Проблемы безопасности банковских операций (на примере КБ «Сбербанк России»)

     По  данной таблице можно сделать  следующие выводы, что активы банка значительно выросли по отношению 2008 – 2010г. на 28,1%. Так же выросли такие показатели, как средства клиентов на 38,71%, вклады частных лиц на 7,96% и средства юридических лиц на 7,96%. Это говорит о том, что клиенты банка доверяют «Сбербанку» и с каждым годом всё больше вкладывают, а так же появляются новые клиенты.

     Кризисные явления в российской и мировой  экономике сопровождались существенным ростом кредитных рисков. Доля просроченной задолженности в кредитном портфеле юридических лиц по банковской системе  за 2009 год возросла с 2,1 до 5,9%, в портфеле физических лиц -- с 3,7 до 6,8%. Отношение  объема созданных резервов к кредитному портфелю возросло в 2 раза -- с 5,1 до 10,3%. Увеличение расходов на формирование резервов стало главным фактором существенного снижения прибыльности банковской системы по итогам 2009 года.

     Таблица 2. Основные показатели отчёта о прибылях и убытках «Сбербанка»

     Из  данной таблицы можно сделать  следующие выводы, что прибыль до уплаты налогов из прибыли банковского сектора 2009г. уменьшилась в 4 раза по сравнению с 2008 годом, но в 2010г. значительно увеличилась на 670,61%  по сравнению с 2009г. 

     Чистая  прибыль Группы Сбербанка России в 2009 году составила 24,4 млрд. руб., что в 4 раза меньше чистой прибыли 2008 года (97,7 млрд. руб.), а вот в 2010г. чистая прибыль составила 181,6 млрд. руб. на 644,58% больше чем в 2009г.  

2.2 Угрозы  безопасности Сбербанка и деятельность  службы безопасности. 

     Характеристика  потенциальных угроз на примере  Сбербанка России:

1. Случайные  угрозы (стихийные бедствия, сбои  и отказы, ошибки пользователей) - Этим угрозам подвержены все  отделы, т.к от стихийных бедствий, сбоев, ошибок никто не застрахован.

2. Преднамеренные  угрозы

2.1 Традиционный  шпионаж и диверсии - Здесь угрозам  подвержены такие отделы как:  Финансовый отдел, Отдел автоматизации,  Коммерческий отдел. Шпионаж поможет злоумышленнику узнать как устроен банк для того чтобы организовать ограбление.

2.2. Несанкционированный  доступ к информации - Тут в  основном угрожает Отделу автоматизации.  Злоумышленник, взломав КС банка,  может получить много ему полезной  информации. Узнав, эту информация  под угрозой могут быть и  все остальные отделы.

2.3 Электромагнитные  излучения и наводки - Также  угроза для Отдела автоматизации.

2.4 Несанкционированная  модификация структур - Также угроза  для Отдела автоматизации.

2.5 Вредительские  программы - Также угроза для  Отдела автоматизации. И из  этого вытекает угроза для  всех остальных отделов.

Модели  злоумышленников.

     Хакер - Это опытный пользователь ПК, который  взломав КС банка может использовать юту информацию в своих целях  либо продать ее иному лицу. Он представляет большую угрозу Отделу автоматизации. Он также может, взломав КС перевести  деньги на свой счет.

     Сотрудник банка - Он тоже может предоставлять  большую угрозу банку т.к он вращается  в этой сфере и как никто  другой знает как что устроено. Также это может быть бывший сотрудник  потому что он тоже знает устройство банка, особенно если это бывший сотрудник  Отдела автоматизации т.к он знает  как устроена КС банка.

     Разработчик КС - т.к он знает как устроена КС которую он разрабатывал.

     Организация антивирусной защиты информации в «Сбербанке».

     Цель  и задачи организации антивирусной защиты информации.

     Организация антивирусной защиты информации в «Сбербанке»  направлена на предотвращение заражения  информационно-вычислительных ресурсов автоматизированных систем банка программными вирусами.

     Защита  информации от воздействия программных  вирусов на объектах информатизации «Сбербанка» осуществляется посредством  применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учетом следующих требований:

· обязательный входной контроль на отсутствие программных  вирусов всех поступающих на объект информатизации машинных носителей  информации, информационных массивов, программных средств общего и  специального назначения;

· периодическая  проверка пользователями жестких магнитных  дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе гибких магнитных дисков перед началом работы с ними на отсутствие программных вирусов;

· внеплановая  проверка магнитных носителей информации на отсутствие программных вирусов  в случае подозрения на наличие программного вируса;

· восстановление работоспособности программных  средств и информационных массивов в случае их повреждения программными вирусами.

     Порядок применения средств антивирусной защиты, учитывающий особенности объекта  информатизации «Сбербанка» и выполняемых  на данном объекте работ, определяется инструкцией по антивирусной защите информации. В разделе должны быть определены:

· должностные  лица, ответственные за получение, рассылку, установку, поддержание в работоспособном  состоянии и использование средств  антивирусной защиты;

· должностные  лица, осуществляющие контроль за организацией антивирусной защиты;

· порядок  установки и применения средств  антивирусной защиты

· порядок  ликвидации последствий воздействий  программных вирусов.

     Состояние вопросов антивирусной защиты отражается в отчете о состоянии обеспечения  информационной безопасности в «Сбербанке»  с обязательным указанием выявленных нарушений, вызванных заражением программными вирусами, описанием причин появления вирусов, характера и последствий их воздействия и принятых мерах.

     Организационная структура системы антивирусной защиты информации в «Сбербанке».

     Общее руководство и контроль за организацией и обеспечением антивирусной защиты информации в «Сбербанке» осуществляет Администратор.

     Разграничение полномочий и ответственность за организацию антивирусной защиты информации

     На  Администратора возлагается:

· разработка проектов нормативных документов по организации антивирусной защиты информации;

· обобщение  заявок от Начальника ОА на средства антивирусной защиты, организация заказа и закупки  средств антивирусной защиты информации;

· контроль состояния антивирусной защиты информации в «Сбербанке»;

· анализ состояния работы по антивирусной защите информации и выработка предложений  по ее совершенствованию;

· участие  в проведении расследований по фактам заражения компьютерными вирусами в автоматизированных системах «Сбербанке» .

     На  Администратора возлагается:

· участие  в разработке проектов нормативных  документов по организации антивирусной защиты информации;

· закупка  средств антивирусной защиты информации на основании решений Руководства;

· обеспечение  внедрения средств антивирусной защиты информации в локальных вычислительных сетях подразделений банка;

· доведение  до работоспособности средств антивирусной защиты информации;

· организация  обновления баз данных средств антивирусной защиты информации;

· участие  в проведении расследований по фактам заражения компьютерными вирусами в автоматизированных системах «Сбербанке».

     Операционный  риск

     Управление  операционным риском осуществляется Банком в соответствии с рекомендациями Банка России и определяется Политикой  Сбербанка России по управлению операционными  рисками. Политика направлена на предупреждение и снижение потерь, обусловленных  несовершенством внутренних процессов, сбоями и ошибками функционирования информационных систем, действиями персонала, а также воздействием внешних  факторов.

     В целях предупреждения и снижения потерь Банк всесторонне регламентирует бизнес-процессы; разделяет полномочия; ведет внутренний контроль совершения сделок и лимитной дисциплины; принимает  меры для информационной безопасности; совершенствует процедуры аудита и  контроля автоматизированных систем и  аппаратных средств; страхует имущество  и активы; повышает квалификацию сотрудников  всех уровней и т.д.

     В Банке проводится ежеквартальный опрос  подразделений, включающий элементы самооценки. Опрос сопровождается разъяснительной  работой и консультациями по управлению операционным риском. Подразделения, являясь  владельцами и непосредственными  участниками бизнес-процессов, могут  выделить и реализованные, и потенциальные  риски, а также проинформировать о рисках, в управлении которыми возникают сложности.

     В 2009 году Банк продолжил работу по сбору  и систематизации информации о реализованных  рисковых событиях, формированию внутренней базы данных об операционных рисках и  понесенных потерях, доработке программного обеспечения.

     В период формирования базы данных оценка, прогноз и мониторинг уровня операционного  риска производятся с использованием базового индикативного подхода, рекомендуемого Базельским комитетом по банковскому  надзору, на основе данных отчета о  прибылях и убытках с использованием экспертных оценок. Текущий уровень  операционного риска в Сбербанке  оценивается как приемлемый. 
 

2.3 Стратегия обеспечения безопасности Сбербанка России по ее основным операциям

     Концепция адекватного ответа является характерной  стратегией Сбербанка России. Данная концепция является логическим следствием ранее избранной банком стратегии  ограниченного роста и вытекающей из нее наступательной конкурентной стратегии. Она предполагает возможность  использования службой безопасности всего комплекса легитимных методов  профилактики и отражения потенциальных  угроз. В порядке исключения допускается  использование и не полностью  легитимных методов, но лишь в отношении  тех конкурентов или иных источников угроз, которые первыми применили  подобные методы против конкретного  банка.

     Вариант является компромиссом между первой и второй концепциями, смягчая их радикальные недостатки (однако, не позволяя в пол ной мере использовать и достоинства). В современных  условиях применяется большинством кредитно-финансовых организаций.