Стратегия защиты информации в финансовой организации

Введение
Актуальность темы. Одной из актуальных проблем современной России стала проблема обеспечения безопасности личности, общества, государства в самом широком понимании. Немаловажной составной частью этой проблемы является экономическая безопасность банков. По данным зарубежных источников на создание и поддержание наиболее надежных систем обеспечения безопасности банками затрачивается до 20% прибыли в 2021 году. Особенностью современного общества является его информатизация - активное развитие и внедрение информационных технологий и инструментов во все сферы человеческой деятельности. Информация и информационные ресурсы становятся одним из решающих факторов личного, социального и национального развития. Широкие возможности компьютеров и информационных технологий позволяют автоматизировать процессы мониторинга и управления национальными, экономическими, социальными, оборонными и другими объектами и системами, получая, накапливая, обрабатывая и передавая информацию об этих процессах практически с любой требуемой скоростью и в любом количестве.
Все это дает основания утверждать, что информационные технологии сегодня играют решающую и позитивную роль в развитии человечества, а информационное общество объективно неизбежно. Но история говорит нам, что многие достижения научно-технической мысли служат не только на благо людей. Достаточно рассмотреть достижения ядерной физики – атомное оружие, оптоэлектроники - лазерное оружие, химии – токсичные газы, биологии – биологическое оружие и т.д. Всегда существовали различные силы, пытающиеся воспользоваться открытиями в области науки и техники.
Сегодня определенные субъекты (альянсы, страны, организации, отдельные лица) стремятся владеть информационными ресурсами, средствами и технологиями отдельно и использовать их для удовлетворения своих интересов и борьбы с интересами потенциальных конкурентов в экономических, коммерческих и даже военных противостояниях. В то же время информация и информационные технологии начали становиться объектом угроз, что вызвало проблемы информационной безопасности.
Поэтому тема изучения природы и содержания информационной безопасности в современных условиях очень актуальна. Учитывая глобальные геополитические тенденции последних лет, эта тема является особенной.
Проблемы и подходы национальной информационной безопасности не являются актуальными с точки зрения исследовательских вопросов. Они активно рассматриваются в работах отечественных и зарубежных авторов в контексте различных научных интересов.
Объект исследования – ПАО «Совкомбанк».
Предмет исследования – стратегия защиты информации ПАО «Совкомбанк».
Цель работы – рассмотреть стратегию защиты информации в финансовой организации.
Задачи исследования:
 рассмотреть стратегию защиты информации;
 изучить информационную безопасность финансовых организаций;
 определить угрозы финансовой безопасности организации;
 рассмотреть общую характеристику деятельности ПАО «Совкомбанк»;
 исследовать планирование рекламной деятельности ПАО «Совкомбанк»;
 охарактеризовать определение целей и задач повышения узнаваемости «Совкомбанка»;
 изучить повышение узнаваемости и безопасности за счет наращивания PR.
Структурно работа состоит из введения, трех глав, заключения, списка литературы и приложений.
1. Теоретические аспекты стратегии защиты информации в финансовой организации
1.1 Стратегии защиты информации
Понятие «стратегия» в работах разных авторов представлено по-разному, что естественным образом приводит к соответствующей путанице с подменой смысловых содержаний.
Термин «стратегия» перенят из военного лексикона, где использовался для обозначения планирования и осуществления политики страны либо военно-политического союза с применением всех доступных средств. Данное понятие в общем смысле используется с целью обозначения широких долгосрочных мер либо подходов, обычно применительно для бизнеса – стратегия развития компании, либо бизнес. Это понятие приобрело широкое распространение в лексиконе делового управления для обозначения того, что раньше было известно как политика, либо деловая политика .
Принятие любой стратегии включает в себя несколько этапов. Все этапы контролируются высшим руководством компании, и оно должно стараться обеспечить надлежащую координацию между всеми сотрудниками и руководителями. Синергия очень важна для успеха любого организационного процесса. Ниже приводятся все этапы стратегического планирования. Эти шаги являются базовыми в рамках реализации подхода стратегического мышления.
Стратегическое управление отличается от оперативного (ориентированного на краткосрочную перспективу) по нескольким ключевым параметрам (Приложение 1) .
Стратегии защиты информации — это продуманные процедуры, направленные на:
 предотвращение утечки информации;
 разрешение доступа к информации только проверенным лицам;
 ограждение информации от несанкционированного и непреднамеренного воздействия.
Любые стратегии защиты информации должны включать в себя:
 конфиденциальность информации — чтобы доступ к ней был только у субъектов, имеющих на это право;
 целостность данных — должно быть исключено несанкционированное воздействие на информацию;
 доступность — в любое время информация должна быть доступна для тех, у кого к ней есть доступ.
При разработке стратегий информационной безопасности постоянно возникает необходимость поиска компромисса между потребностями в защите и ресурсами, затрачиваемыми на обеспечение надлежащей защиты. Объем расходуемых ресурсов может быть ограничен определенными стандартами, а может быть и неограниченным; самое главное - достичь соответствующего уровня защиты информации.
Разработка стратегии информационной безопасности всегда сталкивалась с двумя основными проблемами:
1. Зависимость от случайных событий. Это включает в себя непредсказуемое поведение злоумышленника, возникновение непредвиденных стихийных бедствий и внезапные проблемы с оборудованием для защиты данных.
2. Человеческий фактор. Это включает в себя все проблемы, вызванные деятельностью человека: неправильная организация труда, неправильное стратегическое соответствие, неспособность найти подходящих специалистов и т.д.
Стратегии защиты информации сформулированы для различных типов угроз: в зависимости от того, от каких угроз вам необходимо максимально обезопасить себя, стратегия защиты данных будет меняться. Существует 3 основных типа возможных угроз: выбор конкретной угрозы в зависимости от типа защищаемой информации; просмотр всех известных типов угроз; потенциальная угроза, о которой до сих пор не было известно.
Защита от всех угроз также может быть осуществлена сразу, но в этом случае на специалистов по безопасности не должны распространяться какие-либо ограничения. Однако следует понимать, что такая стратегия защиты данных будет более дорогостоящей и потребует больше рабочей силы и соответствующих экспертов для внедрения и поддержки таких методов безопасности.
Иметь стратегию защиты информации:
1. Оборонительные. Эти стратегии предназначены для предотвращения наиболее опасных и известных угроз. Если они возникают, стратегии помогают принять меры по их устранению. Принимая во внимание конкретные обстоятельства защищаемой информации, эта стратегия часто используется. Как правило, эти политики никоим образом не влияют на взаимодействие аутентифицированных пользователей и систем обработки с защищенной информацией.
2. Наступательные. Эти стратегии защиты информации являются одними из самых популярных стратегий, поскольку они нацелены на все известные типы угроз. Такого рода стратегии наиболее сложны в применении, поскольку они включают в себя большой набор организационных мер, программного обеспечения и технических средств для защиты информации от несанкционированного использования. Они оказывают частичное влияние на систему потребления информации.
3. Упреждающие стратегии защиты информации предполагают изучение возможности возникновения ранее неизвестных угроз и принятие немедленных мер по их устранению на этапе проектирования. Эти стратегии оказывают достаточное влияние на систему обработки защищенной информации.
Различные типы политик информационной безопасности будут отличаться с точки зрения используемых технических методов и инструментов, используемых для обеспечения безопасности, но требования к ним одинаковы. Стратегия должна быть:
 определять и контролировать основные проблемы в безопасности;
 вовремя реагировать на изменения угроз, окружающих защищаемую информацию;
 выбирать наиболее оптимальный вариант действий, связанных с устранением угроз, чтобы они обеспечили должную безопасность и не затронули ничьих интересов;
 создавать благоприятную атмосферу для модернизации систем безопасности, в случае необходимости адаптироваться под новые условия.
1.2 Информационная безопасность финансовых организаций
Область информационной безопасности в настоящее время находится в интенсивной стадии развития - с возникающими угрозами необходимо бороться с помощью новых методов защиты.
Период пандемии активизировал все процессы в области технологий, и информационная безопасность не является исключением. Эта сфера особенно важна для финансовых организаций, поэтому регулирующие органы продолжают ужесточать требования, направленные на предотвращение возможных угроз.
В 2021-2022 годах вступят в силу некоторые нормативные правовые акты, регулирующие информационную безопасность финансовых организаций, и претерпят некоторые фундаментальные изменения - к ним нужно быть готовым. Перевод офисного персонала в режим удаленной работы, утечка данных, кибератаки и даже использование технологий искусственного интеллекта – вот основной перечень угроз, с которыми приходится сталкиваться финансовому сектору. С приходом пандемии дополнительная сложность работы в службах финансовой информационной безопасности заключается в том, что что злоумышленники изобретают новые способы мошенничества, а банки и другие финансовые организации вынуждены использовать ограниченный набор инструментов, установленный нормативными документами .
Регулярное обновление, своевременное закрытие уязвимостей, установка средств информационной безопасности и шифрование средств информационной безопасности могут снизить риск проникновения в информационные системы, но этот риск не может быть полностью устранен.
Мобильное приложение банка - очень удобный инструмент, которым активно пользуются многие клиенты. Для правильной работы приложению необходим доступ к личной информации, фотографиям, камерам, микрофонам и географическим местоположениям. Приложения для взлома позволяют мошенникам получать всю информацию, необходимую им для незаконного обогащения за счет своих жертв – от вымогательства и выбора наилучших методов социальной инженерии до получения кредитов для ничего не подозревающих людей.
Утечка данных может быть результатом не только хакерской атаки на мобильные приложения. Преступники могут получить доступ к корпоративным сетям путем взлома или кражи личных данных сотрудников финансовых организаций. Сегодня, в связи с распространением коронавируса и масштабным переводом специалистов на удаленные операции, злоумышленникам стало проще решать эту задачу. Правила информационной безопасности регулярно обновляются и дополняются. Техническое оснащение постоянно растет, а требования становятся все более жесткими. Важно постоянно отслеживать эти изменения, чтобы своевременно подготовиться к аудиту.
Довольно часто для разработки стратегий применяют различные матрицы. Наиболее распространенными матрицами являются: Матрица И. Ансоффа и Модель М. Портера. Матрица И. Ансоффа используется для проработки стратегии в условиях растущего рынка. Показатели матрицы отражают реальные расхождения реальным развитием и планируемым. Модель М. Портера используется для определения доходности предприятия и долей рынка. Данная модель ориентируется на растущий рынок и анализирует предприятия-конкурентов. Важнейшим заключительным этапом является контроль и реализация плана. Контроль должен отслеживать выполнение поставленных задач и целей .
Помимо требований к обеспечению информационной безопасности электронных платежных систем, Стандарт содержит требования по обеспечению защиты данных, пересылаемых в рамках программы передачи финансовых сообщений (СПФС).
Требования ГОСТа касаются защиты двух механизмов отправления платежей: сервиса срочного перевода и сервиса несрочного перевода (ССНП); сервиса быстрых платежей (СБП).
Стратегии защиты информации — это продуманные процедуры, направленные на: предотвращение утечки информации; разрешение доступа к информации только проверенным лицам; ограждение информации от несанкционированного и непреднамеренного воздействия.
Любые стратегии защиты информации должны включать в себя:
 конфиденциальность информации — чтобы доступ к ней был только у субъектов, имеющих на это право;
 целостность данных — должно быть исключено несанкционированное воздействие на информацию;
 доступность — в любое время информация должна быть доступна для тех, у кого к ней есть доступ.
В условиях меняющегося рынка, высокой конкуренции и экономической нестабильности информационная безопасность является ключом к успешному развитию предприятия, информационная безопасность организации - это условие, при котором организация может противостоять внутренним и внешним угрозам. Что необходимо, так это постоянный мониторинг и анализ уровней безопасности для формирования системы мер предупреждения или контроля. Если информационная безопасность организации строго контролируется, это обеспечивает конкурентоспособность, стабильность положения на рынке услуг или производимой продукции, приток инвестиционного капитала, возможность и эффективность развития, как сейчас, так и в будущем.
Анализ и внедрение описанной стратегии возможен при использовании всего инструментария управления ресурсов предприятия. Данная стратегия требует формирования эффективной системы аппарата управления, адаптированного к современным условиям хозяйствования и изменениям на микро- и макроуровне, и является наиболее важным аспектом деятельности организации, который позволяет принимать эффективные управленческие решения, связанные с развитием предприятия.
При взаимодействии организации с внешней и внутренней средой достаточно важно разрабатывать надежную стратегию развития предприятия. Это позволяет применять узнать о состоянии компании в сравнении с конкурирующими организациями. Стратегия помогает продлевать статичность компании и обеспечивает целостность.
1.3 Угрозы финансовой безопасности организации
В условиях меняющегося рынка, высокой конкуренции и экономической нестабильности финансовая безопасность является ключом к успешному развитию предприятия и способности поддерживать «плавающий». Поэтому специалисты, способные видеть, анализировать и успешно устранять угрозы финансовой безопасности, всегда будут востребованы на рынке труда.
Финансовая безопасность организации - это условие, при котором организация может противостоять внутренним и внешним угрозам. Что необходимо, так это постоянный мониторинг и анализ уровней безопасности для формирования системы мер предупреждения или контроля.
Если безопасность организации строго контролируется, это обеспечивает конкурентоспособность, стабильность положения на рынке услуг или производимой продукции, приток инвестиционного капитала, возможность и эффективность развития, как сейчас, так и в будущем.
Основной целью работы специалиста по финансовой безопасности является обеспечение стабильности и долгосрочного развития предприятия. К этому можно добавить следующие моменты:
 Обеспечить финансовую независимость, эффективность и устойчивость предприятия;
 Обеспечить техническую независимость, с тем чтобы поддерживать техническую конкурентоспособность;
 Обеспечить эффективность, организацию и оптимизацию управления;
 Убедитесь, что сотрудники обладают достаточно высокой квалификацией и интеллектуальным потенциалом;
 Обеспечить правовую защиту всей корпоративной деятельности;
 Мы обеспечиваем защиту информации и коммерческой тайны.
Кроме того, основными моментами финансовой безопасности являются не только экономические составляющие, но и человеческие ресурсы, правовые поля и т.д.
Перечислим основные задачи, решаемые этим экспертом:
 Восполнить необходимый объем финансовых ресурсов, необходимых для расширения производства и т.д.;
 Выявлять проблемные области в организационной деятельности;
 Случайный расчет внутренних и внешних рисков;
 Прогнозировать и предотвращать финансовые кризисы.
Угроза финансовой безопасности - это проявление негативного воздействия внешних или внутренних факторов на экономический ущерб организации. Условно их можно разделить на внешние и внутренние. Предотвратить внешние угрозы невозможно, поскольку их появление не зависит от деятельности организации. Но возможно, что необходимо разработать систематическую меру защиты, которая может уменьшить или свести на нет негативные последствия. Внутренние угрозы вызваны деятельностью организации .
Под термином «электронная платежная система» (ЭПС) понимается система расчетов, при которой платежи проводятся по интернет-каналам, традиционной обработки платежных поручений не происходит.
Под это определение попадают:
 расчеты посредством банковских карт традиционных систем Visa, MasterCard, «Мир». Здесь при абсолютной гарантии защиты трансакций возникает проблема несанкционированных списаний в результате перехвата трафика или получения номеров карт;
 программы межбанковских расчетов по электронным каналам связи, в том числе быстрых платежей, осуществляемых банками по номерам телефонов;
 расчеты через электронные кошельки (Яндекс.Деньги и другие);
 расчеты через инфраструктуру мобильных операторов и другие современные решения.
В Банке России организовано несколько моделей платежей по Интернету. Это программа внутрирегиональных расчетов по сети Интернет (ВЭР) и межрегиональных электронных расчетов (МЭР). Для крупных срочных платежей в России в 2007 году создана идеология банковских срочных платежей (БЭСП). Она является аналогом европейской программы RTGS. Подключенные к ней банки переводят друг другу крупные суммы с целью перечисления клиентам в течение одного операционного дня.
Информационная безопасность электронных платежных систем обеспечивается требованиями, предъявляемыми к банкам-участникам:
 наличие корреспондентского счета в ЦБ РФ;
 действующая лицензия на осуществление банковской деятельности;
 отсутствие просроченных долгов перед ЦБ РФ;
 обмен сообщениями по установленному механизму коммуникации с Банком России на основе договора;
 соответствие ИС банка техническим требованиям и требованиям по ИБ кредитных организаций, предъявляемым ЦБ РФ.
Требования формулируются в Положениях Банка России и являются обязательными для исполнения. Отказ от выполнения требований может привести к полному или частичному отключению банка от технологии БЭСП
Метод оценки пороговых значений – существует множество специальных критериев для финансовых показателей. Используя метод пороговой оценки, фактическое состояние показателя можно сравнить с существующими стандартами. Метод усреднения отраслевых показателей - эксперты сравнивают фактические показатели организации со средними показателями других организаций в той же отрасли. Выбор метода оценки зависит от конкретной ситуации организации, цели и задач анализа финансовой безопасности, наличия требуемой информации и т.д.
SWOT–анализ - с помощью этого типа исследования вы можете оценить всю организацию в целом или отдельный произведенный продукт (услугу). В процессе анализа оцените сильные и слабые стороны организации, сильные и немощные стороны, определите внешние риски и сформулируйте стратегии дальнейшего развития на основе полученных данных. В процессе оценки финансовой безопасности необходимо учитывать динамику определенных показателей и сравнивать фактические показатели со стандартами. Что относится к показателям, используемым экспертами по финансовой безопасности: финансовая независимость; финансовая стабильность; работоспособность собственных средств; финансирование; капитализация; обеспечение собственным оборотным капиталом; абсолютная ликвидность; ключевая ликвидность; текущая ликвидность; каждый из этих показателей может описывать тот или иной аспект деятельности организации. Сравнивая их в динамике, можно сделать выводы о тенденциях развития бизнеса .
Уровень финансовой безопасности можно разделить следующим образом: Если нормальный показатель близок к стандарту, а потенциал использования предприятия или организации соответствует стандарту загрузки оборудования, никаких мер принимать не нужно;
Докризисный - некоторые показатели отклонялись от стандарта и ухудшались, но остальные были в норме и технические возможности не были утрачены. В то же время необходимо быстро сформулировать план финансового оздоровления Организации.
Кризис - большинство показателей отклоняются от нормы, производство сокращается, потенциал утрачен, а технические ресурсы ограничены. Необходимо сформулировать и внедрить систему антикризисного управления, сформулировать методы и средства преодоления кризиса, а также выяснить причины ухудшения финансового положения.
Единый критический уровень - фактическое значение показателя в корне отличается от стандартного, и, что еще хуже, организация становится банкротом. В этом случае возбуждается процедура банкротства.
Необходимые меры должны были быть приняты на втором уровне финансовой безопасности (до кризиса), чтобы ситуация не ухудшилась.
Таким образом, финансовая безопасность является основой для эффективной работы и долгосрочного развития. Методы оценки динамики основных показателей. Используя этот метод, эксперты анализируют динамические показатели и сравнивают их значения в прошлом и текущем периодах. Индикаторы - это некоторые специальные финансовые показатели, которые могут быть использованы для оценки финансовой безопасности. Они могут включать такие показатели, как инфляция, прибыльность, монетизация и т.д.