Читайте также:
|
Планирование системы охраны кредитно- финансовых организаций и управления характерными рисками
В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т.е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов кредитно-финансовой организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.
Особое место рассматриваемой здесь службы среди других структурных подразделений банка определено самим характером ее деятельности. Она включает в себя исполнение сотрудниками службы безопасности по отношению к другим работникам фирмы многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает подсознательную негативную реакцию даже у той части персонала, которая в силу своего должностного уровня не может не понимать вынужденную необходимость подобных действий.
Выбор принципиального подхода к организации службы безопасности в конкретном банке определяется многими факторами. Главным из них является избранная ее руководством стратегия по рассматриваемому направлению деятельности, а именно - степень ее активности (агрессивности). Чем более активна эта стратегия, тем большие требования предъявляются к службе безопасности, соответственно, сложнее ее внутренняя структура, больше численность персонала. Например, при ориентации руководства кредитной организации на проведение стратегии пассивной защиты от возможных угроз, явно нецелесообразно создание в составе службы специального аналитического подразделения, занимающегося экономической разведкой.
Вторым фактором является ориентация руководства на возможное использование услуг специализированных структур в лице частных охранных агентств или службы вневедомственной охраны Министерства внутренних дел. Ниже проводится сравнительный анализ трех возможных подходов.
Нормативно-правовая база деятельности службы включает в себя:
- законы и подзаконные акты, действующие на территории Российской Федерации (см. перечень рекомендуемой литературы), а также иностранных государств, в которых размещены филиалы, отделения и деловые партнеры банка;
- Положение о службе безопасности банка, утвержденное его президентом и содержащее информацию об организационной структуре управления этой службы, ее основных функциях, полномочиях и ответственности (основной документ, используемый в процессе оперативного управления деятельностью службы);
- должностные инструкции по всей номенклатуре рабочих мест, содержащие информацию о подчиненности, должностных обязанностях, правах и ответственности занимающих их сотрудников.
Планирование деятельности службы осуществляется на основании специальных заданий руководства и утвержденных в установленном порядке плановых документов. К последним относятся:
целевые программы по автономно выделенным в системе направлениям деятельности службы безопасности, рассчитанные на продолжительный (более одного квартала) срок;
■ план-графики регулярных проверок соблюдения установленных правил внутренней безопасности структурными подразделениями и сотрудниками банка;
- индивидуальные плановые задания конкретным специалистам службы безопасности (режим оперативного планирования).
Безопасность операционно -кассовой работы кредитно- финансовых организаций и управление рисками 29Организация инкассации денежных средств и хранилищ ценностей. Основные виды рисков.
Правила проведения инкассации
Для каждой организации, осуществляющей инкассацию наличных денег, в банке ежемесячно оформляются номерные явочные карточки 0402303. Формы этого и других документов утверждены Положением Банка России № 318-П. В явочной карточке указываются номера закрепленных сумок, наименование, адрес, телефон организации, выходные дни, время окончания работы, время заезда инкассаторов и др.
С учетом объема инкассируемых наличных денег определяется количество порожних сумок, выдаваемых организации. Каждой сумке присваивается индивидуальный номер. Руководителем инкассации по согласованию с организацией устанавливаются время и периодичность заездов инкассаторов.
Перед выездом в организацию инкассаторы получают:
— порожние сумки;
— доверенности на перевозку и инкассацию наличных денег;
— штамп;
— ключи;
— явочные карточки 0402303.
По прибытии в организацию инкассатор предъявляет кассиру:
— документы, удостоверяющие личность;
— доверенность на перевозку наличных денег (инкассацию наличных денег);
— явочную карточку;
— порожнюю сумку, закрепленную за клиентом.
Кассир организации в свою очередь предъявляет инкассатору образец пломбы, передает сумку с наличными деньгами, накладную к сумке 0402300 и квитанцию к сумке 0402300. Сумка должна быть опломбирована так, чтобы ее вскрытие было невозможно без видимых следов нарушения целости сумки и пломбы.
На сумку составляются препроводительная ведомость 0402300 и реестр проведенных операций. При этом сумма, указанная в препроводительной ведомости, должна соответствовать общей сумме наличных денег, отраженной в реестре проведенных операций. Ведомость и реестр вкладываются в сумку с наличностью.
Инкассатор в присутствии кассира проверяет целость сумки и пломбы, соответствие пломбы имеющемуся образцу, правильность заполнения накладной и квитанции. После заполнения кассиром явочной карточки инкассатор проверяет соответствие суммы наличных денег, проставленной в явочной карточке, накладной и квитанции. А также сверяет номер сумки с наличными деньгами с номером, указанным в явочной карточке, накладной и квитанции. Неправильная запись в явочной карточке зачеркивается, на полях проставляется новая запись, заверенная кассиром. Инкассатор не имеет права производить записи в явочной карточке.
При приеме сумки с наличными деньгами инкассатор подписывает квитанцию к сумке, проставляет штамп, дату приема сумки с наличными деньгами и возвращает квитанцию кассиру. Если инкассатор выявил нарушение целости сумки или пломбы или неправильное составление препроводительной ведомости к сумке, то прием сумки не производится.
Дефекты упаковки и ошибки в составлении препроводительной ведомости к сумке устраняются в присутствии инкассаторов, если это не нарушает график их работы. В ином случае прием сумок с наличными деньгами в организации осуществляется при повторном заезде инкассаторов в удобное для них время. Соответствующая запись заносится в раздел «Повторные заезды» явочной карточки.
Если сумка не сдана инкассатору, кассир организации обязан в явочной карточке в строке за эту дату произвести запись «Отказ», привести причины отказа и заверить своей подписью.
30Безопасность электоронных платежных технологий. Основные характерные риски Необходимо выделить следующие операции, осуществляемые электронными платежными системами: 1) операции по принятию наличных денежных средств от физических лиц для перечисления лицу, оказывающему услуги, которые признаются банковской операцией 2) операции с использованием расчетных и кредитных банковских карт и оплата кредитными организациями платежных карт иных эмитентов; 3) операции с предоплаченными платежными картами кредитных организаций и эмитентов, отличных от кредитных организаций. 4) операции с использованием виртуальных денежных единиц, которые формально не подпадают под понятие банковской деятельности, поскольку их существование не связано с банковскими счетами.К системе электронных платежей предъявляются следующие требования: 1. Конфиденциальность. Конфиденциальность (лат. confidentia — доверие) означает доверительность, т. е. не подлежащие огласке сведения. Конфиденциальность транзакций проявляется в том, что номер счета или номер банковской карты, сообщаемый продавцу, является секретным и должен быть известен только тому, кто имеет на это законное право, например банку-эмитенту банковской карты.
2. Целостность информации. Информация о сделке должна быть сохранена в целостности, т. е. никому не должны быть известны купленный товар и сумма покупки. 3. Аутентификация. Аутентификация (от гр. authenticos — подлинный) означает удостоверение в том, что другая сторона, участвующая в платежах, на самом деле является той, за кого себя выдает.
4. Авторизация. Авторизация — проверка счета покупателя в банке. Авторизация позволяет продавцу определить, есть ли у покупателя необходимая сумма денег для оплаты стоимости покупки.
5. Защищенность операций по платежам. Защищенность операций по платежам означает создание преграды на пути проникновения воров (хакеров) в сеть Интернет и способов сохранения конфиденциальности и целостности информации.Система электронных платежей включает в себя следующие формы расчетов: банковская карта; 2) электронные чеки; 3) цифровые деньги; 4) электронные деньги.В известных классификациях среди рисков электронных платежей выделяются: риск утраты ликвидности (т.е. риск неисполнения эмитентом своих обязательств в результате недостаточности размера его активов)1, кредитный риск (риск получения убытков вследствие неисполнения своих обязательств третьими лицами — банками-участниками, расчетными банками и прочими), правовой риск (в результате действий или событий правового характера), операционный риск (риск убытков в результате недостатков организации системы или злоупотребления лиц, имеющих доступ к системе), риск потери управляемости в результате утраты руководством контроля над одним из вышеперечисленных рисков. Экспертами Банка международных расчетов также выделяются репутационный, процентный и рыночный риски.
31Функции, структура и управление службой безопасности кредитно-финасовых орг Основные функции вице-президента банка по безопасности.Вице-президент по безопасности является руководителем рассматриваемого направления деятельности в целом. Вне зависимости от избранных стратегии обеспечения безопасности и самого подхода к организации службы, он в силу занимаемой должности относится к числу высших руководителей банка. Для эффективной реализации своих функций вице-президент по безопасности должен обладать необходимыми полномочиями, в частности правом:■ доступа к любой конфиденциальной информации;- участия в совещаниях и переговорах любого уровня, где затрагиваются вопросы, представляющие потенциальную угрозу для безопасности банка (при невозможности личного участия - полный отчет или магнитофонная запись переговоров);
■ свободного доступа к Президенту банка, а в экстренной ситуации - Председателю Совета директоров;
■ функционального руководства и контроля деятельности других должностных лиц в рамках установленной компетенции.
Основные функциональные обязанности этого руководителя:
■ формирование общей стратегии обеспечения безопасности банка и ее оперативная корректировка при изменении внешних или внутренних условий;- решение текущих проблем с высшим руководством и начальниками структурных подразделений банка;
■ организация взаимодействия с местными правоохранительными органами;
■ формирование и контроль над исполнением целевых программ и текущих планов структурных подразделений службы безопасности, решение всех ее внутренних административных вопросов, организация ресурсного обеспечения;
■ непосредственное руководство службами собственной безопасности и экспертов - консультантов.Основные функции отдела информационной безопасности: 1)защита информации на бумажных носителях, что связано, в основном с разработкой специальных правил работы с документацией и ее хранения;2) защита устной информации от перехвата с использованием специальных технических средств. Основные функции отдела физической защиты: 1)- обеспечение личной безопасности сотрудников банка (служба телохранителей);-2) обеспечение безопасности перевозок денежных средств (служба инкассации);Основные функции отдела собственной безопасности:1) участие в разработке внутренних регламентов службы безопасности, определяющих правила поведения ее сотрудников при исполнении служебных обязанностей и в быту;2)профилактический контроль над деятельностью всех сотрудников службы безопасности банка в части исполнения указанных выше правил;3)проведение служебных расследований в отношении сотрудников, допустивших нарушения при исполнении своих обязанностей или по ставивших под сомнение свою лояльность работодателю.
32Направления обеспечения безопасности кредитно- финансовых организаций при возникновении кризисных ситуаций 33Направления работы по подбору персонала службы безопасности кредитно финансовых организаций 34Основные направления работы по защите информации в кредитно финансовых организациях. Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. В-третьих, наиболее вероятный способ утечки конфиденциальной информации — несанкционированный доступ сотрудниками банкаКроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных. Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования
36. методы и средства защиты информации кредитно-финансовых организаций Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации). Абсолютно конфиденциальные сведения (гриф ХХХ 2)
Строго конфиденциальные сведения (гриф ХХ) включают в себя: - все прочие конфиденциальные сведения о клиентах банка; Конфиденциальные сведения (гриф Х) Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках. Результатом этой работы является внутренний (строго конфиденциальный) документ - Перечень сведений, составляющих банковскую и коммерческую тайну. Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений. По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы - клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов: Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к раз личным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше Перечня, следовательно - обеспечение возможности выбора наиболее целесообразных методов и форм защиты.Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы: К методам программно-математического характера относятся: - программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка; - программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами
К методам технического характера
К методам организационного характера относятся:
Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:
Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:
Разработку внутренней нормативной базы в составе:
Расчет и выделение финансовых ресурсов
Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности
Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:
Дата добавления: 2015-02-16; просмотров: 129 | Поможем написать вашу работу | Нарушение авторских прав |