Расчет рисков кибербезопасности в банках
Исследование современных систем дистанционного банковского обслуживания с точки зрения угроз их безопасности и выработка мероприятий по снижению влияния данных угроз. Составление модели угроз и модели нарушителя информационной безопасности банка.
Рубрика | Банковское, биржевое дело и страхование |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 02.09.2018 |
Размер файла | 397,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
В последние несколько десятилетий новые технологии кардинально изменили мир вокруг нас, все больше цифровой мир поглощает материальный: документооборот стал безбумажным, билеты на транспорт сменили карточки, так и деньги - тоже становятся электронными. Сейчас кажется довольно странным получить зарплату или пенсию в наличном виде, POS-терминалы встречаются даже на рынках, а банкоматы всегда на расстоянии вытянутой руки.
Актуальность данной работы сложно недооценить, ведь сохранность банковских сбережений давно ушла от тех реалий, когда деньги находились в банковских ячейках или сберегательных книжках. Каждый владелец банковских карт так или иначе задумывается о безопасности своих средств и на это есть причина: с каждым днем злоумышленник придумывают все более изощренные способы заполучить секретные данные, которые дадут доступ к банковскому счету.
Данная работа будет рассматриваться с точки зрения внутреннего аудита банка и влияния контрольных процедур на информационную безопасность банка.
Цель данной работы - исследовать современные системы дистанционного банковского обслуживания с точки зрения угроз их безопасности и выработать мероприятия по снижению влияния данных угроз. дистанционный банковский безопасность угроза
Задачи данного исследования:
Описать основные банковские процессы;
Составить модель угроз и модель нарушителя информационной безопасности банка;
Выявить наиболее критичные угрозы;
Описать способы снижения влияния данных угроз.
Глава 1. Варианты дистанционного банковского обслуживания и риски, связанные с ними
В данной главе будут рассмотрены основные направления обслуживания банковских клиентов, а также виды угроз, с которыми они могут столкнуться.
1.1 Понятие дистанционного банковского обслуживания и проблем с ним связанных
Дистанционное банковское обслуживание (ДБО) представляет собой комплекс услуг, с помощью которых клиент, находясь вне пределов кредитной организации, обладает возможностью получать всю информацию о своих банковских счетах и совершать банковские операции.
Данное определение дает понимание, что грань между клиентами и банком фактически стирается, что создает простор для действий злоумышленников.
Классификация технологий дистанционного банковского обслуживания
Классификация по потребителю
Основные потребители услуг, обеспечиваемых ДБО - клиенты, разделенные на 2 части: розничные и корпоративные. Розничные клиенты - физические лица, корпоративные клиенты - юридические.
Соответственно, классифицировать технологии ДБО можно исходя из конечного потребителя:
1. розничный дистанционный банкинг (consumer-banking), ориентированный на обслуживание физических лиц;
2. корпоративный дистанционный банкинг (business-banking), ориентированный на обслуживание корпоративных клиентов (юридических лиц). [2]
Классификация по оператору предоставления услуг ДБО
Услуги дистанционного банкинга как в России, так и в остальном мире предоставляются не только банковскими организациями. Более того, мировой опыт показывает, что лидерами большинства проектов мобильного банкинга являются операторы сотовой связи, а не финансовые учреждения. В свою очередь это подтверждает и российский опыт в сфере так называемых «электронных денег» [3], а также в развитии сетей платежных терминалов, где лидерами выступают организации, не являющиеся банками. Хотя при этом и электронные деньги, и получение возможности проводить платежи через терминалы можно отнести к услугам дистанционного банкинга.
В этой связи дистанционное банковское обслуживание можно разделить по оператору предоставления услуг:
банковский дистанционный банкинг;
небанковский дистанционный банкинг;
классификация по характеру предоставления услуг.
В данной классификации выделяют 2 составляющие:
транзакционную;
информационную.
Первая возникает в том случае, когда услуга ведет к выполнению банковской транзакции. Полная схема транзакционного банкинга представлена на Рисунке 1.
Рисунок 1 - Транзакционный банкинг
Выделяют 4 способа предоставления транзакционного банкинга:
Телефонный банкинг - предоставление услуг банковским клиентам посредством телефонного звонка. Включает, как общение с оператором, так и получение услуг посредством, например, тонового набора, ведущего к выполнению транзакции.
Терминальный банкинг - один из самых популярных видов на сегодняшний день. На сегодняшний день сеть терминальных устройств самообслуживания в России перешагнула порог в 500 тыс. устройств, что позволило получать услуги даже там, где отсутствуют банковские отделения.
Удобство состоит в том, что идентификация клиента не является критерием предоставления услуги, а лишь сокращает количество доступных. Например, без идентификации по карте и PIN-коду возможно пополнение счета мобильного телефона или оплата квартиры по QR-коду.
Интернет-банкинг - это эволюция устаревшей системы банк-клиент, когда на компьютер клиента ставилось программное обеспечение, затем инициировалось соединение с банком и совершались операции, правда такая услуга была доступна только корпоративным клиентам.
В наше время интернет-банкинг работает на основе технологии тонкого клиента, т.е. любой человек может из любой точки мира, имея установленное приложение для связи с банком, получить услугу.
Мобильный банкинг - получение банковских услуг посредством технологий сотовой связи. Примером может служить информирование клиента посредством SMS-сообщения о состоянии расчетного счета.
Информационный дистанционный банкинг предоставляет клиентам финансовую информацию: выписки, последние операции, подключение услуг. Данный вид банкинга подразделяется по способам получения банковской услуги (Рисунок 2).
Рисунок 2 - Информационный банкинг
SMS - технология, позволяющая клиентам получать мгновенное информирование о совершенных операциях, а также возможно получение других информационных услуг, предусматривающих небольшой набор символов в сообщении.
E-mail. Посредством электронной почты стало возможным получать любые банковские информационные услуги, в том числе банковские выписки.
Интернет позволил наладить взаимодействие между банком и клиентом, не приходя в отделение. Стало возможно получать банковскую информацию посредством идентификации клиента с помощью логина и пароля.
Телефонный информационный банкинг также все еще очень популярен в силу его понятности и доступности для широких групп населения. С помощью звонка в колл-центр клиенты могут получить как общедоступную информацию об банке и банковских продуктах, так и персональную.
Бумажный документооборот между банком и клиент все еще остается очень востребованным в силу того, что многие учреждения требуют подтверждение банковской информации на бумажном носителе.
Наличие такого широкого спектра вариантов ДБО приводит к множеству проблем. Их можно в совокупности разделить между теми, что открыто влияют на кредитную организацию и теми, что оказывают негативное влияние на клиента.
Основными проблемами для банка в условиях ДБО:
снижение уровня надежности функционирования организации из-за неполного осознания существования новых источников и факторов угроз;
сложность реализации контроля над процессами ДБО при фактическом отсутствии методологии, описывающей их.
В свою очередь клиенты могут столкнуться с возможным ущербом, нанесенным со стороны как злоумышленника, так и со стороны банка или самого клиента при реализации неизвестных или не до конца изученных факторов банковских рисков, а также в силу незнания особенностей компьютерной защиты и отсутствия специальной квалификации.
В итоге, становится очевидным, что угрозы могут исходить от любой из сторон, участвующих в банковских процессах.
1.2 Информационный контур банковской деятельности. Группы источников рисков
В ходе эволюции банковского дела появились кардинальные изменения в самом предоставлении банковских услуг кредитных организаций клиентам: роли субъектов процесса сохраняются - отличие возникает лишь в том, что большая часть банковских услуг перешла в виртуальное пространство.
Данные изменения в достаточной мере расширили количество видов угроз и, как следствие, тот периметр, который необходимо защищать.
В целях недопущения реализации рисков кредитные организации вынуждены своевременно реагировать на изменяющуюся ситуацию и на постоянной основе инициировать процесс пересмотра подходов к управлению банковскими рисками из-за появления неизвестных угроз.
На Рисунке 3 отображена обобщенная схема, дающая представление об основных группах источников банковских рисков [4].
Рисунок 3 - Информационный контур банковской деятельности и факторы, влияющие на профили банковских рисков
Клиенты. Данная группа стала таковой лишь тогда, когда пользователь стал заниматься операционной деятельностью, тем самым, не имея должной квалификации, подвергает риску банк [5]. Именно поэтому многие организации страхуют себя от данного вида риска, прописывая отдельные пункты в договорах и вводя проверки на корректность данных. [6]
Сторонние организации. Представители данной группы находятся «в середине» вышеуказанной схемы и занимаются обслуживанием и поддержкой банковской деятельности в тех местах, где банку приходится пользоваться ресурсами третьих лиц. Сюда входят: провайдеры, операторы связи и другие организации, занимающиеся обеспечением информационной деятельности.
Банк - это много компонентная система, где связаны воедино разноплановые сферы деятельности, которые обслуживаются разными обеспечивающими предприятиями. Данный подход может вызывать серьезные риски для банка, например, риск простоя оборудования в случае прорыва магистрального кабеля провайдера или операционный риск, связанный с невыдачей клиенту чека банкоматом. Именно поэтому банки стараются заключать генеральные соглашения и крупные контракты с большими провайдерами, которые разделяют риски банка и дорожат репутацией.
Злоумышленники. В условиях развития систем ДБО становится все сложнее локализовать периметр, в котором можно ждать опасность извне и внутри банка.
Во-первых, это связано с тем, что внешние злоумышленники в условиях работы в открытых информационных системах, как показано на Рисунке 1 по универсальным протоколам, злоумышленники могут заранее подготовиться к своем деянию и не быть пойманными.
Во-вторых, существует внутренний риск - риск раскрытия инсайдерской информации. На сегодняшний день право на обладание информацией стало во многих случаях выше в цене, чем многие материальные вещи, ведь владение критичной информацией может принести как доходы одной организации, так и убытки другой.
1.3 Факторы, повышающие уровни банковских рисков в условиях ДБО
Данные факторы являются теми недостатками, с которыми приходится считаться банкам для успешной работы и минимизации потерь.
Виртуальный характер операций. Как уже говорилось, операции проводятся без участия операционного работника по каналам в сети Интернет;
Открытость телекоммуникационных систем. Данные проходят по открытым сетям, в большей степени в открытом виде, что создает риск перехвата «посередине» [7];
Высокая скорость выполнения транзакций. Данный фактор важен тем, что системы мониторинга в банках не успевают «вылавливать» подозрительные транзакции в силу огромного их количества.
Глобальный характер операционного взаимодействия. В силу распределённости банковских систем в географически, возникла возможность трансграничной передачи денежных средств, а значит и всей сопутствующей информации.
Участие сторонних компаний в банковском обслуживании. Данный фактор несет в себе во много большинство операционных рисков банка, связанных с приостановлением деятельности ввиду неполадок на стороне обслуживающих предприятий.
Возможность использования ДБО для противоправной деятельности. Создает репутационные риски и риски, связанные с привлечением к судебным тяжбам в случае выявления случаев противоправных действий со стороны клиентов.
Однако основным фактором, усугубляющим состояние безопасности электронных платежей, является в той информация, которую мы передаем при совершении транзакции. Если раньше, при проведении операций «оффлайн» от клиента просили только необходимые документы, то сейчас все данные передаются в едином пакете и, риск потери чувствительной информации многократно возрос.
Очевидно, что в условиях ДБО кредитным учреждениям необходимо внедрять системы, способные распознать личность клиента (идентифицировать), а также необходимо установить контроль над действиями, которые они совершают, таким образом снизив операционный риск на стороне клиента.
В свою очередь возможность обезопасить личные считать посредством аутентификации позволяет митигировать риск потери денежных средств клиентов, работающих по удаленному каналу.
Единственным способом снизить риск при передаче - устанавливать набор минимально необходимых данных под каждый из видов операций.
Глава 2. Процессы, обеспечивающие информационную безопасность банка
Цель системы обеспечения информационной безопасности - создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов банка, постоянно контролируются и исключаются, либо находятся на допустимом уровне остаточного риска.
Процессы обеспечения информационной безопасности банка являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели PDCA (планирование - реализация - проверка - совершенствование). [8]
В данной главе будут описаны процессы, внедряемые банками для покрытия максимально возможного количества рисков. Каждый процесс будет представлен в виде SIPOC-диаграммы SIPOC [9] (акроним от англ. supplier, input, process, output, customer - поставщик, вход, процесс, выход, заказчик) - один из подходов, применяемых в целях управления производством и совершенствования бизнес-процессов. В этом подходе предполагается составить диаграмму бизнес-процесса, на которой указать связи от поставщиков (тех, кто предоставляет основные материалы, информацию или другие ресурсы для процесса), входы (то, что поставляется для процесса), собственно процессы (наборы операций, трансформирующих и добавляющих ценность ко входам), выходы (результаты процесса или продукт), заказчиков (тех, кто получает результат процесса или продукт).
2.1 Менеджмент информационной безопасности
Менеджмент информационной безопасности - непрерывный процесс сбора, мониторинга и анализа данных систем, обеспечивающих информационную безопасность. [10]
Система менеджмента информационной безопасности (Information security management system; ISMS) - часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [10]
Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на Рисунке 4 [10]
Рисунок 4 -Модель PDCA для СМИБ
Данный процесс обеспечивается не только службой безопасности банка, но и работой руководства, службы внутреннего контроля, а также внешних контролирующих органов (Таблица 1).
Таблица 1 - Основные работы, проводимые в рамках процесса «Менеджмент информационной безопасности»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Руководство банка, служба безопасности. |
План мониторинга, Запланированные проверки по результатам мониторинга. |
Документы, направленные руководству банка о предложениях в улучшении процессов ИБ; Внесение изменение в существующую нормативную документацию/написание новых документов; Реализованные компенсационные меры. |
Руководство банка; Служба безопасности банка; Другие подразделения банка. |
|
Руководство банка, служба внутреннего контроля. |
План проверок деятельности банка. |
|||
Внешние контролирующие органы. |
Акты проверок внешних контролирующих органов, службы внутреннего контроля, материалы внутренних проверок. |
2.2 Взаимодействие с госорганами и регуляторами
Данный процесс связан с работой с государством и внешними контролирующими органами, осуществляющими лицензирование, аттестацию, аккредитацию банка для дальнейшей деятельности в установленном настоящим законодательством порядке.
Таблица 2 - Основные работы, проводимые в рамках процесса «Взаимодействие с госорганами и регуляторами»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Минкомсвязи, Роскомнадзор, ФСБ России, ФСТЭК России, Прокуратура, Банк России, ФСО России, Руководство банка, Подразделения банка |
Лицензионные требования |
Лицензия ФСБ |
Банк России; Национальный плтаженый совет; Руководство банка; Подразделения банка. |
|
Аккредитационные требования |
Аттестат аккредитации УЦ |
|||
Результаты проверок Роскомнадзора, службы внутреннего контроля, внутренних расследований |
Предложения о проведении мероприятий, направленных на устранение нарушений, выявленных в ходе проверки Роскомнадзора |
|||
Запрос на рассмотрение проектов законов |
Заключение о предложении доработки нормативно-правовых документов |
|||
Запрос на предоставление услуг Правительственной связи |
Получение услуг Правительственной связи |
|||
Запрос на вывоз криптосредств за рубеж |
Разрешение ФСБ России и ФСТЭК России на вывоз СКЗИ за рубеж |
2.3 Сопровождение криптоключей
Процесс сопровождения криптоключей осуществляется службой информационной безопасности банка и ставит перед собой задачи работы с криптоключами с целью поддержки банковских операций, а также операционной работы сотрудников банка.
Таблица 3 - Основные работы, проводимые в рамках процесса «Сопровождение криптоключей»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Подразделения банка; Сотрудники банка |
Заявка на регистрацию ключей |
Зарегистрированные ключи |
||
Заявка на генерацию ключей |
Сгенерированный ключ |
|||
Наступление срока перегенерации таблиц ключевания |
Обновленная ключевая таблица |
|||
Заявка на подключение/отключение устройства самообслуживания или POS-терминала |
Загрузка/блокировка ключей на устройстве самообслуживания или POS-терминале |
2.4 Обеспечение антивирусной защиты
Процесс обеспечения антивирусной защиты представляет собой обширный спектр подпроцессов, в которых задействованы все без исключения сотрудники банка, а также вендоры.
Таблица 4 Основные работы, проводимые в рамках процесса «Обеспечение антивирусной защиты»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Служба безопасности; Служба внутреннего контроля, другие подразделения банка; сотрудники банка |
Материалы проверок, отчеты мониторинга автоматизированных систем, |
Внутренние нормативные документы, схемы, указания по антивирусной безопасности, |
Все подразделения банка |
|
Поставщики антвирусного ПО |
Информация от поставщика АВПО |
Указание в подразделение Блока ИТ на загрузку, тестирование и тиражирование обновлений новых версий антивирусных баз |
Подразделения Блока ИТ |
|
Поставщики антвирусного ПО |
Обновления антивирусного ПО |
Установленное на рабочие станции сотрудников актуальное антивирусное программное обеспечение |
Сотрудники банка |
|
Факты заражения неизвестным вирусом, информация о появлении нового вируса |
Устраненный инцидент |
Сотрудники банка |
2.5 Обеспечение безопасности сети и информационных ресурсов банка
Организация регулярного автоматизированного контроля защищенности средств вычислительной техники, подключенных к сети банка, является обязательной составной частью процесса обеспечения защиты информационных ресурсов и автоматизированных систем банка от несанкционированного доступа. Результаты контроля позволяют объективно оценить имеющийся уровень защищенности этих объектов и принять необходимые меры для его приведения в соответствие с установленными требованиями. Однако использование инструментальных средств контроля предполагает их информационное взаимодействие с проверяемыми объектами, что создает риски появления нарушений или отклонений от режима штатного функционирования этих объектов.
Таблица 5 - Основные работы, проводимые в рамках процесса «Обеспечение безопасности сети и информационных ресурсов банка»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Служба безопасности, служба внутреннего контроля, другие подразделения банка |
Материалы проверок, служебных расследований, отчеты мониторинга автоматизированных систем |
Внутренние нормативные документы, схемы, указания по безопасности сети |
Подразделения банка-владельцы информационных ресурсов |
|
Подразделения банка-владельцы информационных ресурсов |
Информационные ресурсы |
Отчет по результатам сканирования, выявленная уязвимость разработанные меры |
Подразделения банка-владельцы информационных ресурсов Подразделения Блока ИТ |
|
Сотрудники банка |
Зарегистрированный запрос в системе регистрации заявок на обслуживание |
Устраненный инцидент |
Подразделения Блока ИТ |
2.6 Противодействие мошенничеству в каналах обслуживания клиентов
Данный процесс описывает порядок взаимодействия подразделений банка при проведении мероприятий по противодействию хищениям денежных средств со счетов клиентов путем несанкционированного доступа к банковской информации.
Таблица 6 - Основные работы, проводимые в рамках процесса «Противодействие мошенничеству в каналах обслуживания клиентов»
Поставщики |
Входы |
Выходы |
Клиенты |
|
Служба безопасности, служба внутреннего контроля |
Материалы проверок, служебных расследований |
Внутренние нормативные документы, Распоряжения, Приказы и т.п. |
Заинтересованные подразделения банка |
|
Заинтересованные подразделения банка |
Запрос экспертного заключения подозрительным операциям |
Экспертное заключение по операциям, подозрительным на мошенничество |
Заинтересованные подразделения банка |
|
Подразделения-участники бизнес- процессов по предоставлению клиентам услуг через УКО |
Транзакции по операциям клиентов (платежные, сессионные, справочные и т.д.) |
Выявленные и отклоненные подозрительные транзакции |
Заинтересованные подразделения банка |
|
Заинтересованные подразделения банка |
Выявленные подозрительные или мошеннические операции |
Заблокированные скомпрометированные карты, счета, профили, идентификаторы |
Правоохранительные органы |
Глава 3. Расчет рисков кибербезопасности в банках
Модель угроз информационной безопасности применяется службой безопасности банка в целях:
проведения оценки и управления рисками информационной безопасности;
формирования необходимых и достаточных требований по безопасному применению информационных ресурсов, каналов, продуктов, услуг и сервисов, приложений и систем с учетом их функционала и особенностей;
разработки частных моделей угроз;
принятия решений по совершенствованию системы обеспечения информационной безопасности в банке;
формирования предложений для руководства банка по совершенствованию системы управления информационной безопасностью.
Модель угроз информационной безопасности:
представляет собой методику определения нарушителей и угроз, имеющих максимальный приоритет для обеспечения информационной безопасности;
включает в себя общий перечень нарушителей и угроз активам банка в киберпространстве;
определяет итоговый список максимально критичных угроз информационной безопасности для банка в защищаемом периметре и для клиентов банка;
Под нарушителем понимается источник угроз информационной безопасности - лицо или явление, в результате воздействия которого возможно нарушение конфиденциальности, целостности или доступности информации, и возникновение негативных последствий (ущерба).
Под угрозой в данной работе понимается совокупность условий и факторов, создающих опасность нарушения режима защищенности актива банка в киберпространстве.
Цели определения угроз информационной безопасности:
установление факта существования возможности нарушения конфиденциальности, целостности или доступности информации;
выявление методов и технологий, с помощью которых может быть реализована возможность нарушения состояния защищенности киберпространства;
определение конкретных требований к защите информации и создание адекватной системы защиты информации, обеспечивающей эффективное и своевременное выявление и нейтрализацию угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).
Идентифицированные угрозы подлежат отнесению к одной из степеней критичности.
Угрозы информационной безопасности характеризуются:
источниками угроз;
факторами, обуславливающими возможность реализации угроз;
способами (методами) реализации угроз;
последствиями от реализации угроз.
Одной из составляющих процесса определения угроз является идентификация лиц или событий (явлений), в результате воздействия (наступления, возникновения) которых возможно нарушение состояния защищенности киберпространства, а также определение их потенциала.
Источники угроз могут быть следующих типов:
антропогенные источники (антропогенные угрозы, связанные с непосредственной деятельностью человека);
техногенные источники (техногенные угрозы, связанные с функционированием техники и технологий);
обстоятельства непреодолимой силы (стихийные бедствия и иные природные явления, изменения законодательства).
В качестве источников антропогенных угроз могут выступать:
лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию) или нарушения функционирования системы или обслуживающей инфраструктуры (преднамеренные угрозы);
лица, имеющие легальный доступ к системе, непреднамеренные действия которых приводят к нарушению безопасности информации (непреднамеренные угрозы).
При определении угроз информационной безопасности и степени их критичности, оценке подлежат угрозы, связанные со всеми типами источников. Однако в первую очередь следует уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями по нарушению безопасности информации.
При определении угроз наряду с угрозами, реализация которых может привести непосредственно к нарушению безопасности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз (косвенные угрозы).
Для идентификации угроз информационной безопасности определяются:
уязвимости, которые могут использоваться при реализации угроз безопасности информации (при этом для реализации одной угрозы может использоваться несколько уязвимостей);
способы (методы) реализации угроз;
объекты, на которые направлены угрозы;
возможности (потенциал), необходимые нарушителям для реализации угроз;
результат и последствия от реализации угроз безопасности.
Пересмотр общего перечня угроз, приведенного в Приложении 3 и переоценка их степени критичности осуществляется подразделениями безопасности на регулярной основе; внеплановый пересмотр возможен также в следующих случаях:
изменение требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
изменение конфигурации и особенностей функционирования автоматизированной системы, следствием которых стало возникновение новых угроз;
выявление уязвимостей, приводящих к возникновению новых угроз безопасности или повышению реализации существующих;
разработка новых и изменение существующих каналов, продуктов, услуг, сервисов;
появление сведений и фактов о новых возможностях нарушителей.
3.1 Модель нарушителя информационной безопасности
Составной частью Модели угроз является модель нарушителя, в которой содержится перечень нарушителей и оценка их потенциала.
Для формирования Общего перечня угроз (Приложение 3) сделаны следующие предположения (Таблица 7) о возможных целях (мотивации) реализации угроз:
Таблица 7 - Возможные цели нарушителей
Цель (мотивация) возможных нарушителей |
|
Реализация угроз безопасности информации по идеологическим или политическим мотивам |
|
Хищение денежных средств |
|
Причинение имущественного ущерба путем мошенничества или иным преступным путем |
|
Получение конкурентных преимуществ |
|
Дискредитация или дестабилизация деятельности органов государственной власти, организаций |
|
Любопытство или желание самореализации |
|
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды |
|
Реализация угроз безопасности информации из мести |
|
Реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий |
С учетом предположений о целях (мотивации) нарушителя по реализации угроз (Приложение 1), а также общего перечня нарушителей (Приложение 3), список характерных нарушителей следующий (Таблица 8):
Таблица 8 - Список характерных нарушителей
№ |
Характерные нарушители |
|
Внешние нарушители |
||
1. |
Специальные службы иностранных государств (блоков государств) |
|
2. |
Террористические, экстремистские группировки |
|
3. |
Преступные группы (криминальные структуры, включая хакеров) |
|
4. |
Внешние субъекты (физические лица, включая хакеров) |
|
5. |
Конкурирующие организации |
|
6. |
Разработчики, производители, поставщики программных, технических и программно-технических средств |
|
7. |
Бывшие работники (пользователи) |
|
8. |
Аутсорсинговые компании, подрядчики и их сотрудники |
|
Внутренние нарушители |
||
8. |
Лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.) |
|
9. |
Пользователи |
|
1 |
Администраторы систем и администраторы безопасности |
Оценка потенциала характерных нарушителей (Таблица 9) определяется на основании указаний в Приложении 1:
Таблица 9 - Итоговая оценка потенциала характерных нарушителей
№ |
Потенциал |
Вид нарушителей |
|
1. |
Высокий |
Специальные службы иностранных государств (блоков государств); Террористические, экстремистские группировки; Преступные группы (криминальные структуры, включая хакеров); Администраторы систем и администраторы безопасности; Пользователи систем; |
|
2. |
Средний |
Конкурирующие организации; Разработчики, производители, поставщики программных, технических и программно-технических средств; Администраторы систем и администраторы безопасности; |
|
3. |
Низкий |
Внешние субъекты (физические лица, включая хакеров); Бывшие работники (пользователи); Лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.); Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ. |
3.2 Модель угроз кибербезопасности
Методика формирования Модели угроз информационной безопасности приведена в Приложении 2.
Для оценки степени критичности угрозы необходимо оценить:
вероятность ее реализации,
потенциал нарушителя, реализующего угрозу.
Решение о степени критичности угрозы безопасности информации принимается в соответствии с Приложением 2:
По каждой из идентифицированных угроз оценивается ее вероятность, потенциал нарушителя, реализующего угрозу, и как итог - степень критичности угрозы. Оценка критичности угроз из общего перечня Приложения 3, приведена в Приложении 4 настоящей работы.
3.3 Перечень критичных угроз
Из общего перечня угроз формируется перечень критичных угроз, которые должны быть блокированы в первую очередь при разработке (доработке) автоматизированных систем (угрозы, находящиеся в красной зоне - имеющие 4-5 баллов).
Для Общего перечня, приведенного в Приложении 3 сформирован следующий перечень критичных угроз:
Угрозы при обслуживании, хищение у клиентов (физических лиц):
Заражение вредоносным ПО (клиент);
Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);
Халатность сотрудников банка (некомпетентность в обслуживании);
Умышленные действия сотрудника банка;
Фишинг;
Угрозы при обслуживании, хищение у клиентов (юридических лиц):
Заражение вредоносным ПО (клиент);
Халатность сотрудника банка (некомпетентность в обслуживании);
Умышленные действия сотрудника банка;
Фишинг;
Подделка POS/E-POS терминалов;
Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети):
Использование мощностей банка для атаки на клиентов;
Использование мощностей банка с целью получения доступов к информации внутри сети;
Угрозы полной/частичной потери или недоступности активов:
Заражение вредоносным ПО (инфраструктуры, АРМ, УС);
DoS/DDoS атаки;
APT атака;
Угрозы потери/недоступности данных банка при использовании облачных технологий:
DoS/DDoS атаки на провайдера;
Утечка конфиденциальной информации из-за некомпетентности (халатности) сотрудников:
Отправка по открытым каналам связи;
Компрометация учетных записей администраторов АС.
Влияние критичных угроз на аудит ИБ в банке
В широком смысле слова, аудит - это проверка организации на соответствие определенным критериям.
В случае, применимом к данной работе, будет рассматриваться влияние на аудит, который выступает 3-ей линией риск-менеджмента в области информационной безопасности:
1-ая линия: операционные работники банка;
2-ая линия: служба безопасности, в чьи задачи входит митигация уровня риска до приемлемого;
3-я линия: внутренний аудит, проверяющий деятельность 1-ой и 2-ой линии.
Учитывая, что что служба внутреннего аудита, как любая система, имеет свои ограничения в виде штатного количества сотрудников, внеплановых мероприятий, требуется разработка комплекса мероприятий, позволяющих осуществлять контроль независимо от внешних факторов.
Одним из таких методов контроля является автоматизированный метод контроля (далее - АМК), позволяющий на базе уже описанных в банке выявлять узкие места или нарушения установленных схем.
Разработка АМК для противодействия утечке конфиденциальной информации
Автоматизация процесса вынесения наказаний за отравку конфиденциальной информации за периметр банка
Процесс, описанный в п. 2.5 «Обеспечение безопасности сети и информационных ресурсов банка» предусматривает установку DLP систем для постоянного мониторинга за действиями пользователей при пересылке информации за внешний периметр.
Служба безопасности банка, в соответствии с цикло PDCA, описанном в Главе 2, постоянно обновляет правила, на основании которых ценные документы не могут уйти за периметр, однако злоумышленники всегда находят способ найти брешь в правилах DLP системы.
На сегодняшний день службы внутреннего аудита внедряют собственные методы постэмпирического анализа данных логов DLP систем.
Одним из примеров может служить использование данных о нарушивших сотрудниках для построения собственного регистратора нарушений.
Суть работы: каждый сотрудник имеет табельный номер, который также находится в базе данных логов DLP системы. В случае положительного срабатывания, сотрудник автоматически попадает в базу внутреннего аудита, где, в соответствии с утверждённой в банке матрицей кадровых решений, ему присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.
Такой процесс позволяет автоматизировать процесс вынесения наказаний и снизить временные и трудозатраты.
Автоматизация процесса вынесения наказаний за некорректное грифование документов
В настоящий момент в банках вместо устаревшего, материалоемкого бумажного документооборота повсеместно внедряется электронный.
Во внутренних нормативных документах банка, в соответствии с законодательством РФ [11], [12], [13], должен быть прописан порядок грифования документов с целью ограничения лиц, имеющий доступ к данному файлу.
Учитывая, что современное программное обеспечение не позволяет внедрять превентивные меры, способные остановить отправку документа с неверно поставленным грифом, обязанность за соблюдение правил грифования возлагается на инициатора отправки документа, а также на лицо, его утверждающее перед отправкой.
Современные достижения в области анализа текстов позволяют строить модели, способные с высокой точностью определить гриф документа на основании отличительных особенностях, находящихся в документе: сам гриф, текст.
Используя данные модели стало возможным сравнить выгрузку аз автоматизированной системы электронного документооборота, содержащую проставленные грифы с документами в них вложенными.
При несовпадении грифов информация о сотруднике попадает в базу данных внутреннего аудита внутреннего аудита, где, в соответствии с утверждённой в банке матрицей кадровых решений, ему присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.
Разработка АМК для противодействия компрометации учетных записей
Процесс, описанный в п. 2.5 «Обеспечение безопасности сети и информационных ресурсов банка» предусматривает возложить на службу безопасности и службу ИТ функционал по администрированию доступов к автоматизированным системам банка.
Учитывая рост количества различных автоматизированных систем, обеспечивающих различные области банковского бизнеса, становится все труднее отследить корректность выданных доступов, особенно в больших компаниях.
Одним из способов снизить количество несанкционированных доступов является внедрение групповых политик, описывающих каким группам сотрудников выдавать доступ к определенной системе. Однако халатность сотрудников, упомянутая в модели угроз (п. 3.3) позволяет злоумышленникам получать доступы к автоматизированным системам в обход групповых политик.
В целях снижения количества подобных нарушений, службами внутреннего аудита внедряются автоматизированные методы выявления отклонений в выдаче доступов (или незакрытии).
Суть работы: сотрудниками службы внутреннего аудита проводятся мероприятия по переведению ролевых моделей сотрудников различных подразделений из нормативных документов в вид, дающий возможность сравнить их с выгрузками из автоматизированной системе управления доступом.
При проведении контрольных мероприятий, у сотрудников ИТ-службы запрашивается выгрузка текущих доступов и сравнивается с «оцифрованной» ролевой моделью.
При несовпадении имеющегося доступа с прописанным в документах банка, сотруднику, выдавшему доступ, присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.
Практика использования фишинга для повышения уровня киберкультуры сотрудников банка
Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей -- логинам и паролям. [14]
В настоящее время фишинг подразумевает не только способ мошенничества, но и способ пентест-аудита, направленный на проверку собственных сотрудников готовности противостоять угрозам извне.
Одной из простейших форм реализации пентест-фишинга является письмо-рассылка, содержащая информацию, которая релевантна для всех сотрудников банка. В адресатах упомянута администрация банка, однако адрес подменен. Например, поздравление с новым годом, содержащее заманчивые ссылки, обещающее подарки и вознаграждения за проделанную в прошедшем году работу. При переходе по ссылке открывается окно авторизации, идентичное тому, в конторе сотрудник входит каждый день. В случае ввода сотрудником своего логина и пароля, данные передаются на сервер.
Сотрудники, которые не смогли успешно идентифицировать фишинговое письмо, получают ссылку на повторное обучение правилам кибербезопасности.
Разработка АМК для выявления излишнего ПО на рабочих местах и банкоматах
Данный метод позволяет снизить риск реализации большинства угроз, упомянутых в п. 3.3.
В настоящее время в банках внедряются специализированные реестры программного обеспечения, разрешенного к использованию. Однако существуют сотрудники с расширенными правами, имеющими возможность установки любых продуктов на свой компьютер, а также на банкомат, который по сути является тем же компьютером.
При наличии в банке продуктов для управления ИТ-инфраструктурой, например, Microsoft SCCM, становится возможно инвентаризировать файлы, находящиеся на устройствах.
Наличие этих двух факторов позволяет получить решение, способное выявлять запрещенные файлы.
Сформированный список данных файлов направляется в службу ИТ для дальнейшего удаления.
Заключение
Подводя итоги работы можно сформулировать следующие выводы:
В первой главе были введены основные теоретические аспекты дистанционного банковского обслуживание, а также рассмотрены факторы, приводящие к возникновению рисков для банка.
Вторая глава содержит основные процессы, обеспечивающие информационную безопасность банка на примере SIPOC-диаграмм.
В третьей главе и в приложениях произведена идентификация основных нарушителей и угроз в работе ДБО банка. Был проведена оценка угроз с целью выявления наиболее критичных.
В конце третьей главы были предложены предложения, направленные на совершенствование работы системы внутреннего контроля банка.
Цель данной выпускной квалификационной работы - исследовать современные системы дистанционного банковского обслуживания с точки зрения угроз их безопасности и выработать мероприятия по снижению влияния данных угроз - достигнута за счет предложенных методов.
Приложение 1
Общий перечень угроз для модели угроз ИБ
Угрозы при обслуживании, хищение у клиентов (физических лиц):
1. Заражение вредоносным ПО (клиент);
2. Заражение вредоносным ПО (банк);
3. Умышленные действия третьих лиц;
4. Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);
5. Халатность сотрудников банка (некомпетентность в обслуживании);
6. Умышленные действия сотрудника банка;
7. Фишинг;
8. Сбой в ПО на стороне банка;
9. Скимминг;
10. Замена (перевыпуск) SIM-карты;
11. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);
Угрозы при обслуживании, хищение у клиентов (юридических лиц):
12. Заражение вредоносным ПО (клиент);
13. Заражение вредоносным ПО (банк);
14. Халатность сотрудника банка (некомпетентность в обслуживании);
15. Умышленные действия сотрудника банка;
16. Халатность сотрудника клиента-юридического лица (социальная инженерия, разглашение или потеря аутентификационных данных);
17. Умышленные действия на стороне клиента;
18. Фишинг;
19. Технологический сбой, простой на стороне клиента;
20. Сбой в ПО на стороне банка;
21. Скимминг;
22. Замена (перевыпуск) SIM-карты;
23. Подделка POS/E-POS терминалов;
24. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);
Угрозы при использовании АС банка:
25. Заражение вредоносным ПО (банк);
26. Халатность сотрудника банка (нарушения требований ИБ);
27. Умышленные действия сотрудника банка;
28. Сбой в ПО на стороне банка;
29. Злонамеренные действия персонала с использованием избыточных полномочий (излишние операции, права свыше необходимых);
Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети):
30. Использование мощностей банка для участия в спам-рассылке;
31. Использование мощностей банка для участия в DDoS-атаках;
32. Использование мощностей банка в качестве лаборатории;
33. Использование мощностей банка для атаки на клиентов;
34. Использование мощностей банка в качестве производственных мощностей;
35. Использование мощностей банка с целью получения доступов к информации внутри сети;
36. Использование мощностей банка для генерации крипто-валют;
Угрозы полной/частичной потери или недоступности активов
37. Заражение вредоносным ПО (инфраструктуры, АРМ, УС);
38. DoS/DDoS атаки;
39. APT атака;
40. Ошибки дежурных SOC при эксплуатации системы;
41. Ошибки ИТ и ИБ администраторов банка;
42. Умышленные действия сотрудников банка;
43. Ошибки в разработке ПО;
44. Ошибки ИТ-специалистов, привлеченных на договорной основе (аутсорсинг и т.п.);
45. Умышленные действия ИТ-специалистов, привлеченных на договорной основе (аутсорсинг и т.п.);
Угрозы потери/недоступности данных банка при использовании облачных технологий:
46. Заражение вредоносным ПО провайдера;
47. APT атака на провайдера;
48. DoS/DDoS атаки на провайдера;
49. Халатность сотрудников провайдера;
50. Умышленные действия сотрудников провайдера;
Угрозы утечки конфиденциальной информации из-за некомпетентности (халатности) сотрудников:
51. Отправка по открытым каналам связи;
52. Запись на материальный носитель;
53. Потеря носителя (флеш-карта, МУ, ноутбук и т.д.);
54. Некорректная установка грифа на документе;
55. Компрометация учетных записей администраторов АС;
Угрозы распространения конфиденциальной информации в Интернете:
56. Халатность сотрудников;
57. Умышленные действия сотрудников;
58. Умышленные действия 3-х лиц, имеющих доступ в сеть банка (аудиторы, ИТ-специалисты и т.п.);
59. Умышленные действия аутсорсеров и подрядчиков, получивших доступ к конфиденциальной информации;
Угрозы хищениия/модификациии конфиденциальной информации сотрудниками банка и третьими лицами:
60. Отправка по открытым каналам связи;
61. Запись на материальный носитель;
62. Некорректная установка грифа на документе (сотрудником банка);
63. Компрометация ЭП сотрудника;
Угрозы нанесения финансового ущерба вследствие скомпрометированной ЭП:
64. Халатность сотрудника банка (нарушения требований ИБ);
65. Умышленные действия сотрудника банка;
Угрозы несоблюдения регуляторных требований:
66. Несоответствие требованиям ЦБ;
67. Несоответствие требованиям PCI DSS;
68. Несоответствие требованиям законодательства в области защиты персональных данных;
69. Несоответствие требованиям регулятора при работе с СКЗИ;
70. Несоответствие требованиям регулятора при работе с ЭП и УЦ;
71. Некорректное предоставление отчетности;
72. Несоответствие правилам и программам соответствия платежных систем;
73. Штрафные санкции.
Приложение 2
Оценка критичности угроз, приведенных в общем перечне угроз для модели угроз ИБ
Угрозы при обслуживании, хищение у клиентов (физических лиц)
1. Заражение вредоносным ПО (клиент);
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)
2. Заражение вредоносным ПО (банк);
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
3. Умышленные действия третьих лиц;
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 0 (низкий) Зона критичности: 3 (желтая)
4. Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)
5. Халатность сотрудников банка (некомпетентность в обслуживании);
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)
6. Умышленные действия сотрудника банка;
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (средний) Зона критичности: 4 (красная)
7. Фишинг;
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)
8. Сбой в ПО на стороне банка;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)
9. Скимминг;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
10. Замена (перевыпуск) SIM-карты;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
11. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 1 (средний) Зона критичности: 3 (желтая)
Угрозы при обслуживании, хищение у клиентов (юридических лиц);
12. Заражение вредоносным ПО (клиент);
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)
13. Заражение вредоносным ПО (банк);
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
14. Халатность сотрудника банка (некомпетентность в обслуживании);
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (низкий) Зона критичности: 4 (красная)
15. Умышленные действия сотрудника банка;
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (низкий) Зона критичности: 4 (красная)
16. Халатность сотрудника клиента-юридического лица (социальная инженерия, разглашение или потеря аутентификационных данных);
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 0 (низкий) Зона критичности: 3 (желтая)
17. Умышленные действия на стороне клиента;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 0 (низкий) Зона критичности: 1 (зеленая)
18. Фишинг;
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)
19. Технологический сбой, простой на стороне клиента;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)
20. Сбой в ПО на стороне банка;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)
21. Скимминг;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
22. Замена (перевыпуск) SIM-карты;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
23. Подделка POS/E-POS терминалов;
Вероятность реализации: 3 (очень высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)
24. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 1 (средний) Зона критичности: 3 (желтая)
Угрозы при использовании АС банка
25. Заражение вредоносным ПО (банк);
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
26. Халатность сотрудника банка (нарушения требований ИБ);
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
27. Умышленные действия сотрудника банка;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
28. Сбой в ПО на стороне банка;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)
29. Злонамеренные действия персонала с использованием избыточных полномочий (излишние операции, права свыше необходимых);
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети)
30. Использование мощностей банка для участия в спам-рассылке;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
31. Использование мощностей банка для участия в DDoS-атаках;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
32. Использование мощностей банка в качестве лаборатории;
Вероятность реализации: 0 (низкая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 2 (желтая)
33. Использование мощностей банка для атаки на клиентов;
Вероятность реализации: 2 (высокая)
Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)
34. Использование мощностей банка в качестве производственных мощностей;
Вероятность реализации: 1 (средняя)
Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)
35. Использование мощностей банка с целью получения доступов к информации внутри сети;
...Подобные документы
Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".
дипломная работа [1,6 M], добавлен 07.05.2014Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
презентация [1,5 M], добавлен 02.04.2013Информационные технологии, нормативная база и риски в сфере дистанционного банковского обслуживания. Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России. Системы дистанционного банковского обслуживания юридических лиц.
дипломная работа [1,6 M], добавлен 02.06.2011Место банка на рынке банковских услуг Санкт-Петербурга. Кредитная и депозитная политики банка. Порядок оценки рисков по различным видам деятельности в сфере дистанционного банковского обслуживания. Анализ кредитного портфеля. Порядок предоставления услуг.
отчет по практике [1,6 M], добавлен 14.04.2015Понятие и характеристика услуг дистанционного банковского обслуживания. Обоснование внедрения усовершенствованной системы Интернет-банк (Prior Online). Особенности взаимодействия и принципы работы человека с системой дистанционного обслуживания.
дипломная работа [858,5 K], добавлен 02.06.2010Анализ российского рынка дистанционного банковского обслуживания. Риски, связанные с использованием данной технологии. Уровень проникновения систем ДБО юридических и физических лиц. Основные проблемы и направления развития электронных банковских услуг.
курсовая работа [1,4 M], добавлен 12.03.2015История развития системы и нормативное регулирование безналичных расчетов в банках. Общая характеристика и анализ деятельности коммерческого банка "Петрокоммерц". Расчет доходности межбанковских расчетов и система дистанционного банковского обслуживания.
дипломная работа [3,0 M], добавлен 01.07.2014Краткая характеристика банка, его хозяйственная деятельность. Место, роль и функции отдела привлечения клиентуры банка. Положение компании в конкурентной среде. Деятельность банка по минимизации негативного эффекта от воздействия угроз внешней среды.
отчет по практике [286,8 K], добавлен 08.05.2011Изучение особенностей функционирования и классификации систем электронной наличности. Анализ основных электронных платёжных систем, используемых в России. Исследование угроз, связанных с использованием систем электронных платежей и технологий их защиты.
курсовая работа [43,0 K], добавлен 08.09.2010Характеристика видов и значения удаленного дистанционного банковского обслуживания клиентов. Анализ использования системы удаленного дистанционного банковского обслуживания в "Сбербанк России". Изучение электронных каналов обслуживания физических лиц.
курсовая работа [181,7 K], добавлен 02.04.2015Проблемы оценки и снижения рисков в деятельности коммерческих банков. Внедрение скоринг-модели оценки кредитоспособности клиентов банка. Увеличение ресурсов за счет создания нового депозита "Успех". Выдача кредитов под обеспечение ценными бумагами.
дипломная работа [1,2 M], добавлен 21.01.2015Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
дипломная работа [523,2 K], добавлен 16.06.2015Специфика обслуживания физических лиц в России. Экономическая характеристика ОАО "Сбербанк России". Анализ нормативно-правовых документов, регулирующих вопросы экологической безопасности и безопасности жизнедеятельности. Совершенствование работы банка.
дипломная работа [1,2 M], добавлен 10.04.2015Сущность, модели и принципы корпоративного управления, его роль и значение в рыночных условиях. Обзор правовой и информационной инфраструктуры банковского менеджмента в Казахстане. Пути совершенствования корпоративного управления в коммерческих банках.
дипломная работа [89,7 K], добавлен 31.10.2010Анализ экономической безопасности банковского сектора с использованием методики Банка РФ. Направления и перспективы развития банковского сектора Костромской области в соответствии со стратегией реализации единой государственной денежно-кредитной политики.
дипломная работа [1,4 M], добавлен 08.05.2015Понятие и основные формы дистанционного банковского обслуживания, особенности его предоставления юридическим и физическим лицам. Анализ проблем и перспектив развития российского рынка дистанционного банковского обслуживания коммерческими банками.
курсовая работа [542,0 K], добавлен 09.10.2015Понятие безопасности бизнеса и основные направления ее обеспечения, критерии и методика ее оценки, роль и место в деятельности коммерческого банка. Нормативно-правовые основы формирования системы безопасности. Анализ состояния банковского сектора.
дипломная работа [133,6 K], добавлен 17.09.2014История внедрения информационных банковских технологий в сферу клиентского обслуживания. Особенности изменения банковского бизнеса и моделей банковского обслуживания. Перспективы и принципы развития отечественного дистанционного банковского обслуживания.
дипломная работа [1,4 M], добавлен 19.06.2019Банковские риски в условиях глобализации. Оценка и стратегия риска в банковской деятельности. Мировой опыт предупреждения банковских рисков. Внедрение системы банковского риск-менеджмента в РК. Максимизация прибыли и обеспечение платежеспособности банка.
реферат [95,7 K], добавлен 23.04.2015Разработка модели максимальной загрузки банкомата и минимизации время ожидания клиентами обслуживания. Моделирование работы центра авторизации банка по обслуживанию клиентов; работы банкомата с точки зрения достаточности наличных денежных средств.
контрольная работа [1019,8 K], добавлен 28.11.2011