Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в банковских системах

Содержание:

ВВЕДЕНИЕ

В условиях развития финансовых технологий и усиливающейся экономической нестабильности всё чаще встаёт вопрос о безопасности банка. Банковская система выступает неотъемлемой составляющей экономики и является необходимым условием национальной безопасности. Главная цель обеспечения банковской безопасности заключается, прежде всего, в обеспечении стабильного и эффективного функционирования кредитных организаций.

Система защиты информации в банковских системах представляет собой совокупность информационно-технологических и технических средств, обеспечивающих информационную поддержку методического и организационного обеспечения деятельности участников. Одним из принципов проектирования информационной системы является обеспечение безопасности банков в соответствии с законодательством Российской Федерации.

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.

При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам.

В настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.

Финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.

Объект исследования курсовой работы является обеспечение безопасности ИС в банковской системе.

Предмет исследования - системы защиты информации в банковской системе.

Цель курсовой работы - исследование системы защиты информации в банковской системе на примере АО «ВУЗ-банк».

Задачи курсовой работы:

1. Рассмотреть понятие системы защиты информации

2. Выявить особенности системы защиты информации в банковских системах

3. Провести анализ системы защиты информации в банковских системах

Основными методами исследования послужили монографические, методологические, статистические методы.

Информационной базой исследования стали законодательные акты и нормативно - правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации.

Структура курсовой работы состоит из введения, двух глав, заключения, списка использованных источников и приложения.

1. ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

1.1. Понятие системы защиты информации

Защита информации - это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:[1] 

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность - представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность - представляет собой избежание несанкционированных изменений информации;
  • доступность - представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность - представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность - представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:[2]

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.[3]

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

  1. Федеральные законодательные акты:
  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить: 

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности. 

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:[4] 

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:[5]

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

1.2. Особенности системы защиты информации в банковских системах

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.[6]

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какие данные банка требуют защиты и почему.

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.[7]

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.[8]

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.[9]

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.[10]

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации.

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Таким образом, мы рассмотрели основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

2. АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

2.1. Общая характеристика предприятия АО ВУЗ-БАНК

ВУЗ-Банк является кредитной организацией, входит в банковскую систему Российской Федерации и в своей деятельности руководствуется законодательством Российской Федерации, нормативными актами Центрального банка Российской Федерации (Банка России), а также Уставом Банка.

ВУЗ-банк является юридическим лицом и имеет в собственности обособленное имущество, учитываемое на его самостоятельном балансе, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде.

Банк осуществляет банковские операции в соответствии с лицензией, выданной Банком России: лицензия на осуществление банковских операций в рублях и иностранной валюте (без права привлечения во вклады денежных средств физических лиц), лицензия на привлечение во вклады денежных средств физических лиц в рублях и иностранной валюте. [11]

В соответствии с выданными Банком России лицензиями, Банк может осуществлять следующие банковские операции:

  • привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);
  • размещение привлеченных средств от своего имени и за свой счет;
  • открытие и ведение банковских счетов физических и юридических лиц;
  • осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
  • инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;
  • купля-продажа иностранной валюты в наличной и безналичной формах;
  • выдача банковских гарантий;
  • осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых;
  • переводов);
  • оказание консультационных и информационных услуг и др.

Отношения ВУЗ-Банка с клиентами строятся на договорной основе. Оказание и предоставление услуг клиентам осуществляется по ценам и тарифам, устанавливаемым Банком самостоятельно, кроме случаев, предусмотренных законодательством.

ВУЗ-Банк осуществляет расчеты по правилам, формам и стандартам, установленным Банком России. При отсутствии правил проведения отдельных видов расчетов – по договоренности между сторонами; при осуществлении международных расчетов – в порядке, установленном федеральными законами и правилами, принятыми в международной практике.

Кредитные ресурсы Банка формируются за счет:[12]

  • собственных средств Банка (за исключением стоимости приобретенных им основных фондов, вложений в доли участия в уставном капитале банков и других юридических лиц и иных средств);
  • средств юридических лиц, находящихся на их счетах в Банке, включая средства, привлеченные в форме депозитов под вексельное обеспечение;
  • вкладов физических лиц, привлеченных на определенный срок и до востребования;
  • кредитов, полученных в других банках;
  • иных привлеченных средств.

Банк обеспечивает сохранность денежных средств и других ценностей, вверенных ему его клиентами и корреспондентами. Их сохранность гарантируется всем движимым и недвижимым имуществом Банка, его денежными фондами и резервами, создаваемыми в соответствии с законодательством и Уставом Банка, а также осуществляемыми Банком в порядке, установленном Банком России, мерами по обеспечению стабильности финансового положения Банка и его ликвидности.

Банк постоянно поддерживает готовность своевременно и полностью выполнять принятые на себя обязательства путем регулирования структуры своего баланса в соответствии с обязательными нормативами, устанавливаемыми Банком России.

Банк депонирует в Банке России, в установленных им размерах и порядке, часть привлеченных денежных средств в обязательные резервы. В целях обеспечения финансовой надежности Банк создает резервы (фонды), в том числе под обесценение ценных бумаг, порядок формирования и использования которых устанавливаются Банком России.

ВУЗ-банк занимает 74 место по размеру активов среди банков России. В феврале 2018 ВУЗ-банк располагался на 98 месте, то есть за месяц произошел рост на 24 позиции в рейтинге.[13]

Банк вошел в ТОП-3 банков по размеру кредитного и депозитного портфелей в Свердловской области. Кроме того, ВУЗ-банк вошел в число крупнейших банков Свердловской области по итогам 2017 года.

Важно отметить, что по абсолютному количеству выдач кредитов ВУЗбанк вошел не только в ТОП-3 среди банков региона, но и в ТОП-6 среди всех банков, представленных в области (включая федеральные). Это свидетельствует о существенной доле ВУЗ-банка в сегменте кредитования частных лиц и малого и среднего бизнеса.

Депозитный портфель ВУЗ-банка в Свердловской области в 2017 году вырос на 4%, клиенты доверили банку сбережения на общую сумму 15,4 млрд рублей. По этому показателю банк также в ТОП-3 лидеров региона.

Активы банка - это принадлежащие банку объекты собственности, имеющие денежную оценку. Активами принято считать наличные средства, инвестиции, ссуды, ценные бумаги, недвижимость и другие. Банк либо покупает активы (за свой счет или средства вкладчиков), либо берет их в кредит, либо выпускает собственные облигации. Динамика активов зависит от успешности инвестиционной и кредитно-денежной деятельности банка. Важно, чтобы актив увеличивал прибыль (доходность) финансовой организации.

Несмотря на структурные изменения, ВУЗ-банк показывает положительную динамику развития. Примером тому могут послужить следующие рейтинги:[14]

  • по итогам первого полугодия 2018 ВУЗ-банк занимает 1-е место по приросту активов среди банков УрФО – в 1-ом квартале он составил 11,6%;
  • входит в ТОП-10 крупнейших банков Урала и ТОП-3 крупнейших в Екатеринбурге по активам (более 32 млрд руб.). И это, кстати, рекордные показатели в почти 26-летней истории банка.

Кроме того, ВУЗ-Банк обеспечивает долгосрочный рост стоимости бизнеса для акционеров и реализацию их стратегических задач путем организации бизнеса в интересах клиента. Банк выстраивает высокоэффективную, динамично развивающуюся и постоянно совершенствующуюся модель ведения бизнеса, непрерывно и постоянно улучшая свою деятельность, чтобы быть еще более полезным для клиентов, акционеров и сотрудников.

Ценность для клиентов создается сотрудниками, а также через высокоэффективные бизнес-процессы, которые создают и реализуют сотрудники за счет сфокусированной совместной командной работы. В свою очередь, в процессе работы сотрудники получают максимальную возможность для самореализации (реализации своего потенциала) в интересах клиентов и акционеров.

АО «ВУЗ-Банк» стимулирует экономический рост и повышение жизненного уровня через поддержку достижения нашими клиентами своих целей, создает образец ведения бизнеса через реализацию модели рыночного, независимого бизнеса, постоянное улучшение и использование наиболее передовых международных методов управления и ведения бизнеса.

Основные стратегические цели банка: [15]

  • повышение размера собственного капитала;
  • постоянное расширение клиентской базы по всем профилям деятельности банка;
  • совершенствование системы управления рисками;
  • повышение узнаваемости бренда и лояльности клиентов;
  • улучшение качества и разнообразия ассортимента услуг для физических лиц, предприятий малого, среднего и корпоративного бизнеса, в повышении объемов операций и стремлении к снижению издержек ведения бизнеса, росте его технологического уровня и управляемости.

Стратегические задачи, решаемые АО «ВУЗ-Банком» для достижения целей:

  • привлечение новых клиентов в банк, развитие и поддержка исторической базы;
  • автоматизация бизнес-процессов в Банке;
  • надлежащее управление рисками за счёт соблюдения умеренного разрыва между срочностью пассивов и активов; установления лимитов на каждый вид актива, каждого контрагента и эмитента ценных бумаг, исходя из данных финансового анализа и деловой репутации;
  • развитие различных направлений деятельности (привлечение банковских вкладов (депозитов) и выдача собственных векселей; кредитование субъектов малого и среднего предпринимательства за счёт собственных средств; предоставление банковских гарантий; купля-продажа памятных, инвестиционных монет, монет иностранных государств и слитков из драгоценных металлов; торговый эквайринг и комплексное обслуживание банковских карт и др.);
  • поддержание достигнутого уровня узнаваемости бренда Банка посредством Интернет-сообществ;
  • обеспечение контроля качества клиентского обслуживания и лояльности клиентов через предоставление возможности писать отзывы напрямую в Интернет-ресурсы (с обязательным оперативным реагированием), обеспечение функционирования эффективной системы обратной связи с клиентами, измеряемое количеством жалоб клиентов от общего количества обращений клиентов в Банк. (Рисунок 1)

Рисунок 2.1. Миссия, стратегические цели и задачи АО «ВУЗ-Банк»

Стратегические цели компании:

  • увеличение количества продаж;
  • повышение производительности и качества работ без увеличения штата сотрудников;
  • развитие существующих и введение новых около банковских услуг.
  • В связи с этим, можно выделить стратегические задачи на 2016 год:
  • провести обучение и повышение квалификации сотрудников;
  • ввести новую систему мотиваций для сотрудников;
  • внедрение новых конкурентоспособных предложений для клиентов;
  • заключение договоров с будущими компаниями-компаньонами (дизайн, IT и др.) (Рисунок 2).

Рисунок 2.2. Стратегические цели и задачи

Формально всю деятельность организации можно разделить на 3 составляющие:

  • планирование и управление;
  • аналитическая деятельность компании;
  • прочие бизнес-процессы.

2.2 Анализ информационной системы банка

В процессе работы сотрудники банка используют множество приложений, функционал которых необходим для выполнения обязанностей каждого. На рисунке 3 изображены основные информационные системы, которые внедрены на предприятии, и основные сервисы, которые они поддерживают.

Рисунок 2.3. Информационные системы

Специалисты отдела по работе с клиентами малого и среднего бизнеса работают при помощи комплекса программ лучших производителей программного обеспечения. Например, такие программы как SAP R/3 и SAP CRM 7 позволяют сократить время работы сотрудника при заполнении карточки клиента: такие сервисы как ЕГРЮЛ и контур-фокус автоматически заполняют большую часть информации по клиенту по ИНН. Бухгалтерия XXI век содержит информацию о счетах клиента, блокированных суммах, активных статусах счетов. При помощи данной программы операционисты могут выгружать платежные поручения, формировать справки и выписки по счету клиентов.

Бизнес-процессы на предприятии осуществляются при помощи информационных систем. Связь бизнес-процессов АО «ВУЗ-Банк» с 5 информационными системами, функционирующими на предприятии, представлена на рисунке 4.

Рисунок 2.4. Связь бизнесс-процессов с информационными системами

предприятия

На рисунке 5 представлены программные продукты, которые используются для обеспечения эффективности выполняемых бизнес-функций в отдельных подразделениях АО «ВУЗ-Банк».

Рисунок 2.5. Основные программные продукты АО «ВУЗ-Банк»

ИТ-инфраструктура предприятия АО «ВУЗ-банк» представлена на рисунке 6.

Рисунок 2.6. ИТ-инфраструктура предприятия АО «ВУЗ-Банк»

Общая модель предприятия АО «ВУЗ-банк» представлена в приложении 2.

В общей модели предприятия АО «ВУЗ-банк» представлены: бизнес-стратегия, выраженная в миссии, целях задачах, а также стратегических целях и задачах, бизнес-процессы и организационная структура моделирование архитектуры и IT-инфраструктура.

В настоящее время в АО «ВУЗ-банк» используется программный комплекс SAP: SAP CRM 7 и SAP R\3. Высокое качество продукта, постоянные инновации, а также способность предвидеть потребности пользователя позволили компании SAP с 2009 года стать одним из мировых лидеров по созданию программ, которые используются на крупных предприятиях.

Система SAP - это программное обеспечение, автоматизирующее профессиональную деятельность представителей разных специализаций. Такие приложения «заточены» под конкретную отрасль и существенно упрощают работу в ней и связь с другими структурными единицами. SAP состоит из нескольких функциональных блоков, включающие управление, интеграцию и решение всех задач для:

  • бухгалтерии и отдела финансов;
  • торговли, отношений с клиентурой (системы CRM);
  • бюджетирования, казначейства;
  • персонала, административной деятельности;
  • производства, снабжения, складов, логистики (SCM, EWM);
  • рисков и стратегического планирования (GRC);
  • системного администрирования, контроля данных и web-сервисов и так далее.

С начала своего основания компания SAP специализировалась на разработках автоматизированных систем, позволяющих управлять процессами внутри предприятия. К ним относятся бухгалтерский учет, производственные процессы, торговые операции, управление персоналом и складским оборотом.

С 2007 года корпорация начала слияние, выкупая компании, производящие программное обеспечение по предсказательной аналитике, анализу и обработки данных, контролирующее качество и процессы производства на промышленных предприятиях, а также управляющие человеческим капиталом.

Корпорация SAP разрабатывает систему, приложения которой адаптируются, учитывая правовой контекст отдельно взятой страны. Также компания позволяет внедрять свою систему в качестве дополнительных услуг.

Для этого она разработала собственную методику - ValueSAP.

Наиболее популярным продуктом считается ERP система, позволяющая управлять внутренними и внешними ресурсами. Она формирует единое информационное пространство для ввода, обработки и получения информации о деятельности внутри предприятия.

Благодаря программному продукту SAP R/3, предназначенному в качестве комплексной автоматизации на крупных предприятиях, корпорация быстро поднялась на уровень мировых лидеров и стала всемирно известным производителем ПО. На сегодняшний день программный комплекс SAP активно используется сотрудниками банка для отработки внешних запросов клиентов.

При отработке входящего звонка через ЦТО клиент идентифицируется по номеру телефона, который указан в карточке клиента в SAP. Тем самым позволяет сотрудникам быстрее ориентироваться в проблеме клиента и быть более клиентоориентироваными. Кроме того, появляется возможность не только провести консультацию, но и продать дополнительный пакет услуг. Процесс обработки входящего звонка через ЦТО представлен на рисунке 7.

A

0

Обработка входящего звонка

ЦТО

Необработанный запрос клиента

Законодательство РФ

Устав

банка

Нормативные

акты ЦБ РФ

Председатель правления

Главный бухглатер

Специалист ЦТО

Менеджер отдела сопровождения

Успешно обработанный запрос

Начальник ЦТО

Рисунок 2.7. Обработка входящего звонка через ЦТО

В случае подачи заявки на тот или иной банковский продукт клиентом через сайт, клиент идентифицируется по ИНН. Для подачи заявки необходимо заполнить все ключевые поля: ФИО, ИНН, контактный номер телефона. Затем система SAP CRM 7 при помощи сервисов ЕГРЮЛ и контур-фокус формирует карточку клиента, где уже указан основной массив информации по физическому или юридическому лицу. На рисунке 8 представлен процесс обработки заявки клиента через сайт.

A

0

Обработка заявки клиента

через сайт банка

Необработанная заявка

через сайт банка

Законодательство РФ

Устав

банка

Нормативные

акты ЦБ РФ

Председатель правления

Специалист по работе с клиентами

Сотрудник СБ

Сотрудник ИБ

Успешно обработанная заявка

клиентам с сайта банка

Рисунок 2.8. Обработка заявки клиента через сайт банка

После того, как клиент ввел все ключевые поля на сайте, и в программном комплексе банка сформировалась карточка клиента, специалист по работе с клиентами отправляет заявку на проверку службы безопасности. По получению заключения службы безопасности, с клиентом, подавшим заявку, связывается сотрудник банка. При получении отрицательного заключения СБ клиент обязательно информируется об этом, при положительном – приглашается в отделение банка на удобное для клиента время с целью оформления сделки.

На рисунке 9 представлена декомпозиция процесса обработки заявки клиента через сайт.

1

Заполнение ключевых

полей на сайте банка

2

Обработка данных с

сайта при помощи

ЕГРЮЛ и контур

-

фокус

3

Отправка

сотрудником банка

соформировонной

заявки на проверку

4

Получение

заключения СБ

Необработанная заявка

клиента с сайта банка

Сотрудник СБ

Сотрудник ИБ

Специалист по работе

с клиентами

Обработанная заявка

клиента с сайта банка

Нормативные акты ЦБ РФ

Устав банка

Законодательство РФ

Заполненная

заявка

Заведенная в

программу

заявка

Отправленная

в СБ заявка

Рисунок 2.9. Декомпозиция процесса обработки заявки клиент через сайт банка

Исходя из вышеперечисленного, можно сделать вывод о том, что обработка внешних запросов клиента при использовании системы SAP становится быстрее и удобнее для сотрудника, что позволяет повысить качество обслуживания и лояльность клиентов.

ЗАКЛЮЧЕНИЕ

Под безопасностью банковской деятельности понимают комплекс условий, позволяющий предупредить потенциально опасные для банка действия или обстоятельства, либо их свести к такому уровню, при котором они не способны причинить ущерб установленной системе функционирования банка, сохранению и воспроизводству его собственности и инфраструктуры, и затруднять достижение банком уставных целей.

В век компьютеризации всех сфер жизни общества и перехода к возможностям совершения многих банковских операций через сети Интернет стремительно возрастает и доля угроз, направленных на получение различного рода информации. Особенностями информационных систем банка является хранение ими огромного количества информации о финансовом положении физических и юридических лиц, а также их невозможность быть полностью закрытыми при использовании различных онлайн-систем. Применение данных банковских электронных систем делает защиту информации одной из главных проблем.

Банки должны самостоятельно осуществлять работу по организации системы предупреждения криминальных посягательств разного рода. В связи с этим, требования и рекомендации по принятию банками мер защиты своего имущества, содержащиеся в федеральных законах и нормативных актах Банка России, следует считать вполне оправданными. Именно банк должен своими силами и средствами обеспечивать безопасность своих активов, защиту информационных ресурсов и информационной инфраструктуры, охрану имущества, физическую безопасность руководства и персонала и др.

В рамках банковских платежных технологических процессов Центральный банк в качестве активов, требующих защиты в первую очередь, выделяет:

    • банковский платежный технологический процесс;
    • платежную информацию;
    • информацию, отнесенную к защищаемой информации.

Информационная безопасность – это безопасность, связанная с угрозами в информационной сфере. Основная цель информационной безопасности банка заключается в обеспечении эффективной деятельности банка путём исключения возможности нанесения ему ущерба. Как было сказано выше, источниками угроз выступают как внешние и внутренние нарушители, так и нарушения в работе программных и аппаратных компонентов информационных систем, а также природные и техногенные катастрофы. Выявление этих угроз, анализ возможных каналов и средств их реализации позволяют выработать рекомендации по обеспечению безопасности банков и банковских технологий, как на теоретическом, так и на практическом уровнях [2].

В области защиты информации банка главными задачами выступают:

  • разработка нормативно-правовой базы и организация деятельности федеральных органов государственной власти и управления, органов государственной власти и управления субъектов РФ, местного самоуправления, организаций и предприятий для решения задач обеспечения государственной тайны, конфиденциальности информации и документов;
  • установление баланса между потребностью в свободном обмене документами (сведениями) и допустимыми ограничениями доступа к ним;
  • совершенствование информационной сферы, ускорение развития новых информационных технологий, их повсеместное применение, стандартизация средств поиска, сбора, обработки, хранения и анализа информации.

Для обеспечения их решения система информационной безопасности в банке должна иметь следующие характеристики:

  • комплексный подход к защите системы, т.е. защищать все её компоненты;
  • надежность в основе применения различных технологий
  • кластеризации, балансировки нагрузки и др.;
  • высокопроизводительность (обработка больших объемов информации без снижения быстродействия системы);
  • быстрое и адекватное реагирование на различные инциденты, связанные с безопасностью.

Механизмы банковской защиты информации подразумевают защиту от утечек; контроль доступа; межсетевые экраны; антивирусы; программы шифрования информации и системы распознавания.

От уровня обеспечения безопасности автоматизированных информационных систем зависят конкурентоспособность и репутация банка, поскольку высокий уровень безопасности снижает следующие риски: риск распространения информации, угрожающей банку; риск потери важных данных; риск утечки конфиденциальной, тайной информации.

К общим принципам осуществления обеспечения информационной безопасности банков относят:

  • своевременное установление, обнаружение и устранение проблем;
  • возможность прогнозирования развития;
  • анализ актуальности и эффективности предпринятых мер.
  • В целях обеспечения эффективной системы управления информационной безопасностью банки должны:
  • выявлять и оценивать риски по всем, в том числе новым, продуктам и системам банка;
  • осуществлять сбор данных и убытков от реализации рисков;
  • разрабатывать и реализовывать мероприятия, направленные на снижение вероятности рисков и минимизацию последствий от их реализации;
  • осуществлять регулярный мониторинг уровня рисков и др.

Таким образом, процесс управления безопасностью должен включать следующие основные этапы:

  • выявление риска, т.е. определение предпосылок, причин и обстоятельств реализации риска;
  • оценку риска – банк анализирует информацию, полученную в результате идентификации риска, определяет вероятность наступления событий риска, приводящих к потерям, а также размера ущерба;
  • анализ проблемных зон процессов банка, выработка и принятие решения по оптимизации процессов для снижения уровня риска;
  • мониторинг риска;
  • контроль выполнения мероприятий по снижению уровня риска и устранению проблемных зон в процессах [6].

Несмотря на общие принципы обеспечения информационной безопасности банков, каждая кредитная организация вырабатывает свою политику безопасности.

Следует отметить, что, в связи с политической обстановкой в мире, все чаще нарастают угрозы кибератак; несанкционированного доступа к информации банковских систем; перехват, искажение информации, передаваемой по каналам связи и др.

Всем банкам необходимо выполнять требования к кибербезопасности, определенные в нормативных документах Банка России. Следует тщательно отбирать персонал, имеющий доступ к информации; иметь программы защиты от атаки вирусов и надежное специализированное программное обеспечение; применять межсетевые экраны и др.

Для защиты банковской безопасности необходима постоянная разработка и обновление программных продуктов и электронных систем. Важным моментом в разработке программного обеспечения является анализ угроз. Анализ позволяет улучшить осведомленность руководства и сотрудников, ответственных за безопасность системы, об её сильных и слабых сторонах, и, тем самым, способствует созданию базы для принятия верных решений и оптимизации системы безопасности для более эффективной работы. Правильно выбранная политика информационной безопасности позволит отечественным банкам снизить риски утечки конфиденциальной информации и, как следствие, повысить эффективность их деятельности.

В АО «ВУЗ-банк» уделяется особое внимание прохождению обучения политике информационной безопасности всеми сотрудниками банка. Ежеквартально назначаются учебные курсы и тесты, только по факту прохождения которых, сотрудник будет допущен к работе. Но, к сожалению, угрозу могут представлять не столько действующие сотрудники, сколько уволенные. Имея опыт работы в данной структуре и сведения о клиентах и их финансовом состоянии, уволенный сотрудник может использовать эти сведения в личных интересах. Именно поэтому стоит уделять особое внимание не только картам доступа сотрудников, которые не должны быть шире, чем их должностные инструкции, но и аннулированию и блокировке карт при увольнении сотрудника.

При возникновении угрозы кибератаки, всем сотрудникам направляется уведомление на внеплановый курс обучения, без прохождения которого запрещено работать в ПО банка.

Незаконные действия мошенников можно свести к минимуму при повышении финансовой грамотности населения. Таким образом, третьим лицам не будет предоставляться информация о счетах, номерах карт, персональных данных.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

  1. Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) [Электронный ресурс] // Центральный Банк Российской Федерации. Режим доступа: http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd, свободный.
  2. Атаманов, Г. А. О банковской безопасности и безопасности банков / Г. А. Атаманов // право и безопасность. – 2013. – № 1-2. – С. 79–85.
  3. Баранова Е. К. Информационная безопасность и защита информации: Учебное пособие/Баранова Е. К., Бабаш А. В., 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2016. - 322 с.
  4. Батаев А.В. Тенденции и перспективы развития рынка информационных технологий в банковском секторе России // Молодой ученый. — 2013. — № 10. — С. 268—271.
  5. Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2013. - 368 c.
  6. Вдовин, В. М. Информационные технологии в финансово-банковской сфере: Учебное пособие / В. М. Вдовин, Л. Е. Суркова. - М.: Дашков и К, 2012. - 304 с.
  7. Гамза, В. А. Безопасность банковской деятельности: учебник для вузов / В. А. Гамза, И. Б. Ткачук, И. М. Жилкин. – 3-е изд., перерад. и доп. – М.: Издательство Юрайт, 2015. – 513 с.
  8. Гайдамакин, Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс: учеб. пособие / Н.А. Гайдамакин. - М.: Гелиос АРВ, 2013 - 430 с.
  9. Гришина Н. В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - 2-e изд., доп. - М.: Форум: НИЦ ИНФРА-М, 2015. - 240 с.
  10. Гулько, А. А. К вопросу об обеспечении информационной безопасности коммерческих банков / А. А. Гулько, Гладкова С. Б., Битюкова А. Ф. [и др.] // Экономика и предпринимательство. – 2016. – № 3-1. – С. 588–592.
  11. Жук А. П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2015. - 392 с.
  12. Мовсесян, Е. Л. Информационная безопасность в банковских системах / Е. Л. Мовсесян, М. В. Перова // Перспективы развития информационных технологий. – 2014. – № 21. – С. 145–150.
  13. Скрипник Д. А. Общие вопросы технической защиты информации. – М., Национальный Открытый Университет «ИНТУИТ», 2016. – 425с.
  14. Тютюнник, А.В.; Шевелев, А.С. Информационные технологии в банке; БДЦ-пресс - М., 2016. - 368 c.
  15. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей : Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ: НИЦ ИНФРА-М, 2014. - 416 с.
  16. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах : Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ: НИЦ ИНФРА-М, 2013. - 592 с.
  17. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/

ПРИЛОЖЕНИЕ А

Система защиты информации

ПРИЛОЖЕНИЕ Б

Общая модель предприятия АО «ВУЗ-Банк»

  1. Вдовин, В. М. Информационные технологии в финансово-банковской сфере [Текст]: Учебное пособие / В. М. Вдовин, Л. Е. Суркова. - М.: Дашков и К, 2012. - 304 с.

  2. Гамза, В. А. Безопасность банковской деятельности: учебник для вузов [Текст] / В. А. Гамза, И. Б. Ткачук, И. М. Жилкин. – 3-е изд., перерад. и доп. – М.: Издательство Юрайт, 2015. – 513 с.

  3. Гайдамакин, Н.А. Автоматизированные информационные системы, базы и банки данных [Текст]. Вводный курс: учеб. пособие / Н.А. Гайдамакин. - М.: Гелиос АРВ, 2013 - 430 с.

  4. Гришина Н. В. Информационная безопасность предприятия [Текст]: Учебное пособие / Н.В. Гришина. - 2-e изд., доп. - М.: Форум: НИЦ ИНФРА-М, 2015. - 240 с.

  5. Гулько, А. А. К вопросу об обеспечении информационной безопасности коммерческих банков [Текст] / А. А. Гулько, Гладкова С. Б., Битюкова А. Ф. [и др.] // Экономика и предпринимательство. – 2016. – № 3-1. – С. 588–592.

  6. Жук А. П. Защита информации [Текст]: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2015. - 392 с.

  7. Мовсесян, Е. Л. Информационная безопасность в банковских системах [Текст] / Е. Л. Мовсесян, М. В. Перова // Перспективы развития информационных технологий. – 2014. – № 21. – С. 145–150.

  8. Скрипник Д. А. Общие вопросы технической защиты информации [Текст]. – М., Национальный Открытый Университет «ИНТУИТ», 2016. – 425с.

  9. Тютюнник, А.В.; Шевелев, А.С. Информационные технологии в банке; БДЦ-пресс - М., 2016. - 368 c.

  10. Тютюнник, А.В.; Шевелев, А.С. Информационные технологии в банке; БДЦ-пресс - М., 2016. - 368 c.

  11. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/

  12. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/

  13. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/

  14. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/

  15. Официальный сайт АО «ВУЗ-банк» [Электронный ресурс]. Режим доступа: https://www.vuzbank.ru/