Файл: Система защиты информации в банковских системах (Понятие и значение информационной безопасности в банковской деятельности ).pdf
Добавлен: 23.05.2023
Просмотров: 90
Скачиваний: 3
СОДЕРЖАНИЕ
1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
1.1 Понятие и значение информационной безопасности в банковской деятельности
1.3 Проблемы безопасности расчетов пластиковыми картами
2. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО «БАНК «ОТКРЫТИЕ»
2.1 Краткая характеристика ОАО «БАНК «ОТКРЫТИЕ»
2.2 Порядок проведения работа по обеспечению информационной безопасности в ОАО «БАНК «ОТКРЫТИЕ»
2.3 Защита информации в автоматизированных системах и сетях ОАО «БАНК «ОТКРЫТИЕ»
Философия ОАО Банк «ОТКРЫТИЕ»: «Реализация возможностей: у каждого из нас есть возможности, и мы имеем право их реализовывать».
Миссия: «Мы помогаем нашим клиентам, сотрудникам, контрагентам и даже конкурентам реализовывать их финансовые возможности».
Ценности: «Партнёрство как главный принцип в бизнесе».
Яркость и качество «ищем и находим надежные нестандартные решения».
Непрерывное развитие «двигаемся вперед, оставаясь собой».
Географическое присутствие: всего 225 офисов, присутствие в 53 городах, плотная сеть и ведущие позиции в Санкт-Петербурге и Екатеринбурге.
Органами управления Банка «ОТКРЫТИЕ» являются:
- Общее собрание акционеров Банка;
- Совет директоров Банка;
- Коллегиальный исполнительный орган - Правление Банка;
- Единоличный исполнительный орган - Председатель Правления Банка.
Организационная структура ОАО Банк «ОТКРЫТИЕ» представлена в Приложении 1.
Таблица 2
Ключевые показатели ОАО «Банк «ОТКРЫТИЕ»
Показатель |
2016 |
2017 (П) |
Изменения |
||
Активы |
134 млрд. руб |
170 млрд. руб |
+27% |
||
Капитал |
17,8 млрд. руб |
21,1 млрд. руб |
+18% |
||
ROE |
3,9% |
12,0% |
+ 8.1 п.п. |
||
Чистая % маржа |
6,3% |
6,8% |
+0,5 п.п. |
||
Кредиты/ депозиты |
66% |
70% |
+4 п.п. |
||
NPL, % кредитного |
5,3% |
5,9% |
+0,6 п.п. |
||
Покрытие NPL резервами |
113% |
75% |
-38 п.п. |
Приняв решение развиваться в качестве универсального банка, ОАО Банк «ОТКРЫТИЕ» ориентируется на предоставление своим клиентам полного набора актуальных банковских услуг. При этом Банк стремится максимально использовать современные технологии, профессионализм менеджмента и индивидуальный подход в обслуживании клиентов, укрепляя, тем самым, позиции Банка в классическом банковском сегменте.
Стратегия развития Банка на 2018-2021 годы направлена на максимизацию чистой выручки. Реализация стратегии подразумевает решение ряда задач:
- рост доли высокомаржинальных продуктов в кредитном портфеле, фокус на кредитовании физических лиц и предприятий МСБ;
- рост доли счетов до востребования в средствах клиентов;
- рост доли комиссионных доходов в выручке Банка;
Граничными условиями для максимизации выручки являются:
- поддержание структуры баланса и размера капитала Банка на уровне, достаточном для соблюдения обязательных нормативов, а также требований рейтинговых агентств для целевого рейтинга;
- достижение уровня рентабельности капитала, достаточного для дальнейшего роста капитализации Банка;
- контроль над уровнем издержек для поддержания уровня CIR не выше целевого;
- соблюдение профиля риска Банка, контроль над уровнем просроченной задолженности;
- предложение полной линейки продуктов для удовлетворения всех потребностей клиентов (а не только продуктов с максимальной маржей).
Второй аспект стратегии развития Банка – переход от модели «Клиент выбирает ПРОДУКТ» к модели «Клиент выбирает БАНК». Последняя предполагает рост качества и скорости обслуживания клиентов, предложение максимально удобного для клиентов времени работы Банка, доступность и близость к потребителю, наличие широкой продуктовой линейки (паи, различные депозиты, брокерские продукты и др., возможность выбора индивидуального срока продукта, пакетные решения).
2.2 Порядок проведения работа по обеспечению информационной безопасности в ОАО «БАНК «ОТКРЫТИЕ»
Работа по обеспечению информационной безопасности в Банке включает следующие этапы:
- Определение перечня сведений, составляющих банковскую и коммерческую и тайну, конфиденциальную информацию, в том числе персональные данные;
- Разработку и последующее исполнение положения о категорировании помещений;
- Описание системы;
- Определение факторов риска;
- Определение уязвимых мест систем;
- Выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
- Выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.
Отнесение информации к банковской, коммерческой тайне, конфиденциальной информации, в том числе персональным данным - установление ограничений на распространение информации, требующей защиты.
Отнесение информации к информации ограниченного доступа осуществляется в соответствии с принципами законности, обоснованности и своевременности.
Обоснованность отнесения информации к информации ограниченного доступа заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения тайны.
Своевременность отнесения сведений к информации ограниченного доступа заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки).
Основание отнесения информации к категории информации ограниченного доступа регламентируется «Перечнем сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».
Перечень утверждается Председателем Правления Банка.
Степень конфиденциальности информации должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения.
В соответствии с этим среди информации, относимой к информации ограниченного доступа, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф конфиденциально – «КФ», банковская тайна – «БТ» и коммерческая тайна – «КТ».
Категорирование помещений производится по степени важности обрабатываемой в них информации.
В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.
Для информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в них информации, с учетом «Перечня сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».
В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.
Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:
- цели и задачи системы;
- пользователи и обслуживающий персонал;
- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
- физическую топологию сети в зданиях Банка;
- логическую топологию сети Банка, ее основные характеристики;
- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
- перечень используемого программного обеспечения (системного, прикладного, коммуникационного) и их характеристики.
Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.
2.3 Защита информации в автоматизированных системах и сетях ОАО «БАНК «ОТКРЫТИЕ»
Основным объектом защиты является информация, циркулирующая в программноаппаратных средствах, сетях, используемых в Банке) (АБС, автоматизированная система межбанковских расчетов, телефонная сеть и т.п.).
Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом внутренней и информационной безопасности Службы безопасности (далее - ОВиИБ СБ) совместно с Управлением инфотехнологий, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Банка, филиалов, дополнительных и операционных офисов на основе анализа материалов по системам обработки информации и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.
ОВиИБ СБ наделен следующими полномочиями:
- управление всеми планами по обеспечению ИБ Банка;
- разработка и внесение предложения по изменению политики ИБ Банка;
- изменение существующих и принятие новых нормативно-методических документов по обеспечению ИБ Банка;
- выбор программно-аппаратных средств управления и обеспечения ИБ Банка, пределение требований к техническим средствам защиты информации и организационным мерам защиты информации контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
- осуществление мониторинга событий, связанных с ИБ;
- проведение служебных проверок по событиям, связанным с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
- создание, поддержка и совершенствование системы управления ИБ Банка, участие в действиях, связанных с выполнением требований к обеспечению защиты информации, применяемых при восстановлении автоматизированных банковских систем после сбоев и отказов в работе объектов информационной инфраструктуры;
- доступ к журналам и мониторингу информационных ресурсов Банка на правах администратора;
- доступ к компьютерам сотрудников Банка в любое время функционирования Банка.
Основным компонентом защиты информации является «План защиты и план обеспечения непрерывной работы и восстановления систем», представляющий свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В План включаются следующие этапы работ:
- Оценка существующего программно-аппаратного обеспечения;
- Приобретение дополнительных программно-технических средств;
- Монтаж и наладка систем безопасности;
- Тестирование системы безопасности, проверка эффективности средств защиты;
- Обучение пользователей и персонала, обслуживающего систему.
- Законом «Об информации, информационных технологиях и о защите Информации» вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации.
Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ.
Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые.
При осуществлении технических мер применяются следующие средства защиты автоматизированных систем (в том числе систем с использованием сети Интернет):
1. Средства контроля доступа и назначения полномочий:
- средства контроля доступа в помещения;
- средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования (ПТС КП);
- средства контроля доступа к серверам;
- средства контроля доступа к сети передачи данных;
- средства защиты на уровне ПК;
- средства протоколирования действий пользователей и обслуживающего персонала в системе.
2. Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами или для связи с клиентами.
3. Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.
Перечисленные средства необходимо использовать с учетом следующих базовых принципов:
- каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает проведение служебной проверки для выявления нарушений и фактов проникновения;
- все элементы системы Банка должны быть разделены на «контуры защиты».