Файл: Система защиты информации в банковских системах (Понятие и значение информационной безопасности в банковской деятельности ).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 23.05.2023

Просмотров: 90

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Философия ОАО Банк «ОТКРЫТИЕ»: «Реализация возможностей: у каждого из нас есть возможности, и мы имеем право их реализовывать».

Миссия: «Мы помогаем нашим клиентам, сотрудникам, контрагентам и даже конкурентам реализовывать их финансовые возможности».

Ценности: «Партнёрство как главный принцип в бизнесе».

Яркость и качество «ищем и находим надежные нестандартные решения».

Непрерывное развитие «двигаемся вперед, оставаясь собой».

Географическое присутствие: всего 225 офисов, присутствие в 53 городах, плотная сеть и ведущие позиции в Санкт-Петербурге и Екатеринбурге.

Органами управления Банка «ОТКРЫТИЕ» являются:

  • Общее собрание акционеров Банка;
  • Совет директоров Банка;
  • Коллегиальный исполнительный орган - Правление Банка;
  • Единоличный исполнительный орган - Председатель Правления Банка.

Организационная структура ОАО Банк «ОТКРЫТИЕ» представлена в Приложении 1.

Таблица 2

Ключевые показатели ОАО «Банк «ОТКРЫТИЕ»

Показатель

2016

2017 (П)

Изменения

Активы

134 млрд. руб

170 млрд. руб

+27%

Капитал

17,8 млрд. руб

21,1 млрд. руб

+18%

ROE

3,9%

12,0%

+ 8.1 п.п.

Чистая % маржа

6,3%

6,8%

+0,5 п.п.

Кредиты/ депозиты

66%

70%

+4 п.п.

NPL, % кредитного
портфеля

5,3%

5,9%

+0,6 п.п.

Покрытие NPL резервами

113%

75%

-38 п.п.

Приняв решение развиваться в качестве универсального банка, ОАО Банк «ОТКРЫТИЕ» ориентируется на предоставление своим клиентам полного набора актуальных банковских услуг. При этом Банк стремится максимально использовать современные технологии, профессионализм менеджмента и индивидуальный подход в обслуживании клиентов, укрепляя, тем самым, позиции Банка в классическом банковском сегменте.

Стратегия развития Банка на 2018-2021 годы направлена на максимизацию чистой выручки. Реализация стратегии подразумевает решение ряда задач:


  • рост доли высокомаржинальных продуктов в кредитном портфеле, фокус на кредитовании физических лиц и предприятий МСБ;
  • рост доли счетов до востребования в средствах клиентов;
  • рост доли комиссионных доходов в выручке Банка;

Граничными условиями для максимизации выручки являются:

  • поддержание структуры баланса и размера капитала Банка на уровне, достаточном для соблюдения обязательных нормативов, а также требований рейтинговых агентств для целевого рейтинга;
  • достижение уровня рентабельности капитала, достаточного для дальнейшего роста капитализации Банка;
  • контроль над уровнем издержек для поддержания уровня CIR не выше целевого;
  • соблюдение профиля риска Банка, контроль над уровнем просроченной задолженности;
  • предложение полной линейки продуктов для удовлетворения всех потребностей клиентов (а не только продуктов с максимальной маржей).

Второй аспект стратегии развития Банка – переход от модели «Клиент выбирает ПРОДУКТ» к модели «Клиент выбирает БАНК». Последняя предполагает рост качества и скорости обслуживания клиентов, предложение максимально удобного для клиентов времени работы Банка, доступность и близость к потребителю, наличие широкой продуктовой линейки (паи, различные депозиты, брокерские продукты и др., возможность выбора индивидуального срока продукта, пакетные решения).

2.2 Порядок проведения работа по обеспечению информационной безопасности в ОАО «БАНК «ОТКРЫТИЕ»

Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

  1. Определение перечня сведений, составляющих банковскую и коммерческую и тайну, конфиденциальную информацию, в том числе персональные данные;
  2. Разработку и последующее исполнение положения о категорировании помещений;
  3. Описание системы;
  4. Определение факторов риска;
  5. Определение уязвимых мест систем;
  6. Выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
  7. Выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

Отнесение информации к банковской, коммерческой тайне, конфиденциальной информации, в том числе персональным данным - установление ограничений на распространение информации, требующей защиты.


Отнесение информации к информации ограниченного доступа осуществляется в соответствии с принципами законности, обоснованности и своевременности.

Обоснованность отнесения информации к информации ограниченного доступа заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения тайны.

Своевременность отнесения сведений к информации ограниченного доступа заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки).

Основание отнесения информации к категории информации ограниченного доступа регламентируется «Перечнем сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».

Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения.

В соответствии с этим среди информации, относимой к информации ограниченного доступа, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф конфиденциально – «КФ», банковская тайна – «БТ» и коммерческая тайна – «КТ».

Категорирование помещений производится по степени важности обрабатываемой в них информации.

В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

Для информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в них информации, с учетом «Перечня сведений, составляющих банковскую и коммерческую тайну, конфиденциальную информацию».

В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

  • цели и задачи системы;
  • пользователи и обслуживающий персонал;
  • способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
  • физическую топологию сети в зданиях Банка;
  • логическую топологию сети Банка, ее основные характеристики;
  • перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
  • перечень используемого программного обеспечения (системного, прикладного, коммуникационного) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

2.3 Защита информации в автоматизированных системах и сетях ОАО «БАНК «ОТКРЫТИЕ»

Основным объектом защиты является информация, циркулирующая в программноаппаратных средствах, сетях, используемых в Банке) (АБС, автоматизированная система межбанковских расчетов, телефонная сеть и т.п.).

Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом внутренней и информационной безопасности Службы безопасности (далее - ОВиИБ СБ) совместно с Управлением инфотехнологий, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Банка, филиалов, дополнительных и операционных офисов на основе анализа материалов по системам обработки информации и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.

ОВиИБ СБ наделен следующими полномочиями:

  • управление всеми планами по обеспечению ИБ Банка;
  • разработка и внесение предложения по изменению политики ИБ Банка;
  • изменение существующих и принятие новых нормативно-методических документов по обеспечению ИБ Банка;
  • выбор программно-аппаратных средств управления и обеспечения ИБ Банка, пределение требований к техническим средствам защиты информации и организационным мерам защиты информации контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
  • осуществление мониторинга событий, связанных с ИБ;
  • проведение служебных проверок по событиям, связанным с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
  • создание, поддержка и совершенствование системы управления ИБ Банка, участие в действиях, связанных с выполнением требований к обеспечению защиты информации, применяемых при восстановлении автоматизированных банковских систем после сбоев и отказов в работе объектов информационной инфраструктуры;
  • доступ к журналам и мониторингу информационных ресурсов Банка на правах администратора;
  • доступ к компьютерам сотрудников Банка в любое время функционирования Банка.

Основным компонентом защиты информации является «План защиты и план обеспечения непрерывной работы и восстановления систем», представляющий свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В План включаются следующие этапы работ:

  1. Оценка существующего программно-аппаратного обеспечения;
  2. Приобретение дополнительных программно-технических средств;
  3. Монтаж и наладка систем безопасности;
  4. Тестирование системы безопасности, проверка эффективности средств защиты;
  5. Обучение пользователей и персонала, обслуживающего систему.
  6. Законом «Об информации, информационных технологиях и о защите Информации» вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации.

Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ.

Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые.

При осуществлении технических мер применяются следующие средства защиты автоматизированных систем (в том числе систем с использованием сети Интернет):

1. Средства контроля доступа и назначения полномочий:

  • средства контроля доступа в помещения;
  • средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования (ПТС КП);
  • средства контроля доступа к серверам;
  • средства контроля доступа к сети передачи данных;
  • средства защиты на уровне ПК;
  • средства протоколирования действий пользователей и обслуживающего персонала в системе.

2. Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами или для связи с клиентами.

3. Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.

Перечисленные средства необходимо использовать с учетом следующих базовых принципов:

  • каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает проведение служебной проверки для выявления нарушений и фактов проникновения;
  • все элементы системы Банка должны быть разделены на «контуры защиты».