Перспектива совершенствования систем информационной безопасности коммерческого банка.

ВВЕДЕНИЕ
1.Теоретические основы финансовой безопасности банков
1.1.Финансовая безопасность коммерческих банков: сущность, функции, рейтинги
2. Структуризация подходов к информационной безопасности
2.1. Построение защиты банковских автоматизированных систем
2.2. Обеспечение безопасности сетей
2.2. Человеческий фактор в обеспечении безопасности
3. Пути совершенствования информационной безопасности Внешэкономбанка
3.1. Организационно-правовой статус Внешэкономбанка
3.2. Программы реализации политики совершенствования информационно-технологической деятельности Внешэкономбанка
3.3.Методы совершенствования информационной безопасностью
Заключение
Литература

ВЭБ, действующий в последние 15 лет в рамках нестандартной юридической ситуации, в ходе трансформации в Банк развития лишится права работать с внешним долгом и пенсионными накоплениями граждан, но получит возможность управлять средствами инвестфонда.
О том, что в России создается банк развития с капиталом $2,5 млрд, в начале года заявил президент Владимир Путин. Чиновники уже не раз говорили, что такой банк будет создан на базе Внешэкономбанка СССР. До сих пор ВЭБ находился в уникальной ситуации: он является банком без лицензии Банка России. Эту лицензию ЦБ выдать не может, поскольку ВЭБ не удовлетворяет его нормативам из-за находящихся на балансе банка долгов и активов СССР. Правительство не раз пыталось решить эту юридическую коллизию — то за счет слияния ВЭБа с Росэксимбанком или Внешторгбанком, то за счет создания на его базе долгового агентства, однако всякий раз безуспешно. Однако руководителю Минэкономразвития (МЭРТ) Герману Грефу, похоже, удалось найти выход из ситуации — в пятницу глава МЭРТа заявил, что министерство внесло в правительство законопроект «О Банке развития», который будет создан на базе ВЭБа.
Внешэкономбанк СССР — один из крупнейших российских банков. На его балансе находятся российские внешние долги на десятки миллиардов долларов. В 2005 году объем международных платежей через ВЭБ составил $15 млрд. Собственные средства на конец прошлого года — 15,895 млрд руб., чистая прибыль — 5,59 млрд руб. Уставный капитал — 1 млн руб.
Согласно документу, Банк развития будет создан путем реорганизации ВЭБа с внесением акций Росэксимбанка (94,6% акций принадлежит ВЭБу) и Российского банка развития (100% принадлежит государству) в момент формирования уставного капитала, который должен составить 70 млрд руб. По словам господина Грефа, внесенный «с разногласиями» законопроект будет рассмотрен на заседании правительства 7 декабря. Как ожидается, законопроект будет внесен в Госдуму до 15 декабря и может быть принят уже в ходе весенней сессии.
В свою очередь, начальник департамента по корпоративному управлению МЭРТа Анна Попова, отвечавшая за непосредственную подготовку документа, прояснила суть разногласий МЭРТа с Минфином и ФСФР. По ее словам, Минфин не согласен со сроками выделения из Банка развития долгового агентства. МЭРТ намерен сохранить за Банком развития функцию долгового агентства до 1 января 2008 года, а Минфин предлагает эти сроки не фиксировать. Как считают в МЭРТе, за этот переходный период можно было бы принять решение и сформировать агентство по управлению внешним долгом. «Мы считаем, что это может быть вновь созданное образование в виде ФГУПа либо госоргана, в какой форме — пока еще непонятно»,— сообщила госпожа Попова.
Возражает Минфин и против предложенной МЭРТом субсидиарной ответственности по займам банка и государства. По словам госпожи Поповой, Минфин выступает за госгарантии по этим займам. Еще один камень преткновения — организационно-правовая форма нового банка. «Минфин просит пояснить, почему Банку развития придана правовая форма госкорпорации»,— пояснила она, уточнив, что Минфин предлагает для него другую правовую форму — АО. Есть разногласия с Минфином и по количественному составу наблюдательного совета (Минфин предлагает расширить его с девяти человек до тринадцати).
В свою очередь, ФСФР возражает против того, что Банк развития, не имея лицензии на проведение операций с ценными бумагами, будет их осуществлять. «Мы считаем, что у Банка развития не должно быть лицензии на проведение операций с ценными бумагами»,— сказала Анна Попова. Банк, по ее словам, должен инвестировать свободные средства через профессиональных участников рынка. Кроме того, ФСФР возражает против того, чтобы Банк развития имел право участвовать в IPO российских компаний в качестве андеррайтера — организатора покупки акций (эту функцию обычно берут на себя инвестбанки).
Судя по всему, в ходе трансформации в Банк развития ВЭБ утратит и право работать с пенсионными накоплениями. «По умолчанию эта функция у Банка развития не остается»,— сообщила госпожа Попова. Напомним, что на сегодняшний день под управлением ВЭБа находится 250 млрд руб., которые являются накопительной частью пенсии так называемых молчунов — лиц, не заявивших о своих предпочтениях в управлении накопительной частью пенсии. Впрочем, председатель ВЭБа Владимир Дмитриев не слишком расстраивается из-за того, что теряет эти средства. Во-первых, Банк развития, по его словам, сохранит эту функцию «на переходный период», сроки которого пока не определены.
В пятницу Герман Греф пообещал, что к концу 2007 года инвестиционный фонд будет передан в управление Банку развития. По его словам, то, что сегодня инвестфондом управляет МЭРТ, «методологически неправильно». «Это чисто проектное финансирование, и чиновники не должны этим заниматься»,— заявил министр. Учитывая, что в 2007 году размер инвестфонда составит около 200 млрд руб., ВЭБ практически ничего не потеряет, даже если лишится пенсий «молчунов». В свою очередь, Владимир Дмитриев заявил, что в законопроекте о создании Банка развития не предусмотрена норма о передаче ему функции управления инвестфондом. Впрочем, скорее всего, передача в Банк развития управления Инвестфондом все же произойдет — во многом речь идет о компенсации ВЭБу его потерь от предстоящей реорганизации и потери части доходов.
3.2. Программы реализации политики совершенствования информационно-технологической деятельности Внешэкономбанка
Внешэкономбанк и консалтинговая компания IT Expert информируют об успешном ходе выполнения двухгодичной Программы реализации политики совершенствования информационно-технологической деятельности Внешэкономбанка.
В рамках программы во Внешэкономбанке создается система управления ИТ-деятельностью, которая рассматривается как неотъемлемая часть системы управления банком. По итогам первого года работ с использованием современных подходов созданы ключевые процессы системы управления, и Внешэкономбанк получил практические результаты от их использования.
Внешэкономбанк рассматривает развитие информационно-технологической (ИТ) инфраструктуры в качестве непременного условия поддержания банковских технологий на современном уровне, в том числе обеспечения решения задач по внедрению новых видов банковских услуг, повышения качества предоставляемых услуг, производительности и надежности осуществляемых Банком операций, снижению операционных рисков. Существующая ИТ инфраструктура сформирована с использованием современных технологий и в целом удовлетворяет текущим потребностям Банка. Дальнейшее ее совершенствование взаимоувязано с решением стратегической задачи организации системы управления ИТ-деятельностью на качественно новом уровне, необходимом для обеспечения постоянной готовности Банка к решению новых задач.  
29 ноября 2006 года Совет директоров Внешэкономбанка одобрил ход выполнения Программы реализации политики совершенствования информационно-технологической деятельности Внешэкономбанка.
Политика, реализуемая программой, определяет намерение Внешэкономбанка создать систему управления ИТ-деятельностью, которая будет обеспечивать уверенность в постоянной согласованности информационных технологий и требований к ним Банка в условиях их непрерывного развития. Банк создает систему управления в рамках методологии ITSM (IT Service management – управление ИТ-услугами), используя процессные модели управления, предлагаемые государственными стандартами менеджмента качества и библиотекой лучшего мирового опыта ITIL (Information Technology Infrastructure Library).
Проект программы был подготовлен Внешэкономбанком совместно с компанией IT Expert, которая в последствии была выбрана в качестве стратегического партнера по ее реализации.
Программа определяет перечень и порядок выполнения в Банке организационных проектов, направленных на разработку пятнадцати процессов создаваемой системы управления. Все проекты Внешэкономбанк планирует завершить в течение двух лет до конца 2007 года. На настоящий момент в соответствии с планами завершена разработка пяти процессов управления (управление доступностью ИТ-услуг, управление инцидентами, управление уровнями ИТ-услуг, управление информационной безопасностью, управление ИТ-финансами), еще два процесса управления находятся в стадии проектирования.
Утвержденные Внешэкономбанком положения о процессах управления и мероприятия по их внедрению обеспечивают переход системы управления ИТ-услугами к более высокому уровню зрелости, когда процессы стандартизированы, документированы, доведены до персонала, обеспечивается их мониторинг и непрерывное совершенствование на основе измеряемых показателей деятельности процессов. В числе практических результатов следует отметить: повышение качества поддержки пользователей ИТ-услуг, утверждение в Банке соглашений об уровне услуг для всех критических ИТ-систем, переход от разработки ИТ-систем к созданию ИТ- услуг. Кроме того, осуществлена  интеграция в создаваемую систему управления требований стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации, разработана классификация, которая позволяет соотнести все затраты на информационные технологии с потребностями Банка в ИТ-услугах.
Чашкин Валерий Николаевич, Директор Департамента информационно-технологических систем Внешэкономбанка: «В 2005 году Совет директоров утвердил своими решениями "Политику совершенствования ИТ-деятельности Внешэкономбанка" и программу ее реализации. Благодаря этим решениям, Банк приступил к внедрению наиболее современного подхода к управлению информационными технологиями. Реализация программы - это планомерная деятельность Банка, где эффект, как мы убедились на практике,  дает каждый шаг. Системный подход на основе методологии ITSM к управлению ИТ-деятельностью позволит Внешэкономбанку комплексно решить вопросы соответствия требованиям регулирующих органов в части управления технологическими рисками, организации внутреннего контроля за автоматизированными системами и техническими средствами, информационной безопасности, обеспечит текущие и будущие потребности Банка в информационных технологиях».
Ямов Сергей Игоревич, Директор по ИТ-консалтингу IT Expert «Эта программа уникальна своей системностью и комплексным подходом. Успешное ее выполнение в такие сжатые сроки и получение практических достижений уже в ходе ее реализации возможны за счет зрелости управления информационными технологиями в Банке, привлечения экспертов для разработки процессов управления и удержания целостности работ, а также благодаря пониманию и поддержке работ со стороны руководства Банка».
О создаваемой системе управления ИТ деятельностью
Система управления ИТ-деятельностью определяется структурой в составе пятнадцати процессов управления и принципиальной схемой их взаимодействия.
Система рассматривает ИТ-деятельность как деятельность по созданию и предоставлению ИТ-услуг, соответствующих потребностям бизнеса, при этом основными характеристиками ИТ- услуг признаются функциональность, доступность, мощность, безопасность, непрерывность и стоимость.
В системе выделены в отдельные подсистемы:
процессы жизненного цикла ИТ-услуг;
процессы подготовки и принятия решений, обеспечивающие  качество ИТ-услуг «по способу производства», путем совершенствования  процессов жизненного цикла;
процесс управления изменениями ИТ-услуг, обеспечивающий результативность и эффективность принимаемых решений и снижение риска негативных последствий планируемых изменений;
процесс управления конфигурациями, который регулирует среду информационного взаимодействия процессов.
Структура системы управления ИТ была создана в 2004 году при подготовке Политики, более детально система управления была проработана при формировании Программы, при этом использовались рекомендации библиотеки ITIL, стандартов ИСО 9000, BS 15000 и CobiT.
3.3.Методы совершенствования информационной безопасностью
Согласно Программы совершенствования информационной безопасности разработаны следующие меры:
1.Выработка отвечающей стратегическому плану развития банка ИТ стратегии, а также определение потребностей в програмном обеспечении
2.Подготовка проекта инструкций по информационной безопасности
3.Подготовка проекта инструкций по системе резервного копирования (backup systems) в банке
4.Определение ИТ структуры
5.Создание ИТ структуры
6.Подготовка должностных инструкций ИТ сотрудников
7.Создание и установка програмного обеспечения по модулю Информационных Систем Менеджмента (MIS) по управлению активами/пассивами
8.Создание и установка интранета
9.Консалтинг по становлению ИТ систем
Консалтинговые услуги дают возможность достичь следующих результатов:
1.В банке существует ИТ стратегия, отвечающая стратегическому плану развития банка
2.В банке создана система информационной безопасности
3.В банке создана система резервного копирования (backup systems)
4.В банке создана адекватная система ИТ
5.Имеются информационные потоки по движению активов/пассивов для лучшего управления ликвидностью, что позволяет принимать правильные решения
6.На всех рабочих местах установлена сеть интранет и существует внутренняя система обмена данными.
В условиях повышенных требований к надежности, безопасности и скорости передачи данных в банковских корпоративных сетях используется самое современное телекоммуникационное оборудование и передовые технологии.
Характерно использование интегрированной передачи информации. При работе с сетью банкоматов применяют сети X.25. Для связи с удаленными отделениями характерно использование сетей с топологией "звезда". При этом для их построения часто используются сети общего назначения или специализированные национальные банковские сети (в российских условиях до недавнего времени широко применялась связь по сети Relcom).
В России к сожалению системы национальных телекоммуникаций развиты слабо. В основном используется морально устаревшее оборудование. Поэтому банкам приходится вкладывать средства в построение своих собственных систем связи.
Заключение
Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.
Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:
1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.
2. Она затрагивает интересы большого количества организаций и отдельных лиц.
Поэтому информационная безопасность банка — критически важное условие его существования.
В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:
- усиления конкуренции между банками;
- необходимости сокращения времени на производство расчетов;
- необходимости улучшать сервис.
В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.
Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.
Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.
В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.
Литература
Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. — СПБ: Питер, 2002 г.
Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2003 г.
Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2002 г.
Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 1996 г.
Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. — М: НИТ, 1998 г.
Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 1997 г.
Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. — СПБ: Питер, 2001 г.
 Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. — Открытые системы, 2002 г., №6.
  Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. — СУБД, 2003 г., №4.
  Мур Г. Глобальный информационный рынок. — Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.
Грунин О.А., Грунин СО. Экономическая безопасность организации. — СПб.: ПИТЕР,2002. С.8
Экономическая безопасность Российской Федерации: В 2-х томах. Т. 1. - М.: 2002. - С.112
Государственное регулирование рыночной экономикой: Учебник / Под ред. В.И. Кушлина, Н.А. Лисова. - М.: Экономика, 2000. - С. 318-319
Новиков Г.В. Финансовая безопасность в системе национальной безопасности страны: Автореферат дис__канд. экон. наук. - М., 2001. - С. 10
Бурцев В.В. Государственный финансовый контроль и финансовая безопасность // Аудиторские ведомости. - 2001. - № 9. - С. 7.
Экономическая безопасность Российской Федерации: В 2-х томах. Т. 1. - М.: 2002. - С.52
Экономическая безопасность Российской Федерации: В 2-х томах. Т. 1. - М.: 2002. - С.54
Экономическая безопасность Российской Федерации: В 2-х томах. Т. 1. - М.: 2002. - С.55
Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. — СПБ: Питер, 2003 г, стр.74.
Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. — СПБ: Питер, 2003 г, стр.75.
Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. — Банковские технологии, 2001 г. №1.
Мур Г. Глобальный информационный рынок. — Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.
Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 1997 г., стр71.
Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2001 г., стр.176.
Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2002 г,стр118
Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2002 г, стр119
Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2002 г, стр121
Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2002г.,стр 35.
Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. — СПБ: Питер, 1998 г. Стр.61.
Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 2003 г., стр.47.
http://www.veb.ru/ru/
http://www.banki.ru/news/bankpress/?id=236243

http://erpnews.ru/details.php?image_id=1503
http://www.abtc.az/ru/index.php?stype=consult&slevel=2&sid=6
2