Отчет по преддипломной практике в ОАО «БИНБАНК» в г.Омске

Анализ всевозможных видов  банковских угроз и методов снижения риска позволяет сделать следующие  выводы:

- необходимо чёткое разграничение  деятельности каждого банковского  работника и предоставление информации  строго в необходимом для работы  объёме;

- необходим полноценный  анализ всех решений кредитований  и инвестиций, осуществляемых банком;

- существенную роль играют  системы контроля за деятельностью  работников и системы обеспечения  безопасности самого производственного  процесса.

Эффективное обеспечение  экономической безопасности банка  осуществляется в основном экономическими методами, хотя необходимость проведения определённых мер строго охранного  характера так же продолжает присутствовать.

Служба экономической  безопасности банка должна представлять собой структуру, состоящую из специалистов по информационной безопасности; экономистов, чётко представляющих себе работу на местах; юристов; специалистов по экономическому анализу и специалиста по обеспечению  имущественной безопасности и безопасности остального персонала.

Руководить службой безопасности, несомненно, должен человек, обладающий не только большими организаторскими способностями, но и знаниями во всех перечисленных сферах деятельности.

2.  Информационная безопасность

Понятие «информационная безопасность» рассматривается в следующих значениях:

1. Состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.;
2. Деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).

Интернет предоставляет  банкам великолепные возможности, среди  которых видеоконференции, электронная  почта, реклама, поиск клиентов по Сети и многое другое, причем все средства сравнительно недороги. Но вместе с  этим очень остро стоит проблема защиты данных. Эта актуальная тема является базовой в представляемой вашему вниманию работе. Важно сформировать грамотную единую политику информационной безопасности банка на основе системного подхода к обеспечению безопасности. При этом необходимо использовать реальные оценки уровня информационной защищенности банка и рекомендации по его повышению, сформулированные специалистами по защите информации.

В современном мире невозможно выделить неограниченное количество финансов и человеческих ресурсов на обеспечение  безопасности. С экономической точки  зрения вложения в безопасность должны показать или прибыль, или сокращение имевших место либо возможных  затрат. Политика информационной безопасности (ПИБ) должна показывать приоритеты инвестиций в направлении наибольшей уязвимости.

Информационная безопасность банка — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды банка, обеспечивающее её нормальное функционирование и динамичное развитие.

Невозможно создать абсолютно  надежную систему безопасности —  в основном из-за того, что постоянно  разрабатываются новые виды реализации угроз, которым система не сможет противостоять, а также из-за того, что эффективность системы защиты зависит от обслуживающего персонала, а человеку свойственно ошибаться. Угрозы используют существующие и появляющиеся (с выходом новых версий) уязвимости операционных систем, программного обеспечения, баз данных, телекоммуникационного  оборудования и программ. Стоимость  преодоления защиты должна быть больше стоимости достигаемого эффекта  при ее успешном преодолении, при  этом надо отметить, что со временем информация теряет свою ценность. В  любом случае стоимость средств  обеспечения безопасности должна соответствовать  риску и прибыли для той  среды, в которой работает банк.

Необходимо защищать все  субъекты и объекты банковской информационной вычислительной сети (ИВС) от возможного ущерба: ошибок персонала, сбоев в  программном и аппаратном обеспечении, преднамеренных действий злоумышленников, вторжений на территорию банка, его  отделений и филиалов. Обеспечение  безопасности банкоматов и автоматизированных офисов банковского обслуживания требует  отдельного расмотрения.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

• Законодательная, нормативно-правовая и научная база.
• Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
• Организационно-технические и режимные меры и методы (Политика информационной безопасности).
• Программно-технические способы и средства обеспечения информационной безопасности.
• Аналитическая составляющая (сбор сведений о конкурентах, рынке, регионе и т. п.);
• Психологическая составляющая (мероприятия с сотрудниками).

3.3.Разработка политики безопасности

Политика информационной безопасности служит основой для  внедрения средств обеспечения  безопасности, что способствует уменьшению числа уязвимых мест и, как следствие, риска для бизнеса.

Каждый сетевой администратор  должен вести учет информационных систем в его зоне ответственности. Это  обеспечивает защиту всех информационных ценностей и быстрое восстановление после инцидента. Список должен включать в себя всю вычислительную технику  и телекоммуникационную аппаратуру, программы, электронные документы, базы данных.

Должны быть выделены критические  приложения, от успешности функционирования которых зависит выполнение банком своего назначения. Примерами критических  приложений могут служить платежные  системы, биллинговые и т. д. Большинство  критических приложений сейчас требуют  связи с Интернетом, обеспечение  их безопасности — приоритетное направление  политики. Требуется включение курсов по информационной безопасности в программы  переподготовки кадров для использования  подобных приложений.

Необходимо определить границы  ответственности и отчетности при  претворении в жизнь политики. Определяется (классифицируется) круг лиц в банке, к которым она  применяется, распределяется ответственность  за реализацию (исполнение) политики безопасности.

Каждое должностное лицо и служащий банка, администрирующий или использующий информационно-вычислительные ресурсы банка, отвечает за строгое  соблюдение политики. Каждый сотрудник  обязан сообщать о подозреваемых  или реальных уязвимых местах в безопасности своему непосредственному начальнику.

Сетевые ресурсы банка  существуют лишь для того, чтобы  поддерживать деятельность финансовой организации.

Начальники подразделений  принимают решения о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том  случае, если при этом повышается эффективность  работы данного сотрудника.