Защита банковской информации

                                  Содержание

Ведения .

Глава 1. Теоретические и нормативно-правовые основы защиты банковской информации……………………………………………………………………………………………………..3-7 
1.1. Государственная политика в сфере защиты банковской информации……………………………………………………………………………………………………8-15

Назначение и правовая защита системы безопасности……………………..15-16

Цели и задачи системы  безопасности…………………………………....15-16

2.2 Правовые основы системы  безопасности………………………………..16-19

Управление безопасностью  банка……………………………………………19-20

Политика государства  относительно безопасности банковской информации……………………………………………………………………20-23

5.Анализ проблем и пути  развития банковской системы…………………..23-24

Защита информаци…………………………………………………………….24-26

7.Организационные основы  стратегии защиты банковской  информации…26-27

7.1.Актуальность Исследования………………………………………….......26-27

7.2.Цель и Задачи  Исследования ……………………………………………27-28

7.3.Информационная База Исследования …………………………………..28-29

8.Практические задачи, условия  и результаты реформирования банковской сектора……………………………………………………………………….........29

8.1.В сфере законодательства……………………………………………….29-30

8.2.В сфере банковского  регулирования и надзора………………………..30-31

8.3. В сфере налогообложения………………………………………………….31

9. Стратегия обеспечения  безопасности банка………………………………..31

9.1. Общее понятие стратегии  и основы ее формирования……………….31-32

9.2.Основные объекты защиты:………………………………………………...32

9.3.   Внутренние угрозы со стороны собственного персонала……………....32

9.4.Внешние угрозы со  стороны конкурентов и злоумышленников……..32-34

10.нужно по двум фронтам:  за клиента и за банк…………………………….34

11. Структура стратегического  планирования ……………………………34-35

11.1. Основные компоненты  стратегического планирования ………………35

Заключение……………………………………………………………………..36 
Список использованной литературы………………………………………37-38

Введение

 

Банковская деятельность всегда связана  с риском, возможной утечкой конфиденциальной информации, наличием внутренних и  внешних угроз. Появление в России активно действующих структур экономической  разведки, международной организованной преступности, повсеместное применение жестких методов воздействия  на банковские структуры определяют актуальность рассматриваемой проблемы на ближайшую перспективу. Поэтому  обеспечение безопасности банка  законодательно вменяется в обязанность  государства, учредителей банка  и его исполнительных органов. Жукова Е.Ф., "Банковский менеджмент: учебник  для студентов вузов, обучающихся  по экономическим специальностям" - М.: Юнити-Дана, 2009г. - 303с.

В условиях кризиса экономика подвержена большей опасности, чем когда-либо. Увеличивается количество корыстных  преступлений и злоупотреблений  во всех сферах жизнедеятельности общества, в том числе и банковской - где  сосредоточены огромные потоки денежных средств всех слоев населения - от самых состоятельных, до пенсионеров, от крупных финансовых корпораций, до бюджетных организаций. И, поскольку  эта сфера является стратегической, то на ее защиту направляются все силы государства и крупных финансовых структур, ведь нарушение ее безопасности может привести к катастрофическим последствиям.

Концепция безопасности коммерческого  банка (кредитной организации) представляет собой научно обоснованную систему  взглядов на определение основных направлений, условий и порядка практического  решения задач защиты банковского  дела от противоправных действий и  недобросовестной конкуренции.

Обеспечение безопасности является неотъемлемой составной частью деятельности коммерческого  банка (кредитной организации). Состояние  защищенности представляет собой умение и способность кредитной организации  надежно противостоять любым  попыткам криминальных структур или  недобросовестных конкурентов нанести  ущерб законным интересам банка.

В данном вопросе важное значение имеет комплексный подход к анализу  проблемы обеспечения финансовой безопасности банковской деятельности и использование  его в банковской практике.

Значимость и актуальность темы предопределили выбор направления  исследования, цели и задачи работы.

Целью настоящей курсовой работы является анализ обеспечения финансовой безопасности банков. Для достижения поставленной цели в работе решены следующие задачи:

раскрыты функции и механизм управления безопасностью банков;

рассмотрены системы и методы анализа безопасности банков;

разработаны предложения по совершенствованию системы управления безопасностью

Стратегическое планирование пришло на смену долгосрочному. Его 

преимуществом явилось то, что пространство деятельности организации, предприятия

стало более объемным, так как наряду с элементами внутренней среды, на которых

основываются традиционные формы планирования стратегическое планирование

включает в себя следующие аспекты: экономические, политические и социальные

факторы, потребности покупателей, действия конкурентов, научно-технологические

изменения и т.д. Долгосрочные цели предприятий в стратегическом планировании уже не

являются отображением условий текущей деятельности отдельных предприятий, а

оказываются результатом анализа изменений в его внешней и внутренней среде.

Концепция стратегического  планирования позволяет выработать комплекс методов и 

средств, обеспечивающих адаптацию предприятий к быстроменяющимся условиям, дает

возможность своевременно на них реагировать.

В процессе развития стратегического  планирования создано большое число 

методов и моделей стратегического анализа, формальных способов решения задач.

Однако в 80-х годах формальные методы стратегического планирования показали свою

ограниченность в новых условиях. Основными причинами этого стали

1. Теоретические и нормативно-правовые  основы защиты банковской

Обеспечение безопасности деятельности любой организации реализуется  посредством системы, под который  принято понимать комплекс мер и  средств, направленных на выявление, отражение  и ликвидацию различных видов  угроз деятельности организации. При  этом каждый объект защиты будет иметь  свою специфику, которая должна найти  свое отражение в системе защиты. 
 
Один из подходов к организации системы защиты основан на модели «стимул-реакция» и предлагает несколько этапов по созданию системы защиты: 

1. анализ состава объекта  и выделения элементов, требующих  обеспечения их безопасности; 
2. определение возможных угроз выделенным элементам, оценка вероятности их появления и формирование перечня требований по защите (спецификация защиты); 
3. выбор и разработка адекватных угрозам мер с средств защиты элементов (по спецификации) и формирования системы защиты объекта.

 
Рассмотрим основные понятия этого  подхода к защите. 
 
Объект защиты 
 
Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, входящих в состав практически любого объекта и требующих обеспечения их безопасности: 

• люди – персонал и посетители объекта; 
• материальные ценности, имущество и оборудование; 
• информация – критичная, конфиденциальная, а также информация частных лиц.

 
Каждый из выделенных элементов  имеет свои особенности, которые  необходимо учесть при определении  возможных угроз. 
 
Оценка угроз 
 
Существенным моментом при оценке угроз и выборе приоритетов в системе защиты является анализ практики деятельности различных коммерческих организаций –банков, магазинов, крупных офисов, результаты которых берут за основу при подготовке современных нормативов защиты, в том числе, государственных нормативно-правовых актов. Так, например, западноевропейские фирмы – производители оборудования для систем банковской защиты придерживаются единых критериев оценки угроз, согласно которым, например, для сейфовых комнат- хранилищ (главных ЭВМ, серверов) приоритеты направлений защиты следующие: 

• защита от чрезвычайных обстоятельств, приводящих к человеческим жертвам  и значительному ущербу материальным ценностям, таких как пожары, аварии, стихийные бедствия, военные действия, терроризм; 
• несанкционированное проникновение в хранилище ценностей как с целью кражи ценностей, так и с целью кражи информации; 
• несанкционированный доступ (НСД) к информации из компьютерного банка данных.

 
Степень влияния этих угроз на элементы объекта различна. Так, чрезвычайные обстоятельства (стихийные бедствия и т.п.) опасны для всех элементов  объекта. Но угроза несанкционированного проникновения может возникнуть только в отношении материальных ценностей (сейфовых комнат, например) или информации. Угроза несанкционированного доступа к информации относится  непосредственно к конфиденциальной и критической информации предприятия  и лишь косвенно угрожает материальным ценностям и людям. 
По результатам анализа возможных угроз элементам объекта формируются требования к защите или спецификации защиты элементов. 
Полная спецификация защиты объекта формируется из частных спецификаций защиты элементов путем объединения функционально однородных требований по обеспечению защиты. 
 
Порядок создания системы защиты 
 
Составленные частные спецификации и полная спецификация являются основой для разработки системы защиты объекты. Процесс разработки удобно представить в виде последовательности этапов: 
 
Этап 1. Каждой из составленных спецификаций должен быть поставлен в соответствие необходимый набор функций защиты. Под функцией защиты понимается совокупность однородных в функциональном отношении мероприятий, целенаправленное осуществление которых решает конкретную задачу защиты. 
Перечень основных функций защиты:

• охрана, 
• контроль, 
• обнаружение, 
• отражение, 
• ликвидация.

 
Этап 2. Для установленного набора функций выбираются соответствующие методы их реализации. 
Классификация существующих методов защиты:

• организационно- правовые, 
• инженерно- технические, 
• информационно-технические.

 
Этап 3. Указанным методам защиты соответствует перечень (набор) средств конкретного их осуществления. Реализуется или разработка средств защиты наиболее полно удовлетворяющих установленным на этапе 1 требованиям и реализующих выбранные на этапе 2 методы защиты. 
Под средством защиты понимаются такие устройства, программы, мероприятия или нормы, которые будучи приведенными в действие, позволяют решать задачи защиты. 
 
Этап 4. И наконец последний этап – объединение разработанных или выбранных средств защиты в подчиненную общему управлению систему. 
 
[2. Современные средства защиты организации] 
 
В соответствии с методами защиты выделяют три основные группы средств защиты:

• Организационно - правовые, 
• Инженерно - технические, 
• информационно - технологические.

 
По первым двум группам к настоящему времени сложилась стройная система  взглядов по организации, созданию и  использованию указанных средств  защиты применительно к объектам государственного назначения. 
 
Информационно-технологические средств защиты предназначены для обеспечения безопасности информации в процессах сбора, передачи, приема, обработки и хранения. Проблема защиты информации является далеко не новой: существует достаточно стройная система защиты применительно к традиционным технологиям циркуляции и обработки информации. 
 
Доступ и нарушение информации, циркулирующей в компьютерной системе, могут существенно снизить эффективность функционирования, а в некоторых случаях привести к срыву выполнения задания. Для решения задачи защиты от НСД необходимо рассмотрение способов возможного воздействия злоумышленника на аппаратные средства автоматизации, математическое (программное) обеспечение, данные и системы обмена данными. 
 
Несанкционированный доступ в компьютерные системы 
 
Компьютерная система (КС) представляет собой совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные выше компоненты. 
Под безопасностью компьютерной системы понимается отсутствие (устранение) условий, предоставляющих потенциальную возможность нанесения ущерба КС.  
 
Известны четыре типа условий (угроз) для КС: 

• npepывание: при прерывании компонент системы утрачивается (например, в результате похищения), становится недоступным (например, в результате блокировки - физической или логической) либо теряет работоспособность; 
• перехват: некоторая третья неавторизованная сторона (злоумышленник) получает доступ к компоненту. Примерами перехвата являются незаконное копирование программ и данных, неавторизованное чтение данных из линии связи КС и т.д.; 
• модификаций: некоторая третья неавторизованная сторона не только получает доступ к компоненту, но и манипулирует с ним. Например, модификациями являются несанкционированное изменение данных в базах данных или вообще в файлах компьютерной системы, изменение алгоритмов используемых программ с целью выполнения некоторой дополнительной незаконной обработки; 
• подделка: злоумышленник может добавить некоторый фальшивый процесс в систему дли выполнения нужных ему, но не учитываемых системой, действий либо подложные записи в файлы системы или других пользователей.