Актуальность исследования. Приоритетным направлением развития Российской кредитной системы является внедрение новых информационных технологий. Идет активный перевод совершения банковских операций из традиционных офисов в альтернативные каналы обслуживания: Интернет, устройства самообслуживания, дистанционное банковское обслуживание (ДБО). Число счетов клиентов, имеющих дистанционный доступ возросло за 3 года (с 01.01.2009 г. по 01.01.2012 г.) в 2 раза (с 38 862 тыс. до 79 261,9 тыс.). Все это создает огромные новые возможности для развития банковской системы, но в тоже время формирует и новые риски. Самым быстроразвивающимся видом киберпреступности является мошенничество в системах дистанционного банковского обслуживания. Прогнозируемый доход по итогам 2011 года хакеров из России и стран СНГ составляет 3,7 млрд. долларов. Ожидается, что в 2013-м г. этот показатель будет удвоен.
Эффективная работа банковской системы невозможна без обеспечения высокого уровня информационной безопасности организаций банковской системы. Отдельные сбои в работе организаций могут повлечь развитие системного кризиса платежной системы и нанести существенный ущерб банкам и их клиентам. В стандарте Банка России отмечается, что «обеспечение информационной безопасности является для организаций банковской системы РФ одним из основополагающих ас-пектов их деятельности». Одним из этапов построения эффективной системы обеспечения информационной безопасности является проведение регулярной оценки риска нарушения информационной безопасности.
Особенностью проведения оценки рисков ИБ является недостаточность статистической информации, необходимость использования экспертных оценок, наличие большого количества неопределенностей, вызванных постоянно меняющимися условиями функционирования бизнес-процессов кредитных организаций.
Рассмотрению проблем информационной безопасности посвящено множество работ, среди которых можно выделить публикации Курушина В.Д., Гайковича В.Ю., Першина А.Ю., Маслова О.Н., Соколова Ю.А., Герасименко В.А., Росса Г.В., Конявского В.А., Завгороднего В.И., Емельянова А.А., Хорошилова А.В. и др.
Основные вопросы управления ИБ и оценки рисков ИБ рассмотрены в отечественных и зарубежных стандартах.
Управление операционным риском рассмотрено в работах Маршалла К., Сазыкина В.Б., Золотарева В.М., Рудаковой О.С., Натуриной М., Громенко О.и др. Также эти вопросы систематизированы Базельским комитетом по банковскому надзору и Банком России.
Цель и задачи исследования. Цель дипломной работы состоит в анализе организации информационной безопасности кредитной организации на примере системы Клиент-Банк.
Для достижения указанной цели были поставлены и решены следующие задачи:
- Проанализировать современные подходы к управлению информационной безопасностью кредитных организаций;
- Провести анализ существующих источников угроз информационной безопасности, уточнить классификацию источников угроз ИБ.
- Охарактеризовать этапы внедрения информационных систем в кредитных организациях;
Объектом исследования выступает система Клиент-банк кредитной организации.
Предметом исследования риск нарушения информационной безопасности системы Клиент-банк.
Теоретическую и методологическую основу дипломной работы составляют труды отечественных и зарубежных авторов по информационной безопаности.
Информационную базу исследования составили отечественные и международные стандарты в области обеспечения информационной безопасности; законодательные акты Российской Федерации; нормативные документы Банка России; диссертации, публикации ученых и практиков; доклады отечественных и зарубежных ученых на конференциях и симпозиумах, связанных с темой исследования; результаты аналитических обзоров, исследований и разработок отечественных и зарубежных компаний и организаций, занимающихся вопросами информационной безопасности; материалы периодической печати и сети Интернет, руководство с Системе Клиент-Банк
Глава 1. Основные положения информационной безопасности финансовой организации
1.1. Управление информационной безопасностью
В Российской федерации состав финансового сектора – это:
- Банковская система (Центральный банк, коммерческие банки);
- Специализированные небанковские кредитно-финансовые институты (страховые компании, инвестиционные компании – профессиональные участники рынка ценных бумаг, инвестиционные фонды)
Компаниям финансового сектора свойственен высокий уровень технологической оснащенности и потребность в использовании преимуществ, которые могут дать новые технологии. В частности, все активней используются следующие высокотехнологические направления:
- E-money (электронные деньги, обращение без открытия банковского счета, 161-ФЗ);
- Е-commerce (электронная коммерция, взаимодействие субъектов бизнеса осуществляется с помощью Internet или какой-нибудь другой информационной сети)
- Е-business (электронный бизнес, использует возможности глобальных информационных сетей для преобразования внутренних и внешних связей компании с целью создания прибыли.)
Все учреждения финансовых услуг в значительной степени зависят от использования ИТ информационно-коммуникационных технологий и, следовательно, нуждаются в обеспечении защиты информации и менеджменте безопасности своих информационных активов. Следовательно, обеспечение информационной безопасности и менеджмент информационной безопасности должны стать важным компонентом плана руководства организации.
Разработка программы обеспечения информационной безопасности является целесообразной бизнес-практикой, помогающей учреждениям, предоставляющим финансовые услуги, идентифицировать и осуществлять менеджмент риска.
Одним из элементов безопасности и устойчивости является система защитных мер организации, которая обеспечивает защиту информации от недоступности, несанкционированного изменения, раскрытия и уничтожения. Последние национальные и международные законы, такие как Базель II, закон Сэрбэйнс-Оксли (SOX), закон Грэма-Лича-Блили (GLB) и Европейская директива 95/46/ЕС, определили среду правового и регулятивного риска для мировых поставщиков финансовых услуг. Политика безопасности организации должна учитывать этот риск.
Ответственные сотрудники за оценку соответствия информационной безопасности должны следить за появлением новых информационных технологий или методологий оценки информационной безопасности, которые могут стать объектом регулирования, например, за соответствием новых продуктов информационных технологий заранее определенным классам функциональных возможностей по информационной безопасности.
В последние годы многие национальные и региональные законодательные органы выдвинули законы, касающиеся руководства организации. Среди них известны следующие: закон Сэрбэйнс-Оксли (SOX) в США, закон Kontrolle- und Transparenz Gesetz (KonTraG) в Германии и проект директивы ЕС «О руководстве организации». Эти три закона изменили систему правовых рисков, с которыми сталкиваются поставщики финансовых услуг.
Закон SOX требует, чтобы все компании, ведущие свободную торговлю на фондовых биржах США, предоставляли свидетельство наличия у них адекватных средств контроля для финансовой отчетности. Говоря более подробно, закон SOX обязывает руководителя компании и руководителя ее финансовой службы проводить оценку эффективности внутренней системы контроля организации, а также принимать на себя всю ответственность за ежегодные финансовые отчеты организации. В этих целях в отношении ИТ необходимо проводить оценку и контроль функционирования критических бизнес-приложений и связанных с ними рисков. Весь жизненный цикл бизнес-приложений - от первоначальной разработки до обеспечения непрерывности бизнеса - должен подвергаться оценке и контролю с целью гарантирования наличия адекватных защитных мер. Хотя этот закон является национальным, его применяют к любой компании, чьи акции свободно продаются в США.
Немецкий закон KonTraG требует от организации внедрения внутреннего процесса мониторинга, определяющего внутренние разработки и решения, которые могут представлять высокий уровень риска для этой организации. Это требование подразумевает, что руководство должно внедрять внутреннюю систему менеджмента риска в масштабе организации. Данный закон также обязывает руководство сообщать об идентифицированном серьезном риске в своей системе отчетности (представляемой дважды в год и ежегодно). В отношении ИТ в нем рассматривается тот же аспект, что в законе SOX. Несоответствие данному закону может приводить к снижению банковского рейтинга организации и, следовательно, оказывать влияние на процентные ставки за кредиты.
Вопрос защиты данных привлекает все больше и больше внимания, что обусловлено различными законами регионального, федерального и государственного уровней. Появление этих законов определено тем, что использование Интернета создает дополнительные риски, касающиеся злоупотребления в этой сфере, и люди, использующие этот носитель информации, нуждаются в соответствующей защите.
Для защиты информации потребителей, хранимой в финансовых учреждениях, предназначен закон GLB. Он требует, чтобы эти учреждения предоставляли своим клиентам уведомление о гарантии неприкосновенности частной жизни, объясняющее практические приемы (практику) учреждений в отношении коллективного использования информации. В свою очередь потребители имеют право на коллективное использование своей информации. Закон также требует, чтобы финансовые учреждения защищали информацию, собранную об отдельных лицах; но не относится к информации, собранной в ходе коммерческой или бизнес-деятельности. Федеральная торговая комиссия (ФТК) опубликовала комплекс стандартов, который должен применяться для обеспечения соответствия закону GLB.
Почти во всех странах имеются законы по борьбе с легализацией криминальных доходов, которые обычно предписывают, чтобы все переводы денег, превышающие определенную сумму, подвергались расследованию с целью проверки их источников и адресата.
С 2001 года США продолжают проводить активную межведомственную международную обучающую программу по борьбе с легализацией криминальных доходов с целью повышения международных усилий по борьбе с легализацией криминальных доходов и финансовыми преступлениями. Правительства США и других стран, а также международные организации тоже усилили свои программы, направленные против легализации криминальных доходов. Европейский Союз расширил свою директиву по борьбе с легализацией криминальных доходов и возложил обязанности противодействия легализации криминальных доходов на «сторожей», профессионалов, таких, как юристы и бухгалтеры, которые должны препятствовать вовлечению криминальных доходов в финансовые системы государств. Продолжают эффективно работать региональные организации по борьбе с легализацией криминальных доходов в Европе, Азии и странах Карибского бассейна и начинают действовать зарождающиеся региональные организации по борьбе с легализацией криминальных доходов в странах Южной Америки и Африки.
Основное внимание в сфере борьбы с легализацией криминальных доходов в 2005 г. сосредоточилось на работе Финансовой оперативной группы (FATF), всемирно признанной международной организации по борьбе с легализацией криминальных доходов, которая продолжила свою работу со странами и территориями, которые не входят в состав международной организации. После 11 сентября 2001 г. FATF быстро отреагировала и созвала чрезвычайное пленарное заседание по вопросу борьбы с финансированием терроризма, принявшее решение расширить свою задачу за рамки борьбы с легализацией криминальных доходов и сосредоточить свою энергию и опыт на мировых усилиях по борьбе с финансированием терроризма. С этого времени FATF приняла восемь специальных рекомендаций по вопросу противодействия финансирования терроризма.
Программа менеджмента информационной безопасности может помочь финансовым учреждениям разрушить схемы легализации криминальных доходов. И, что более важно, эти программы могут использоваться для демонстрации регулирующим органам и организациям того, что конкретное финансовое учреждение соблюдает законодательство и предоставляет документацию о принятии систематических и активных мер для соблюдения законодательства.
Большинство законов, регулирующих финансовый сектор, в основном определяет обязанности финансового учреждения, что включает в себя обязательство по предоставлению квалифицированных услуг. Некоторые органы власти государства интерпретируют это обязательство так, что оно распространяется на всю полноту используемых услуг ИТ. На конкретные вопросы безопасности ИТ указывают следующие законы различных государств.
Два направления нормативных требований к финансовым учреждениям являются актуальными. Первое направление касается обязательств учреждения по финансовой отчетности (обычно надзор осуществляется национальными финансовыми органами). Вторым направлением является обязательство финансовой устойчивости. Эти требования включают в себя необходимость рассмотрения финансовым учреждением операционных рисков.
Базельский комитет по банковскому надзору предлагает ряд рекомендаций, касающихся национальных стандартов, принципов и лучших практических приемов надзора. Комитет надеется, что национальные финансовые органы предпримут шаги по внедрению этих рекомендаций посредством мероприятий, предусмотренных соглашением, которые лучше всего соответствуют их национальным системам. Нормативные требования вызывают необходимость проведения аудита финансовых учреждений. Во избежание ущерба, который могут нагнести аудиты обычным бизнес-операциям, конкретные финансовые учреждения должны ввести системы (внутреннего аудита, менеджмента информационной безопасности и т.д.), предоставляющие нормативным органам все необходимое для проверки соответствия финансового учреждения всем требованиям.
Каждое финансовое учреждение должно интерпретировать «операционный риск» в показателях собственной бизнес-деятельности и определять риски, которым оно подвергается. Анализ операционных рисков должен включать в себя мошенничество и другие преступные действия, сбои системы, человеческий фактор, природные бедствия и террористические акты. Цунами, вызвавшее большие человеческие жертвы и разрушения в Азии в декабре 2004 г., и террористические атаки в сентябре 2001 г., нацеленные на индустрию финансовых услуг в городе Нью-Йорке, являются примерами событий с крайне низкой степенью вероятности. Но такие события имеют место и должны приниматься во внимание.
Для управления непредвиденными обстоятельствами необходимо использовать как качественные, так и количественные методы, а выбор средств контроля для индивидуальной организационной единицы должен основываться на анализе стоимости и эффективности, который рассматривает вероятность конкретного непредвиденного обстоятельства, его вероятности частоту, прогнозируемые потери и влияние на бизнес-операцию в случае наступления события.
Для реализации политики требуются программы обеспечения информационной безопасности. Распоряжения руководства организации должны распространяться и подкрепляться действиями руководства более низкого уровня и персонала на высшем уровне. Обеспечение информационной безопасности является как коллективной, так и индивидуальной обязанностью. Разработка, сохранение, улучшение и мониторинг программы обеспечения информационной безопасности требуют участия большинства служб и отделов организации. Необходима тесная координация между управляющими делами и персоналом обеспечения информационной безопасности. Для поддержки программы обеспечения информационной безопасности должны использоваться такие дисциплины организации, как аудит, страхование, нормативное соответствие, физическая безопасность, обучение, кадровая и правовая дисциплины и др.
Любая система обладает уязвимостями, посредством которых нарушители могут угрожать организации финансовыми убытками, падением продуктивности или утратой престижа. Минимизация и ослабление этих рисков является общей обязанностью управляющих делами и группы по обеспечению информационной безопасности, работающих вместе с другими группами в финансовом учреждении.
Организация должна оценить, как запланированные и существующие меры управления снижают риски, идентифицированные при анализе риска, определить дополнительные меры защиты, которые имеются или могут быть разработаны, спроектировать архитектуру информационной безопасности и определить ограничения различных типов. Затем необходимо выбрать адекватные и обоснованные меры управления для снижения оцененных рисков до приемлемого уровня остаточного риска.
1.2. Логический контроль доступа пользователей финансовой системы
Логический контроль доступа относится к техническим методам и мерам управления, используемым в системах и приложениях для ограничения доступа к информации в соответствии с практическими приемами организации. В основном пользователям должен предоставляться минимальный доступ, необходимый для выполнения их рабочих функций, но часто ограниченность системы, конструктивные или другие ограничения могут приводить к тому, что пользователи имеют дополнительный доступ. Тем не менее пользователю необходима регистрация доступа к системе, то есть фиксация того, кому предоставляется право доступа, какие сотрудники имеют доступ, когда он осуществлялся. Наиболее важной функцией является необходимость соблюдения определенных ограничений доступа.
Традиционно каждая информационная система имеет собственный процесс идентификации пользователя. Для обеспечения большей уверенности в тождестве личности пользователя организация должна создавать и осуществлять политику, требующую подтверждения личности пользователя перед выдачей идентификатора пользователя. Целесообразная бизнес-практика требует интегрирования требований «знай своего клиента» и «знай своих служащих» в мероприятия по выдаче идентификатора пользователя. Более того, организация должна выполнять процедуры выдачи
1. ИСО 7498-2:1989 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
2. ИСО/МЭК 13335-1:2004 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
3. ИСО 15782-1:2003 Управление выдачей сертификатов для финансовых услуг
4. ИСО/МЭК 10181-1:1996 Информационная технология. Взаимосвязь открытых систем. Структуры обеспечения безопасности открытых систем. Часть 1. Обзор
5. ИСО/МЭК ТО 13335-4:2000 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер
6. CPSS Ключевые принципы для системно значимых платежных систем
7. ANSIX9.79:2001 Структура практических приемов и политика инфраструктуры открытых ключей в области финансовых услуг
8. Соглашение Базель II Банка международных расчетов
9. Ключевые принципы Банка международных расчетов
10. ИСО/МЭК 13335-2:1997 Информационная технология. Методы и средства обеспечения безопасности. Часть 2. Управление и планирование безопасности информационных технологий
11. ИСО/МЭК 13335-3:2004 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
12. ИСО 21188:2006 Инфраструктура открытого ключа для финансовых услуг. Практические приемы и основы политики
13. ИСО 9564 Управление и обеспечение безопасности личного идентификационного кода
14. ИСО ТО 19038:2005 Банковское дело и связанные с ним финансовые услуги. Тройной алгоритм шифрования данных. Рабочий режим. Рекомендации по внедрению
15. ИСО/МЭК 18044:2004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
16. Богданов, И.Я. Экономическая безопасность России: теория и практика. / И.Я. Богданов. - М., 2012. – 352с.
17. Загашвили, B.C. Экономическая безопасность России. / В.С. Загашвили. - М.: Гардарика, 2007. – 213с.
18. Курс экономической теории: учебник / под ред. А.В. Сидоровича.- 2-е изд., перераб.-М.: ДИС, 2011. - Гл. 51. – 245с.
19. Новиков, Г.В. Финансовая безопасность экономики (методология и практика). / Г.В. Новиков. - М.:ИЭРАН, 2011. – 453с.
20. Сенчагов, В.К. Экономическая безопасность: геополитика, глобализация, самосохранение и развитие. / В.К. Сенчагов. - М.: Финстатинформ, 2012. – 657с.
21. Формирование национальной финансовой стратегии России. Путь к подъему и благосостоянию: учебник / под ред. В.К. Сенчагова. - М.: Дело 2010. – 694с.
22. Экономическая безопасность: производство - финансы - банки / под ред. акад. В.К. Сенчагова. М.: Финстатинформ,2008. - Гл. 18. – 231с.
23. Сайт Министерства финансов Российской Федерации http://www.minfln.ru.
24. Сайт Счетной палаты Российской Федерации http://www.ach.gov.ru.
25. Сайт Федеральной налоговой службы - http://www.nalog.ru.
26. Сайт Министерства внутренних дел Российской Федерации -http ://www.mvdru/news.
27. Официальный сайт Федеральной службы государственной статистики - http://www.gks.ru.
28. Официальный сайт «СТАТИСТИКА.РУ»: Госкомстат, Росстат и государственные службы статистики РФ - http://www.statistika.ru.
29. Официальный сайт Министерства Экономического Развития РФ -http ://www.economy .gov.ru.
