Проблемы информационной безопасности банков, ВКР по защите информации

Работа подготовлена и защищена в 2020 году.

В настоящее время информационная безопасность (ИБ) является неотъемлемым аспектом существования коммерческих, государственных и частных организаций. Защита информации имеет серьезные причины, ведь в случае утечки информации организации могут понести не поправимый ущерб, а именно, финансовые потери, которые в конечном итоге могут привнести к деструкции организации.

Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере.

Становится очевидным, что с глобализацией информационной сферы эффективность национальных систем обеспечения информационной безопасности становится решающим фактором в политике любого субъекта геополитической конкуренции. И, напротив, неэффективность системы информационной безопасности может стать фактором, способным привести к крупномасштабным авариям и катастрофам, последствия которых могут вызвать, в частности, дезорганизацию государственного управления, крах национальной финансовой системы и т. п.

В условиях современной информационной экономики соответствующим образом изменяется содержание бизнес-процессов. Наблюдается приоритетность использования интеллектуальной части совокупного капитала компаний, внедрение инновационных форм управления (матричное, сетевое и др.), уменьшение степени привязанности персонала к компании, гибкость бизнес-схем, осознание роли информационных технологий в повышении эффективности бизнес-процессов и результата бизнеса. В связи с изложенным, существенно изменился и подход к оценке конкурентоспособности компаний, например в процессах слияния-поглощения.

До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности. Менеджеры предприятия, которые могли бы оценить реальные последствия угроз, часто имеют недостаточно знаний в области информационных технологий, чтобы оценить связанные с ними риски.

Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже сложившейся инфраструктуры, но и для правильной оценки перспектив использования и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации. С этим связана актуальность разрабатываемой темы.

Аудит информационных систем и бизнес-процессов – независимая оценка текущего состояния информационной системы предприятия, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

В настоящее время тема аудита информационных ресурсов является достаточно разработанной в трудах как отечественных, так и зарубежных ученых, что позволяет на основании сделанных ими выводах разрабатывать конкретные мероприятия для разработки аудита конкретной компании.

Исследования зарубежных и российских ученых, таких, как Берн Р.Дж, Булыга Р.П., Мельник М.В., Васильев Р.Б., Калянов Г.Н., Левочкина Г.А., Джордж С., Ваймарскирх А. и др. показывают, что в современных условиях конкурентными преимуществами обладают те бизнес-системы, которые могут быстро создавать и доставлять результаты своего бизнеса (продукцию, товары, работы или услуги), соответствующие определенной потребности каждого уникального потребителя, а не абстрактным требованиям обобщенного рынка. Способность производителей совмещать индивидуальные потребительские предпочтения с производством соответствующих результатов их бизнеса и адекватной системой управления является решающим фактором эффективного развития этих систем.

Таким образом, основными задачами управления экономическими субъектами в этих условиях являются привлечение и удержание каждого потребителя при условии сохранения необходимого соотношения цена/качество, а также постоянная поддержка эффективности самих бизнес-систем и их бизнес-процессов. Иными словами, необходима такая модель организационной структуры управления, которая позволяла бы бизнес-системе в целом эффективно взаимодействовать с ее бизнес-средой и в особенности с ее потребителями. Отдельную роль в этом играют современные информационные технологии.

В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований бизнес-среды меняются требования, предъявляемые к программным продуктам, аппаратным средствам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их поддерживающую информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающая их сложность и разнородность оказывают влияние на управляемость всей информационной системой субъектов, стабильность и эффективность ее работы.

В то же время потребность в уверенности относительно полезности, которой обладают информационные системы, управление связанными с ними рисками и растущие требования к контролю над информацией в настоящее время считаются ключевыми элементами корпоративного управления. Ценность, риск и контроль определяют суть корпоративного управления не только бизнес-системой в целом, но и ее информационной системой в частности, и при этом не только в текущем временном периоде, но и в долгосрочной перспективе.

В свою очередь, исследования показывают, что наиболее совершенным, многофункциональным и высокопрофессиональным инструментарием исследования существующих и вероятных рисков, а также разносторонних проблемных ситуаций, возникающих в ходе функционирования той или иной бизнес-системы, является аудит. Аудит в современных условиях становится практически незаменимым при осуществлении разностороннего исследования и оценке информации, принятии управленческих решений, прогнозировании развития всей бизнес-системы и ее информационной системы в частности, а также вспомогательным инструментом для управления этими системами. При этом следует учитывать, что информационная система, являясь по своей сути моделью бизнес-системы, в которой она функционирует, весьма сложное и многофункциональное образование, требующее особого, кропотливого и комплексного подхода к ее исследованию. Поэтому аудит в этих условиях должен быть не аудитом в традиционном смысле (аудитом бухгалтерской (финансовой) отчетности), а аудитом бизнеса и, в частности, его информационной модели (информационной системы).

Действительно нетрудно понять, что в этом случае аудит не должен быть только констатирующим и подтверждающим уже свершившиеся события и факты. Он должен быть направлен на выработку управленческих рекомендаций по оптимизации развития не только бизнес-системы в целом, но и ее информационной системы. В то же время нельзя быть уверенным, что оценка текущего состояния информационной системы экономического субъекта позволит этому субъекту однозначно определить пути будущего развития этой системы. Следовательно, встает проблема разносторонней оценки стратегии развития информационной системы для любого современного экономического субъекта, ее сбалансированности с основной стратегией бизнеса.

Указанная направленность аудиторской деятельности в современных условиях определила абсолютно новое направление аудиторских исследований, так называемый стратегический аудит информационных систем, позволяющий оценивать не только ресурсную обеспеченность этих систем на долгосрочную перспективу, но и вероятные результаты бизнес-планов по их развитию. При этом следует понимать, что основным потребителем результатов указанного направления аудита является высшее звено системы управления любого экономического субъекта, определяющее всю стратегическую направленность бизнеса этого субъекта.

Принципиальной сложностью проведения стратегического аудита информационных систем является, во-первых, отсутствие нормативно-правовой базы, во-вторых, отсутствие понимания со стороны потребителей необходимости и целесообразности его проведения в современных условиях и, наконец, в-третьих, отсутствие методических разработок и критериев оценки его результатов.

Основополагающая идея информационной безопасности как социального явления заключается в установлении и реализации морально-этических, нормативно-правовых и организационных отношений между людьми, обеспечивающих сбалансированность интересов человека, общества и государства в информационной сфере.

В настоящее время подавляющее большинство информации обрабатывается с помощью различных технических средств – компьютерного оборудования, а передается по линиям связи различного рода и принципа действия. И если хранящаяся в одном и том же месте информация является тяжело доступной для злоумышленника, то при передаче ее по линиям связи ее защита, как правило, значительно слабее. В связи с этим насущным вопросом для организаций различного рода является именно обеспечение защиты информации при ее передаче.

В рамках дипломного проекта рассматривается объект, использующий в процессе документооборота информацию, являющуюся коммерческой тайной. Таким образом, можно сделать вывод, что данный объект подлежит анализу на соответствие требований выставленных ГТК, и в случае не соответствия – подлежит модернизации.

Темой дипломного проекта является Проектирование и внедрение комплексного обеспечения информационной безопасности и защиты конфиденциальной информации в подразделениях банка ОАО «Альфа-банк» России

Целью проекта является повышение уровня защищенности системы информационной безопасности в ОАО «Альфа-банк».