки должны разработать типовые формы  документов, в частности, заявлений  – что сделать, чтобы остановить платеж, вернуть средства. Ведь среагировать нужно в считанные часы.

В заключение следует документально зафиксировать  невозможность предоставления услуг  перевода денежных средств в платежной системе в течение 3 часов и более.

Сейчас  банковским сообществом ведётся  активная работа по объединению усилий всех заинтересованных сторон. Организовано взаимодействие служб и специалистов информационной безопасности банков. Банк России, осуществляя надзор и  регулирование платёжной системы, осознаёт необходимость участия  в этой работе и активно поддерживает усилия банковского сообщества по противодействию  преступности в ДБО. МВД России предоставило ряд рекомендаций по сопровождению  уголовных дел по хищениям в ДБО.

Пока  статистика по результатам обращений  клиентов в органы МВД такова: уголовные  дела возбуждаются примерно в 8% случаев, в 27% случаев проводятся проверки, в 10% – полиция отказывает в возбуждении  уголовных дел. В 55% случаев проверки не инициируются, в том числе из-за неправильных действий самих пострадавших клиентов.

Кроме того, идёт формирование единых стандартов безопасности платёжных приложений. Инициируется внесение изменений в  законодательство. В частности, банковским сообществом, по введению юридического понятия дропер – человека, который замыкает цепочку по выводу денежных средств в теневой оборот.

Наблюдается консолидация государственных регулирующих и правоохранительных органов, банковского  сообщества и операторов связи. Проблемы информационной безопасности национальной платёжной системы осознаются на государственном уровне. Без этого  невозможно добиться внесения необходимых  поправок в законодательство. Ну а  до тех пор банкам следует подумать, как организационными мерами закрыть  бреши в нормативно-правовой базе, которые пока не смогли ликвидировать  законодатели.[12]

3.2 Модель  оптимальной системы обеспечения  экономической безопасности информации при ФОПУР в банке

Чтобы сделать изложение более  конкретным, рассмотрим гипотетическую локальную сеть, которой владеет организация АБВ, и ассоциированную с ней политику безопасности среднего уровня.

Описание аспекта.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет  пользователям разделять программы  и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более  сильной защите. Эти повышенные меры безопасности и являются предметом  данного документа.

Документ преследует две главные  цели - продемонстрировать сотрудникам  АБВ важность защиты сетевой среды, описать их роль в обеспечении  безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как  и самой сети.

Область применения.

В сферу действия данной политики попадают все аппаратные, программные  и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации.

Целью организации АБВ является обеспечение целостности, доступности  и конфиденциальности данных, а также  их полноты и актуальности. Более  частными целями являются:

• Обеспечение уровня безопасности, соответствующего нормативным документам.
• Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).
• Обеспечение безопасности в каждой функциональной области локальной сети.
• Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.
• Обеспечение анализа регистрационной информации.
• Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.
• Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.
• Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Модель

Перечисленные группы людей отвечают за реализацию сформулированных ранее  целей.

• Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
• Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
• Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
• Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Иными словами, схему информационного обеспечения  при разработке и принятии управленческих решений в банковском деле можно  изобразить следующим образом.

Рисунок 12. Схема информационного обеспечения ФОПУР в банковском деле. (Ланная схема разработана самостоятельно)

Законопослушность.

Нарушение политики безопасности может  подвергнуть локальную сеть и  циркулирующую в ней информацию недопустимому риску. Случаи нарушения  со стороны персонала будут рассматриваться  руководством для принятия мер вплоть до увольнения.

Более детально перечень обязанностей для каждой категории персонала  имеет следующий вид.

Руководители подразделений обязаны:

• Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
• Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
• Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.
• Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).
• Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

• Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
• Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
• Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
• Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
• Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
• Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.
• Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.
• Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.
• Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.
• Выполнять все изменения сетевой аппаратно-программной конфигурации.
• Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.
• Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
• Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

• Управлять правами доступа пользователей к обслуживаемым объектам.
• Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
• Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.
• Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
• Ежедневно анализировать регистрационную информацию, относящуюся к сервису.
• Регулярно контролировать сервис на предмет зловредного программного обеспечения.
• Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

• Знать и соблюдать законы, правила, принятые в АБВ, политику безопасности, процедуры безопасности.
• Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
• Использовать механизм защиты файлов и должным образом задавать права доступа.
• Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
• Помогать другим пользователям соблюдать меры безопасности. Указывать им на проявленные упущения.
• Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
• Не использовать слабости в защите сервисов и локальной сети в целом.
• Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
• Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.
• Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
• Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.
• Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
• Знать слабости, которые используются для неавторизованного доступа.
• Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.
• Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

В целом процесс ФОПУР можно представить следующим образом. РУР осуществляется в три этапа: постановка проблемы, формирование решения, выбор и реализация решения проблемы. На этапе постановки проблемы возникает некая ситуация, которая требует принятия управленческого решения.  В данном случае руководителю необходимо в первую очередь определить проблемы. После этого следует описание проблемной ситуации. Заключением первого этапа РУР является определение необходимых ресурсов для решения обозначенной проблемы.

Рисунок 13. Модель ФОПУР. (Данная схема разработана самостоятельно)

Следующей стадией  выступает формирование решения, в  процессии которой сначала происходит сбор и обработка информации, которая  заключается в получении, сборе, оценке и анализе информации. Важным этапом является формирование критериев  решения, после чего следует выработка  курса действий, которая подразумевает  под собой выработку возможных  вариантов решения проблемы, выбор  их них допустимых, далее отбор  полезных решений и, наконец, определение  верного курса решения проблемы. Далее наступает стадия выбора и  реализации решения проблемы. Исходя из намеченного на предыдущем этапе  курса, необходимо определить возможные  последствия принятого решения. После того как последствия определенны, наступает этап разработки плана  действий по реализации решения. За которым следует выполнение принятого решения и мониторинг хода его реализации. Все три этапа проходят на уровне аппарата Правления Банка.

Рисунок 14. Модель финансового менеджмента. (Данная схема разработана самостоятельно)

Рассмотрим  модель финансового менеджмента  в Банке. Объектом управления в финансовом менеджменте является совокупность условий осуществления денежного оборота, кругооборота стоимости, движения финансовых ресурсов и финансовых отношений между хозяйствующими субъектами и их подразделениями в хозяйственном процессе. Субъект управления - это в данном случае Правление Банка и Управление финансами, которые посредством различных форм управленческого воздействия осуществляет целенаправленное функционирование объекта. Под объектом в данном случае необходимо понимать всю управляемую подсистему, которая включает денежный оборот Банка, кругооборот капитала, финансовые ресурсы и их источники, а так же финансовые отношения.

Заключение

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал. Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.