Информационная безопасность

- критерии оценки эффективности  защиты конфиденциальной информации;

Разработку внутренней нормативной базы в составе:

- общих для всего банка регламентов (например, «Положение о правилах обеспечения информационной безопасности», «Правила проведения конфиденциальных переговоров», «Правила работы с закрытыми базами данных», «Перечень сведений, составляющих банковскую и коммерческую тайну» и т.п.),

- внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области;

- правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение  финансовых ресурсов необходимых:

- для приобретения (самостоятельной  разработки), эксплуатации и обновления  программных средств и средств  инженерно-технической защиты;

- для проведения соответствующих  организационных мероприятий;

- службе безопасности для осуществления  специальных профилактических и  контрольных мероприятий.

Обучение персонала банка и  специалистов самой службы безопасности правилам обеспечения информационной безопасности.

Формирование и последующее  развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

- службы безопасности банка;

- руководства структурных подразделений.

 

 

 

Глава 4. Хакерство в России и за рубежом

Финансовый сектор был и остается наиболее привлекательным полем  как для обычного, так и для  виртуального мошенничества. Причем география  очень широкая: Америка, Европа, Азия входят в сферу интересов интеллектуальных грабителей. И в большинстве случаев  преступления совершают сами сотрудники финансовых учреждений, а нередко  и топ-менеджмент.

Главным источником кибератак в финансовом секторе остаются Соединенные Штаты (49 %). Это существенно выше показателя общемировых атак по интернету в целом (32 % за тот же период). Впрочем, этот результат может объясняться тем, что в учреждениях финансового сектора США установлено больше датчиков, чем в любом другом регионе. Вторым по интенсивности исходящих атак на финансовые компании стал Китай (20 %). Япония генерирует 3 % атак против финансовых учреждений, занимая третье место, как в первом, так и во втором случае.

Спам, связанный с финансовыми  продуктами и услугами, занимает третье место в мире (15 % от всего спама  в интернете) после медицинских  услуг (32 %) и коммерческих продуктов (30 %).

В последнее время финансовые киберпреступления перерастают в неприятную тенденцию. Хакерство "из любви к искусству" сменяется хакерством ради наживы. И как ожидается, этот сдвиг мотивации будет только усиливаться: злоумышленники чаще будут переходить от угроз, нацеленных на уничтожение или искажение данных, к краже конфиденциальной, финансовой и персональной информации с целью материального обогащения. Инструменты, которые применяются для совершения подобных действий, часто называют преступным программным обеспечением.

Дальнейшее развитие получит использование  взломщиками вредоносного кода, который, проникнув в компьютер пользователя, остается незамеченным. Скрыть его  присутствие можно различными методами. По мнению экспертов корпорации Symantec, особенно активно будет развиваться один из наиболее ходовых в настоящее время приёмов внедрения вредоносного кода - rootkit. Эта программа (набор программ) не заражает машину сама, как вирусы или "черви", а пытается создать необнаруживаемую среду, в которой вредоносный код и угрозы для безопасности смогут выполнять свои функции.

Используя rootkit, киберпреступник сможет еще активнее взламывать системы, так как получит возможность выполнять в них практически любые действия, включая удаленный доступ, кражу и передачу конфиденциальной информации, установку дополнительных угроз для безопасности - рекламного и шпионского программного обеспечения.

За последние годы число уникальных фишинговых сообщений, определенных как фишинг против финансовых учреждений, увеличилось на треть. Мишенью фишинговых атак становились в среднем 20 финансовых учреждений в день.

Возможно, основной целью сетевых  атак в ближайшее время станут не одноразовые взломы и информационные диверсии, а создание инфраструктуры, обеспечивающей работу и распространение  преступного программного обеспечения.

Взлом компьютеров, или хакерство, в настоящее время становится сверхдоходным бизнесом. Прошли те дни, когда это было занятием тинейджеров, которые сидели в квартирах своих родителей и пытались взломать компьютерную систему какой-либо компании просто для того, чтобы самоутвердиться. Сегодняшние хакеры зачастую принадлежат к организованным криминальным структурам, разрастающимся до небывалых размеров. Число хакерских атак против банков в первой половине 2007 года, по данным SecureWorks, американского провайдера услуг в сфере информационной безопасности, выросло на 81% по сравнению с аналогичным прошлогодним периодом. Только за сентябрь 2007 года специалисты SecureWorks блокировали 167 млн. хакерских атак на банки и почти столько же - на небанковские кредитные учреждения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

Изучение рассмотренных в предыдущих разделах угроз безопасности кредитно-финансовой организации показывает, что необходимым  участником процесса защиты от них  является собственный персонал. Это  определяет актуальность специальной  подготовки банковских служащих, которая  может рассматриваться в системе  управления безопасностью в качестве одного из важнейших профилактических методов. Следует учитывать, что  в силу действия психологических  факторов в глазах сотрудников эта  подготовка, в отличие от профессионального  обучения и повышения квалификации, всегда будет носить вторичный по значимости характер.  
 
Общими методическими требованиямик организации подготовки:  
 
-               распространение подготовки на все категории персонала банка, с дифференциацией ее форм и методов по должностным категориям обучаемых;  
 
-               непрерывность подготовки, что обеспечивается регулярным про ведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес банка; 
 
-               привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений банка, обычно имеющих в глазах своих подчиненных больший авторитет; 
 
-               использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своего и иных банков;  
 
-               использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи , демонстрация некоторых технических средств защиты и т.п.  
 
          Организация подготовки вновь нанятых сотрудников банка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала. Она дифференцирована по двум категориям сотрудников - молодых специалистов и банковских служащих, уже имеющих опыт практической работы в других кредитно-финансовых организациях.  
 
          Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности банковской деятельности. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектовугроз. В соответствии с методическим требованием непрерывности обучения, подготовка сотрудников банка по рассматриваемому направлению деятельности осуществляется службой безопасности в двух формах.  
 
Регулярная профилактическая работа с персоналом банка проводится дифференцированно по категориям персонала. Для высшего руководства она имеет форму специального обзора, ежемесячно представляемого за подписью вице-президента по безопасности. Обзор освещает динамику ситуации по рассматриваемому направлению в конкретном банке и включает в себя:  
 
-               фактологический материал - состоявшиеся и предотвращенные угрозы безопасности банка, потери от них, непосредственные виновники или причины, принятые меры и т.п.; 
 
-               ранжированный перечень реальных угроз безопасности банка в текущий момент и рекомендации по их профилактике; 
 
-               обзор ситуации по анализируемому направлению на региональном или общенациональном рынке банковских услуг (с особым выделением ситуации у главных конкурентов). 
 
Для руководителей самостоятельных структурных подразделений банка ежеквартально проводятся специальные встречи с вице-президентом по безопасности. Для остального персонала служба безопасности проводит специальный инструктаж непосредственно в соответствующих структурных подразделениях (также ежеквартально). При этом рекомендуется основное внимание уделять не уже известным сотрудникам правилам безопасности, а разбору выявленных нарушений. В этих же целях служба безопасности может готовить и размещать на общедоступном сайте локальной сети банка регулярно обновляемый бюллетень с соответствующей информацией. Наконец, при выявлении серьезных нарушений правил обеспечения безопасности (разглашение информации, коррупция, саботаж) в конкретном подразделении, обязателен разбор его на общем собрании сотрудников.  
 
         Контроль по рассматриваемому направлению осуществляется службой безопасности банка. В зависимости от ее организационной структуры, им могут заниматься либо уполномоченные сотрудники специализированных подразделений (отдела информационной безопасности, физической защиты и т.п.), либо инспектора специального подразделения контроля внутреннего режима. Основными задачами проведения данной работы выступают:  
 
-               оценка общей эффективности управления обеспечением безопасности в конкретных структурных подразделениях банка;  
 
-               контроль над лояльностью конкретных сотрудников;  
-               выявление конкретных нарушений и их виновников.  
 
         Исходя из этого, организация данной работы осуществляется служ бой безопасности одновременно по нескольким направлениям.  
 
         Профилактический контроль над соблюдением правил обеспечения безопасности в трудовых коллективах банка проводится с использованием различных методов и процедур, в частности:  
 
-               плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, хранения денежных и иных ценностей, а также работоспособность технических средств защиты; 
 
-               мониторинга ситуации с использованием специальных технических средств наблюдения (например, видеокамер, первоначально установленных в качестве технических средств защиты имущества и персонала); 
 
-               мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений банка (подобная практика широко используется службами безопасности предприятий и органов государственного управления, хотя обычно и не рекомендуется в открытых учебных материалах).  
 
         По результатам оперативного контроля служба безопасности готовит специальные отчеты для президента банка, информационные записки на имя руководителей его структурных подразделений. При необходимости она организует проведение специальных совещаний у руководства, собраний в трудовых коллективах подразделений, готовит проекты приказов о поощрениях или взысканиях.  
 
         Контроль личной лояльности персоналаосуществляется службой безопасности в отношении сотрудников:  
 
-               занимающих ключевые рабочие места (кроме должности президента), обеспечивающие доступ к особо конфиденциальной информации или возможность принимать решения стратегического характера;  
 
-               привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность.  
 
       В зависимости от цели и используемых методов контроля могут быть выявлены прямые нарушения в деятельности сотрудника,являющиеся основанием для передачи соответствующего иска в судебные или заявления в правоохранительные органы, увольнения, иных форм дисциплинарных взысканий.  
 
      Таким образом, в заключении, можно говорить о том, что кадровая подготовка банка на прямую влияет на его финансово-экономическую безопасность,  а так же является единственным функциональным элементом способным предотвратить появление угроз.

 

 

 

 

 

 

Список литературы

1. Организация и управление безопасностью  в кредитно-финансовых организаций. А.Р.Алавердов. Москва. МЭСИ -2004г.

2. Экономизация коррупции. Механизм противодействия: монография/С.М.проява. - М.:ЮНИТИ-ДАНА, Закон и право, 2008.

3. Теневая экономика/под ред.Эриашвили Н.Д. - М.:ЮНИТИ-Дана, 2008.

4. Экономическая безопасность/Г.С.Вечканов. - СПб: Питер, 2007.

5. Банковское дело: учебник - 2-е  изд., перераб. и доп./Под ред О.И.Лаврушина. - М.:Финансы и статистика, 2005.

6. Защита информации в банковском  деле м электронном бизнесе/М.А.Деднев, Д.В.Дыльнов, М.А.Иванов. - М:КУДИЦ-ОБРАЗ, 2004.