Информационная безопасность и ее роль в предупреждении преступлений и мошенничеств в коммерческом банке

ВЕДЕНИЕ 3
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОРГАНИЗАЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОММЕРЧЕСКОМ БАНКЕ 5
Параграф 1. Понятие и виды информационной безопасности банка 5
Параграф 2. Модели информационной безопасности 17
Параграф 3. Система менеджмента информационной безопасности 25
ГЛАВА 2. ОСНОВЫ ПРЕДУПРЕЖДЕНИЯ ПРЕСТУПЛЕНИЙ И МОШЕННИЧЕСТВ В КОММЕРЧЕСКОМ БАНКЕ 30
Параграф 1. Нормативно-правовое регулирование преступлений и мошенничеств, совершаемых в коммерческом банке 30
Параграф 2. Состояние, структура и динамика преступлений, совершаемых в сфере банковской деятельности 33
Параграф 3. Меры борьбы с преступлениями, совершаемыми в сфере банковской деятельности 45
ГЛАВА 3. АНАЛИЗ СОСТОЯНИЯ И СОВЕРШЕНСТВОВАНИЕ ОРГАНИЗАЦИИ ИБ В ОАО «СБЕРБАНК» ПО ПРЕДУПРЕЖДЕНИЮ ПРЕСТУПЛЕНИЙ И МОШЕННИЧЕСТВА 49
Параграф 1. Общая характеристика 49
Параграф 2. Анализ организации ИБ 68
Параграф 3. Направления совершенствования ИБ 77
ЗАКЛЮЧЕНИЕ 83
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 86
ПРИЛОЖЕНИЯ 93
Приложение 5 97
Приложение 6 102

За антивирус отдали голоса 22,9% респондентов.Респондентами отдельно была отмечена опасность низкоуровневых DDOS-атак.Согласно исследованию, планы организации по наращиванию систем информационной безопасности в ближайшие три года, по мнению различных сотрудников, выглядит следующим образом. Часть респондентов заявила, что у них нет никаких планов, часть, что секретная информация не предвидится и «к тому, что есть, не требуется особых дополнений»: а) система защиты от утечек – 11 %; б) шифрование данных при хранении – 14 %; в) системы контроля идентификации и доступа – 19 %; г) ИТ-системы физической безопасности – 9 %; д) защита от внешних вторжений (IDS/IPS) – 19 %; е) система резервного копирования – 19 %. Интересным показалось предложение поменять бухгалтера.Рис. 3.6 Планы организации по наращиванию систем информационной безопасностиРоссийские и международные ГОСТы, предъявляющие требования к управлению документами и построению систем защиты информации, позволяют классифицировать риски электронных систем следующим образом: защита от несанкционированного доступа утечки информации, защита от физической порчи, утраты, защита от изменений, защита от не правильного использования, защита от невозможности использования. Каждый из этих рисков имеет цену. В сумме они могут составить цифру, способную разорить любую организацию.Возможность пользоваться с работы электронной почтой относится к организационным мерам информационной защиты: а) только корпоративной почтой (внутри организации) – 19 %; б) только корпоративной почтой (в том числе переписываться с внешними абонентами) – 31 %; в) почтовыми ящиками любых сайтов – 44 %; г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места – 6 %.Перлюстрация – тайное вскрытие и просмотр пересылаемой по почте корреспонденции. Фактически – предупреждение различных преступных деяний. В исследуемых организациях перлюстрация – это: а) нормальная практика – 19%; б) нарушение прав человека – 60 %; в) бесполезное занятие – 21 %.При изучении принципов защиты информации также исследовались права пользователей. Так, доступ в Интернет в организации: а) свободный для всех без ограничений по ресурсам – 29 %; б) свободный за исключением некоторых сайтов – 29 %; в) разрешен только руководителям и некоторым специалистам – 42 %. Дело в том, что путешествие по сети Интернет может привести к заражению компьютера вредоносным программным обеспечением (ПО). Ограничение прав пользователей способно ограничить риск заражения.Рис. 3.7. Права сотрудников организации на доступ в ИнтернетТелефонные разговоры по личным вопросам на работе. Их ограничение сокращает утечку коммерческой информации. Итог: телефонные разговоры а) запрещены и контролируются – 8 %; б) запрещены и не контролируются – 58 %; в) не ограничены – 34 %.Брать работу на дом (практически означает выносить защищаемую информацию за пределы организации, что, конечно, не способствует повышению уровня безопасности: а) невозможно – 29 %; б) обычная практика – 47 %; в) запрещено формально – 34 %.Величина организации определяет необходимость образования должности специалиста по информационной безопасности или отдельного структурного подразделения информационной защиты. Возможно, целесообразно обратиться в организацию, занимающуюся вопросами информационной защиты. Личное отношение к ограничениям, связанным с обеспечением информационной безопасности – опять же, субъективная оценка, показывающая отношение к защите информации – принятие-непринятие установленных мер, привычка. Личное отношение к ограничениям: а) несущественны – 36 %; б) неприятно, но терпимо – 20 %; в) причиняют значительные неудобства, и при этом часто бессмысленны – 0 %; г) причиняют значительные неудобства, но без этого не обойтись – 18 %; д) у меня нет никаких ограничений – 26 %.Рис. 3.8. Личное отношение к ограничениям, связанным с обеспечением информационной безопасностиПри формировании системы информационной защиты необходимо учитывать специфику каждой отдельной организации. Для каждого случая надо формировать свой комплекс мер по защите от подделки. Стоимость производства документа должна оправдывать экономический эффект от мероприятия. Также как доход от производства подделки должен превышать затраты на его изготовление. Следует ограничивать документы по периодам обращения: новый дизайн бланков, новые логотипы и прочие ротационные изменения могут предупредить часть подделок. В зависимости от применяемых технологий защиты следует определиться, целесообразно ли применения программно-аппаратного комплекса защиты, обеспечивающего диагностику подлинности экземпляра выбранного документа. Новые алгоритмы сравнения изображений в дополнение к комбинации компонентов программного продукта способны определить подлинность документа.Прежде всего, необходимо разработать и утвердить организационные документы, закрепляющие порядок работы сотрудников с документами, подлежащими защите. Например, инструкцию деятельности специалиста по обеспечению информационной безопасности. Для этого необходимо составить перечень документов, подлежащих защите, идентифицировать угроз безопасности, оценить риски, т.е. провести аудит информационной безопасности.На основе собранной в процессе аудита безопасности информации разрабатывается проект инструкции деятельности специалиста по обеспечению информационной безопасности. Для этого может быть использован типовой проект инструкции деятельности специалиста по обеспечению информационной безопасности, с адаптацией его к специфическим особенностям организации.После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе. По итогам проведенного исследования можно сделать следующие выводы:Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.Документы, представляющие наибольший интерес для злоумышленников – договоры, документы, содержащие персональные данные.Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.Организация характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.Параграф 3. Направления совершенствования ИБРазработаем должностную инструкцию специалиста по информационной безопасности в ОАО «Сбербанк»», поскольку до сих пор такой инструкции на предприятии не существовало по причине недавнего внедрения данной должности в штатном расписании предприятия. Разработанная инструкция представлена в приложении 3.В разделе «Общие положения» следует указать, что должностная инструкция устанавливает направления деятельности, должностные обязанности, права, ответственность и взаимоотношения по информационной безопасности в ОАО «Сбербанк»».Специалист по информационной безопасности в ОАО «Сбербанк»» находится в непосредственном подчинении у начальника Отдела ИТ ОАО «Сбербанк»».Прием, назначение и освобождение от занимаемой должности Специалиста производится Приказом директора ОАО «Сбербанк»».В своей деятельности Специалист по информационной безопасности в ОАО «Сбербанк»»руководствуется следующими документами:- Законодательством Российской Федерации;- Уставом ОАО «Сбербанк»»;- Перспективным планом развития ОАО «Сбербанк»»;- Приказами, распоряжениями и указаниями Генерального директора ОАО «Сбербанк»»;- Правилами внутреннего трудового распорядка ОАО «Сбербанк»»;- Рабочими Регламентами, регламентирующими реализацию основных функций Управления информационных технологий и Отдела ИТ ОАО «Сбербанк»»;- Инструкцией по ведению делопроизводства ОАО «Сбербанк»»;- Положением об Управлении информационных технологий ОАО «Сбербанк»»;- Должностной инструкцией.Специалист должен знать и использовать в своей работе:- Базовые сетевые технологии;- Операционные системы семейства Windows;- Принципы построения информационных систем;- Принципы построения систем связи;- Правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.Специалист по информационной безопасности в ОАО «Сбербанк»» должен обладать следующими навыками:- Использования ПК и прикладных программ;- Технической поддержки пользователей;- Ремонт и обслуживание компьютерной и оргтехники.На должность Специалист по информационной безопасности в ОАО «Сбербанк»» назначается лицо имеющее стаж работы в области компьютерных информационных технологий не менее 1 года.II. Должностные обязанностиВыполнять текущие и перспективные задачи Отдела ИТ.Осуществлять оперативную поддержку пользователей.Обеспечивать работоспособность или быструю замену техники пользователей.Разрабатывать предложения по формированию планов перспективного развития Отдела ИТ.Своевременно и качественно выполнять свои должностные обязанности, задач и функций Отдела.При организации работ по технической поддержке структурных подразделений ОАО «Сбербанк»»для обеспечения их эффективной работы в локальной электронной сети Специалист по информационной безопасности в ОАО «Сбербанк»»обязан:- выполнять работы по обслуживанию пользователей локальной электронной сети ОАО «Сбербанк»» в установленном порядке.- Контролировать работу оргтехники общего пользования (принтеры, копировальная техника) и оперативно принимать меры по ее ремонту и снабжению расходными материалами.При организации работ по обеспечению структурных подразделений ОАО «Сбербанк»» необходимой компьютерной, копировально-множительной и другой электронной оргтехникой Специалист по информационной безопасности в ОАО «Сбербанк»» обязан:- выполнять работы по проведению анализа и обобщению потребностей структурных подразделений ОАО «Сбербанк»» в компьютерной, копировально-множительной и другой электронной оргтехнике.- разрабатывать предложения о качестве, количестве, составу и конфигурации техники, необходимой для автоматизации работы структурных подразделений ОАО «Сбербанк»», и вынесение их на рассмотрение руководства Компании.- обеспечить компьютерами и копировально-множительной техникой рабочих мест сотрудников ОАО «Сбербанк»» в установленном порядке.- организовывать выполнение работ по техническому обслуживанию компьютерного оборудования и копировально-множительной техники ОАО «Сбербанк»» в установленном порядке.- выполнять работы по модернизации компьютерного оборудования в установленном порядке.- производить выборочный контроль соблюдения правил эксплуатации пользователями вычислительной, копировально-множительной и другой электронной оргтехники.При организации работ по обеспечению ОАО «Сбербанк»» телефонной и другой электронной связью Специалист по информационной безопасности в ОАО «Сбербанк»» обязан:- оказывать техническую помощь и консультацию филиалам ОАО «Сбербанк»» в организации связи.- Обеспечивать подключение телефонного оборудования конечным пользователям.III. ПраваСпециалист по информационной безопасности в ОАО «Сбербанк»» имеет право:знакомиться с проектами решений руководства ОАО «Сбербанк»», касающимися деятельности Отдела ИТ.Вносить предложения по совершенствованию работы, связанной с обязанностями, предусмотренными Должностной инструкцией.Вносить предложения по разработке документов, регламентирующих деятельность Отдела ИТ, в установленном порядке.Разрабатывать проекты договоров и направлять на утверждение руководству ОАО «Сбербанк»».В случае нарушения правил эксплуатации технических и программных средств ставить вопрос о принятии дисциплинарных и других мер и санкций к виновным лицами;Получать функции и права доступа к информации при работе с корпоративной автоматизированной информационной системой, определенные «Инструкцией по обеспечению сохранности коммерческой тайны».Не выполнять заявки, данные в устной форме без письменного или электронного согласования с начальником Управления информационных технологий.IV. ОтветственностьКонтроль выполнения обязанностей, возложенных данной инструкцией на Специалиста по информационной безопасности в ОАО «Сбербанк»», осуществляет Начальник Отдела ИТ.Наложение дисциплинарных взысканий за некачественное, несвоевременное или недобросовестное выполнение своих обязанностей проводится на основании приказа Генерального директора.В соответствии с распределением прав и обязанностей, установленных Должностной инструкцией, Специалист по информационной безопасности в ОАО «Сбербанк»» несет дисциплинарную ответственность за:- Ненадлежащее или несвоевременное выполнение своих должностных обязанностей, предусмотренных настоящей Должностной инструкцией в пределах, определенных действующим трудовым законодательством;- Совершенные в процессе осуществления своей деятельности правонарушения;- Причинение Компании материального ущерба - в пределах, определенных действующим:трудовым;уголовным;гражданским законодательством;- Невыполнение решений, принятых органами управления ОАО «Сбербанк»» по вопросам, относящимся к компетенции Специалиста по информационной безопасности в ОАО «Сбербанк»»;- Невыполнение поручений и распоряжений Генерального директора и вышестоящего руководства, касающихся деятельности Специалиста по информационной безопасности в ОАО «Сбербанк»»;- Разглашение коммерческой тайны;- Разглашение конфиденциальной информации, которая стала известной в процессе служебной деятельности;- Недостоверность информации, представляемой по запросу руководства ОАО «Сбербанк»», а также по запросам сотрудников других структурных подразделений ОАО «Сбербанк»», за исключением случаев связанных с участием Службы собственной безопасности компании.ЗАКЛЮЧЕНИЕЭкономическая безопасность (финансовая безопасность) представляет собой состояние хозяйствующего субъекта, для которого характерно присутствие стабильного дохода, иных ресурсов, с помощью которых возможно поддержание уровня деятельности организации в настоящей и дальнейшей жизни. Система информационной безопасности состоит из: сохранения платежеспособности, планирования будущих денежных потоков экономического субъекта, безопасность занятости.Факторами информационной безопасности предприятий является: активное участие представителей власти и управления в коммерческой деятельности, использование криминальных структур для воздействия на конкурентов, отсутствие законов, позволяющих в полном объеме противодействовать недобросовестной конкуренции, отсутствие в стране благоприятных условий для проведения научно-технических исследований, отсутствие подробной и объективной информации о субъектах предпринимательской деятельности и об их финансовом положении, отсутствие культуры ведения дел в предпринимательской среде, применение оперативных и технических методов с целью получения нужной информации о конкурентах, применение методов деловой (конкурентной) разведки, применение методов промышленного шпионажа, применение оперативных и технических методов получения информации о конкурентах.Финансовое состояние ОАО «Сбербанк»довольно устойчивое, стабильное. Наблюдается положительная динамика всех основных показателей. Основное направление развития фирмы – повышение конкурентоспособности продукции, завоевание рынка, рост эффективности, финансовой устойчивости и получение максимальной прибыли.ОАО «Сбербанк» можно охарактеризовать как предприятие с высокой степенью стабильности и соответствующим уровнем подготовки квалифицированных работников, обеспеченное всеми необходимыми ресурсами для осуществления своей деятельности. Основная цель функционирования предприятия – повышать эффективность своей деятельности. Компания уверенно расширяет свои производственные и ресурсные возможности, увеличивая тем самым объемы оборотов по выполнению работ и оказанию услуг. По результатам проведенного анализа структуры расходов и доходов можно сделать вывод, что предприятию необходимо придерживаться в развитии производственно-хозяйственной деятельности следующих направлений:- повышать объемы оказания услуг с одновременным снижением себестоимости единицы товара и оказываемых услуг;- снижение затрат на производство продукции должны стоять одним из важнейших направлений перспективного развития предприятия в целях повышения устойчивости и стабильности фирмы;- повышение качества выполнения работ.В процессе исследования было выяснено, что наиболее уязвимым звеном на предприятии является сфера компьютерной информации. В связи с этим было предложено внедрить в организации должность ИТ-специалиста, САДЭД, ИБП, межсетевой экран, антивирус.Также в организации отсутствует организационно-правовой документ, регламентирующий организацию системы информационной безопасности. В связи с чем принято решение разработать такой документ, носящий одновременно организационно-правовой и технический характер.Процесс подделки документа и процесс защиты этого документа несомненно творческий. В этом выражается вечная борьба с преступностью, которая, как известно неискоренима. Естественно, творчество здесь не является самоцелью. Основной задачей является защита документа. Что касается документов на бумажном носителе, то здесь мало что изменилось со времен Киевской Руси, особенно если вспомнить используемый и поныне способ копирования подписи с помощью картофеля. Точно также, как и сотни лет назад, встречаются фальсификации как отдельных реквизитов, так и целиком поддельные документы. Но с появлением электроники этот процесс стал проще. С этим же изобретением связано появление электронных документов, и понятие «подделать» сменил термин «взломать».По итогам проведенного исследования можно сделать следующие выводы: наиболее подвержены атакам злоумышленников документы, содержащие условия отдельных сделок и персональную информацию.Наиболее опасные угрозы информационной безопасности:сбой информационной системы;утечка информации;искажение данных.Наиболее действенными средствами защиты электронных документов является:резервное копирование;организационные меры защиты.ОАО «Сбербанк» характеризуются высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения делается сравнительно немного. С целью совершенствования информационной защиты предприятия было предложено разработать инструкцию специалиста по информационной безопасности, разделами которой будет являться:Общие положения;Должностные обязанности;Права;Ответственность.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВCемёнова М.А., Семёнов В.А. Комплексные решения в области соблюдения мер обеспечения информационной безопасности в банковской сфере // Научно-технический вестник информационных технологий, механики и оптики. 2008. № 51. С. 160-167.Medvedieva I., Pogosova M. Information and methodical support of the bank financial security evaluation // Экономикаразвития. 2013. № 4 (68). С. 76-80.Melnychenko O.V. Audit of bank’s information security when working with electronic money // Проблемыэкономики (Харьков). 2013. № 4. С. 341-347.ZhariyYa., DohtarenkoL. Actualproblemsoffinance-informationsecurityofUkraine // Вестник Черниговского государственного технологического университета. Серия: Экономические науки. 2013. № 1 (64). С. 231-238.0Абасов Н.Д. Организация журнала транзакции OLTP-системы, функционирующего в избыточном модулярном коде // Известия Южного федерального университета. Технические науки. 2014. № 2 (151). С. 231-236.Анализ рисков информационной безопасности в банке / Лекомцева М.В., Нестерова Н.А., Семенов В.А. // Научно-технический вестник информационных технологий, механики и оптики. 2006. № 29. С. 172-174.Безопасность карточного бизнеса. Бизнес-энциклопедия / Алексанов А.К., Демчев И.А., Доронин А.М. // Москва, 2012.Беляйкин Д.В. Кадровая стратегия как один из факторов обеспечения информационной и имущественной безопасности банка // Вопросы экономики и права. 2010. № 30. С. 249-254.Богданова С. Будущее за интеллектуальными «купюрами» // Банковское дело. 2006. № 10. С. 60.Богданова С. Защита информации и технологий -условие стабильности банковской системы // Банковское дело. 2009. № 6. С. 89-93.Губарева О.Ю., Пугин В.В. Современные методики, применяемые для оценки угроз и уязвимостей информационных систем // Инфокоммуникационные технологии. 2013. Т. 11. № 1. С. 100-105.Дубницкий В.Ю., Кобылин А.М. Информационно-аналитическая оценка показателей финансовой безопасности коммерческого банка средствами интервальной математики // Фiнансово-кредитна дiяльнiсть: проблеми теорii та практики. 2013. № 2 (15). С. 219-229.Дурандина А.П. Компьютерные технологии банковской деятельности: учеб. пособие / А.П. Дурандина ; М-во образования и науки Рос. Федерации, С.-Петерб. гос. инженер.-экон. ун-т. СПб., 2004.Дьяконов Б.П. Информационная безопасность в банках // Банковское дело. 2008. № 11. С. 86-89.Ермаков Н.В., Строганов К.В. Система обнаружения атак в сети коммерческого банка на основе REALSECURE // Научно-технический вестник информационных технологий, механики и оптики. 2007. № 44. С. 223-228.Жилина И.Ю. Проблемы информационной безопасности банков. (сводный реферат) // Социальные и гуманитарные науки. Отечественная и зарубежная литература. Серия 2: Экономика. Реферативный журнал. 1995. № 4. С. 85-87.Журлаков Д.Г. О проведении инспекционных проверок коммерческих банков в части использования информационных технологий и обеспечения безопасности // Деньги и кредит. 2007. № 3. С. 43-47.Журлаков Д.Г. Применение IT и их безопасность: опыт инспекционных проверок // Банковское дело. 2008. № 4. С. 34-38.Задорожная И.В. Тенденции развития инфокоммуникационных технологий и способы их защиты в рамках региональной банковской системы // Сервис в России и за рубежом. 2013. № 6 (44). С. 130-135.Захаров А.В. Исследование состояния безопасности веб-сайтов банковской сферы северо-западного федерального округа на основе «легальных» методов анализа защищенности // Научно-технический вестник информационных технологий, механики и оптики. 2007. № 39. С. 96-103.Качко А.К. Построение гибридной защищенной облачной среды как один из подходов к повышению информационной безопасности при использовании облачных сервисов в банках // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2013. № 11-12. С. 64-68.Коломийцев М.В. Анализ политики безопасности информационной системы коммерческого банка // Актуальные проблемы гуманитарных и естественных наук. 2012. № 2. С. 25-29. Костюнина Т.Н. Информационная безопасность кредитно-финансовой сферы / Т. Н. Костюнина ; Междунар. банковский ин-т, Каф. прикладной информатики. Санкт-Петербург, 2008.Кулиева А.Э.К. Вопросы формирования безопасной и устойчивой банковской системы // Международный научный журнал. 2011. № 4. С. 20-24.Курило А.П. Комментарий к рекомендациям в области стандартизации банка России «обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки рисков нарушения информационной безопасности» (рс бр иббс-2.2-2009) // Деньги и кредит. 2010. № 1. С. 3-4.Курило А.П. О новой редакции стандарта банка России «Обеспечение информационной безопасности организаций банковской системы российской федерации. Общие положения» // Деньги и кредит. 2009. № 2. С. 3-7.Курило А.П., Зефиров С.Л. Оценка соответствия информационной безопасности организаций банковской системы РФ требованиям стандарта банка России СТО БР иббс-1.0. Состояние, перспективы, практика // Деньги и кредит. 2006. № 2. С. 36-38.Курило А.П., Толстой А.И. Повышение квалификации специалистов банка России в поддержку внедрения комплекса стандартов банка России «обеспечение информационной безопасности организаций банковской системы российской федерации» // Безопасность информационных технологий. 2008. № 4. С. 24-32.Ларина О.И., Мазурина Т.Ю. Некоторые аспекты создания системы информационной безопасности в банке // Деньги и кредит. 2012. № 7. С. 61-64.Лямин Л.В. Корпоративный стандарт банка России по обеспечению информационной безопасности в банковской системе // Деньги и кредит. 2005. № 8. С. 33-41.Марданов Р.Х., Ильин И.В. Стандарты информационной безопасности в банковской системе // Вестник Уфимского государственного авиационного технического университета. 2013. Т. 17. № 7 (60). С. 55-60.0Миляев П.В. Мошенничество в банковской сфере // Система ценностей современного общества. 2010. № 12. С. 118-122.Модин Е. Актуальные вопросы формирования бюджета информационной безопасности в банках // Аналитический банковский журнал. 2008. № 11-12. С. 72-74.Муравьев Д. Слабое звено // Аналитический банковский журнал. 2008. № 10. С. 82-84.Муфтахетдинова Г.С. Вопросы информационной безопасности в сфере защиты прав потребителей финансовых услуг на региональном уровне: опыт территориального учреждения Центрального банка Российской Федерации // Информационная безопасность регионов. 2012. № 1. С. 120-125.Мытенков С.С. Информационная безопасность банка // Национальные интересы: приоритеты и безопасность. 2006. № 1. С. 68-75.Обеспечение информационной безопасности в Российской Федерации : сб. основных норматив.-правовых док. : Т.5. Требования Банка России в области информационной безопасности : учеб.-метод. пособие / Моск. гос. ун-т им. М. В. Ломоносова, Фак. вычисл. математики и кибернетики ; [сост.: Борисов М. А. и др.] М. : МАКС Пресс, 2010.Полищук С.А. Платежные системы: структурно-качественный анализ // Банковские услуги. 2006. № 11. С. 2-8.Попов С.В. Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов / диссертация на соискание ученой степени кандидата технических наук / ГОУВПО «Тамбовский государственный технический университет». Тамбов, 2012.Попов С.В. Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов // диссертация на соискание ученой степени кандидата технических наук / Тамбовский государственный технический университет. Тамбов, 2012.Попов С.В. Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов // автореферат диссертации на соискание ученой степени кандидата технических наук / Тамбовский государственный технический университет. Тамбов, 2012.Попов С.В., Шамкин В.Н. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе // Научно-технический вестник Поволжья. 2010. № 1. С. 145-148.Попов С.В., Шамкин В.Н.В. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка // Вестник Тамбовского государственного технического университета. 2011. Т. 17. № 2. С. 297-303.Разработка оптимальной стратегии достижения эффективного функционирования системы обеспечения информационной безопасности коммерческого банка / Мирзоахмедов Ф., Ашуров А., Ашуров Х.М. // Вестник университета. 2011. Т. 2. № 2-33. С. 23-27.Ревенков П.В. Электронный банкинг: управление рисками информационной безопасности // Финансы и кредит. 2010. № 9. С. 59-63.Рудакова О.С., Родина Ю.В. Анализ угроз информационной безопасности кредитных организаций // Национальные интересы: приоритеты и безопасность. 2009. № 23. С. 61-67.Советов С. Как обосновать затраты на инфобезопасность // Аналитический банковский журнал. 2008. № 7. С. 78-81.Советов С. Как превратить информационную безопасность в средство достижения целей бизнеса банка? // Аналитический банковский журнал. 2008. № 4. С. 68-72.Солодовников А.Н. Аудит-консалтинг системы информационной безопасности коммерческого банка // Менеджмент качества. 2013. № 3. С. 224-231.Старцева Н.В. К вопросу об уголовно-правовой охране персональных данных клиентов банка // Пробелы в российском законодательстве. 2011. № 4. С. 112-115.Татаринова Л.Ю. Роль организации информационной безопасности в предотвращении рисков в банковской деятельности // Финансы и кредит. 2009. № 30. С. 43-46.Фахрутдинова О. Аудит информационной безопасности в банках // РИСК: Ресурсы, информация, снабжение, конкуренция. 2012. № 3. С. 303-305.Харламов В.П. Вопросы взаимодействия банка россии с кредитными организациями в части выполнения требований информационной безопасности комплекса БР ИББС // Финансовая аналитика: проблемы и решения. 2011. № 19. С. 48-53.Шевяков Д.А., Чиркин Е.С. Политика информационной безопасности банка // Психолого-педагогический журнал Гаудеамус. 2011. Т. 2. № 18. С. 116-118.Шестерин А.А. Кадровая политика и совершенствование механизма информационной безопасности в банках // Экономика. Предпринимательство. Окружающая среда. 2008. Т. 4. С. 87-89.ПРИЛОЖЕНИЯПриложение 1.Выявлено преступлений информационной направленности.Приложение 2Минимальные полномочия службы информационной безопасности:организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации;разрабатывать и вносить предложения по изменению политик ИБ организации;организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации;определять требования к мерам обеспечения ИБ организации;контролировать работников организации в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам;осуществлять мониторинг событий, связанных с обеспечением ИБ;участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации;участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации.Приложение 3Перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ:документы (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;документы, содержащие результаты проверок обучения работников организации;документы, содержащие результаты проверок осведомленности в области ИБ в организации.Приложение 4.Документы, регламентирующие процедуры обработки инцидентов:процедуры обнаружения инцидентов ИБ;процедуры информирования об инцидентах;процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;процедуры реагирования на инцидент;процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).Приложение5Анкета «Оценка обеспечения защиты электронного документа в ОАО «Сбербанк»Данный тест является частью исследовательской работы. Цель исследования – оценить ситуацию в области обеспечения безопасности электронного документа в ОАО «Сбербанк». Полученные данные будут подвергнуты статанализу.Сфера деятельности вашей организации:_______________________________________________________________________________________________________________________________________________________________________________________Организацонно-правовая форма:__________________________________________Масштаб организации:а) малый;б) средний;в) крупный.Численность сотрудников организации:_____________________________________________________________Как Вы оцениваете уровень компьютерной безопасности в вашей организации:а) Достаточен, но существует риск утечки информации;б) Слишком высок (нет необходимости столь строгих ограничений);в) недостаточен;г) какая бы ни была защита – кто захочет, тот найдет способ ее нарушить.6.Со стороны кого, по Вашему мнению, наиболее реальна угроза информационной безопасности:а) со стороны работников;б) внешние атаки.Наиболее опасные, на Ваш взгляд, угрозы внутренней информационной безопасности:а) утечка данных;б) искажение данных;в) кража оборудования;г) саботаж;д) утрата информации;е) сбои в работе информационных систем;ж) hack-атаки;з) вредоносное ПО (вирусы, черви);и) Спам;к) другие (указать какие)_________________________________________________________________________________________________________________________________________________________________________________________________Наиболее подвержена утечке информация:а) персональные данные;б) финансовые отчеты;в) детали конкретных сделок;г) интеллектуальная собственность;д) бизнес-планы;е) другая (указать)_________________________________________________________________________________________________________________________________________________________________________________________________Укажите наиболее действенные, на Ваш взгляд, средства защиты информации:а) антивирус;б) межсетевой экран;в) контроль доступа;г) IDS/IPS;д) VPN;е) шифрование данных при хранении;ж) другое_________________________________________________________________________________________________________________________________________________________________________________________________Планы организации по наращиванию систем информационной безопасности в ближайшие 3 года:а) система защиты от утечек;б) шифрование данных при хранении;в) системы контроля идентификации и доступа;г) ИТ-системы физической безопасности;д) защита от внешних вторжений (IDS/IPS);е) система резервного копирования;ж) другое_________________________________________________________________________________________________________________________________________________________________________________________________11.Можете ли вы пользоваться с работы электронной почтой?а) только корпоративной почтой (внутри организации);б) только корпоративной почтой (в том числе переписываться с внешними абонентами);в) почтовыми ящиками любых сайтов;г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места.12.Перлюстрация электронной почты – это:а) Нормальная практика;б) Нарушение прав человека;в) Бесполезное занятие.13.Доступ в Интернет в вашей организации:а) свободный для всех без ограничений по ресурсам;б) свободный за исключением некоторых сайтов;в) разрешен только руководителям и некоторым специалистам.14.Телефонные разговоры по личным вопросам на работе:а) запрещены и контролируются;б) запрещены и не контролируются;в) не ограничены.15.Брать работу на дом:а) невозможно;б) обычная практика;в) запрещено формально.16.Лично для Вас ограничения, связанные с обеспечением информационной безопасности:а) несущественны;б) неприятно, но терпимо;в) причиняют значительные неудобства, и при этом часто бессмысленны;г) причиняют значительные неудобства, но без этого не обойтись;д) у меня нет никаких ограничений.Приложение 6УТВЕРЖДАЮГенеральный директор26.08.2014Открытое акционерное общество «Сбербанк»(ОАО «Сбербанк»)ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ_________№_____Омскспециалиста по информационной безопасности1. Общие положения1.1. Специалист по информационной безопасности является сотрудником отдела ИТ, осуществляющим обеспечение информационной безопасности предприятия.1.2. Специалист по информационной безопасности назначается на должность и освобождается от должности приказами (распоряжениями) руководителя организации.1.3. На должность специалиста по информационной безопасности назначаются лица, имеющие высшее специальное образование.1.4. Специалист по информационной безопасности в своей деятельности руководствуется нормами федерального и регионального законодательства, а также отраслевыми стандартами.2. ОбязанностиСпециалист по информационной безопасности обязан:Выполнять текущие и перспективные задачи Отдела ИТ.2.2. Осуществлять оперативную поддержку пользователей.2.3. Обеспечивать работоспособность или быструю замену техники пользователей.Разрабатывать предложения по формированию планов перспективного развития Отдела ИТ.Своевременно и качественно выполнять свои должностные обязанности, задач и функций Отдела.При организации работ по технической поддержке структу