Bankir.Ru
10 декабря, суббота 17:49

Объявление

Свернуть
Пока нет объявлений.

Роль и место служб безопасности банка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Роль и место служб безопасности банка

    Добрый день!
    Как человек, не работающий в банке, хочу поделиться своим видением ситуации среди региональных банков и филиалов московских банков у нас в Красноярске. Может, кто и назовёт банк, где все в порядке. В одно время произошло масштабное сокращение численности персонала служб безопасности банков. У нас в Красноярске в ряде финансовых, инвестиционных и кредитных структур под предлогом экономии расходов не созданы подразделения экономической безопасности, бизнесразведки и контразведки. В наличии один руководитель безопасности из лиц бывших офицеров ФСБ или МВД. Подразделения физической охраны банка как собственные так и по договорам с ОВО МВД, отделы инкассации и прочее в этой теме не рассматриваем. У руководителя СБ есть необходимость, но нет желания управляющего филиалом или банком финансировать вопросы защиты информации и противодействия экономическому шпионажу. Аппаратуры для проверок и категорирования помещений нет. Имеющаяся в наличии аппаратура защиты генераторы шума и прочее как правило не проверяются на работоспособность. Один начальник должен за свою неплохую зарплату успеть сделать всё. Что физически не возможно. Зачастую филиалы банков размещены в не отдельном здании, где системы отопления и вентиляции общие для всего здания. Зачем внедрять жучок, если по стояку отопления можно прослушать информацию. Из всего сказанного вытекает главный вывод: роль и значение служб безопасности в банковском деле в Красноярских филиалах в настоящее время существенно занижена. Первоочередной проблемой экономической безопасности является обеспечение уверенности в управлении кредитными рисками, противодействие финансовому мошенничеству, незаконному получению кредита, надежное обеспечение своевременного возврата денежных ссуд. Жертвами финансового плутовства (и это российская национальная особенность) чаще всего станут те банкиры, которые пренебрегают возможностями "деловой разведки", «бизнес-разведки» служб безопасности, Таким образом, налицо грубейший просчет со стороны управляющих банков по отношению филиалов в обеспечении финансовой безопасности кредитной деятельности. У кого не так?

  • #2
    Безупречный наверно у всех "так". Убедить начальство проверить и защитить хотя-бы одно помещение - безнадежное дело. Более того через неделю там будет проведен ремонт - проверенно.

    Единственное что удается сделать - вывести информационную безопасность из подчинения ИТ, и выделить её в отдельное направление.
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

    Комментарий


    • #3
      Совершенно верно. Но удивляет что политика информационной безопасноти банка и его филиалов разные по подходу. В региональных филиалах если и есть техперсонал понимающий все аспекты политики и пути её реализации но нет руководителей проводящих эту политику в жизнь. Вроде говорим об аспектах информационной безопасноти БАНКА а на практике позиция управляющего делай как Я сказал, а там будешь стрелочником. То что IT руководят до сих пор спецами по ИБ, нонсенс. В большинстве IT спецы не оперативные и оперативнотехнические работники из силовых структур.

      Комментарий


      • #4
        Добрый день! У нас в Красноярске новость,открылся ещё один филиал одного из московских банков. С лицензией от 1 августа. Повесили табличку. С моей работой рядом. Пошёл знакомиться к начальнику службы безопасности банка. Мне с ходу сказали, что вакансий в рассмотримом будующем по направлению защита информации, противодействие экономическому шпионажу у них не предвидится и им не надо. Услуг по проверке помещений банка техническими методами тоже по началу отказались, но так как аппаратуры нет, то вопрос теперь в цене. вот если бы бесплатно, то давай, а за деньги вроде и проверять не надо. Вот такой подход к безопасности. У меня складывается впечатление, что просто у нас в Красноярске не у кого руки не дошли снимать информацию в банках. Думают, что это сложно, а чего проще с таким отношением к этим вопросам.

        Комментарий


        • #5
          Информационная безопасность всегда была и остается затратной частью бюджета компании. Трудно, а иногда и невозможно оценить возврат на инвестиции в безопасность. Руководство, при планировании бюджета, хочет получить от начальников ИТ-подразделений ясное обоснование затрат на внедрение новых технологий и средств защиты. Зачем покупать новые межсетевые экраны? Зачем модернизировать систему VPN? Что это даст? Насколько повысится общая защищенность ресурсов компании? Как это оценить? Не всегда начальникам ИТ-подразделений удается подобрать необходимую аргументацию и зарезервировать в бюджете статьи на информационную безопасность.
          В конечном итоге создание и модернизация системы информационной безопасности становится проблемой, лежащей исключительно в финансовой плоскости.
          С уважением, Владислав.

          Комментарий


          • #6
            Совершенно верно, Влад. Но ведь руководство знает, что мировая практика требует для надёжности и целесообразности эксплуатации системм защиты информации, не только IT, отчислять на эти цели не менее 5% от оборота, дохода предприятия. Если эти показатели снижаются до 2% и менее, то все ранее затраченные средства выброшены на воздух.

            Комментарий


            • #7
              А были случаи потерь из-за недостаточного финансирования, обращения внимания на эту безопасность?
              Одни разговоры и запугивания, да никому это не надо, а если нужно будет, через сотрудников банка всё узнают.

              Комментарий


              • #8
                Интересный ответ. Может кто и ответит про случаи. Я считаю,что продвинутая СБ будет все случаи прогнозировать и пресекать ещё на стадии подготовки. Посмотрим по другому. Были случаи когда банк 1 вел переговоры по выгодному контракту, вел да контракт заключили с банком 2. Почему, не спрашивали?

                Комментарий


                • #9
                  одним из главных условий бесперебойной работы банка, фирмы становится обеспечение безопасности их деятельности, что приобретает на сегодня все более сложный, разносторонний, комплексный характер и требует определенных материальных затрат. Эти затраты окупаются, если принятые меры сокращают или предотвращают ущерб от указанных выше угроз и, следовательно, можно говорить об эффективных расходах на обеспечение безопасности. Расчеты свидетельствуют, что затраты на создание системы защиты минимальны, если она формируется вместе с защищаемым банком или фирмой, и максимальны, когда систему защиты организуют и устанавливают на уже действующем банковском объекте. По этой причине все направления обеспечения безопасности, т. е. основы системы комплексной
                  защиты, должны учитываться еще при проектировании банка и быть предметом самого пристального внимания руководителя и начальника службы безопасности на всех этапах проектирования и строительства.Мировая статистика показывает, что угроза подслушивания (из группы III), например, в большинстве своем приводит к ущербу не более 15%, редко до 20%, от полной стоимости объекта. И действительно, еще не было такого случая, чтобы подслушивание непосредственно привело к гибели людей и к уничтожению всего объекта.
                  Следует однако отметить, что в последние десятилетия, в связи с бурным развитием электронной техники и появлением самых разнообразных микроминиатюрных устройств, угрозу подслушивания чаще всего преувеличивают, что наблюдается сейчас очень наглядно в России. В большинстве своем это происходит от некомпетентности и субъективизма в теории и практике создания систем комплексной защиты.

                  Комментарий


                  • #10
                    Редкий бред. Вы часом не учебник (журнал) цитируете? С работой Банков Вы хоть как-то знакомы? Особенно к месту пришлись генераторы шума. Вы не бывший сотрудник госорганов? Вы отдаете себе отчет в том, что гос. тайна и конфиденциальная информация в Банках, - разные вещи и требуют различных подходов и денежных вливаний? Пример с сотрудником, который может просто продать информацию (вынести документы) пришелся как нельзя кстати (при этом снимать информацию с окна при помощи лазера нет никакой необходимости). Бессмысленная дискуссия.
                    AlexN

                    Комментарий


                    • #11
                      Безупречный Случаи были. Случаи разные. Были и запугивание(удачное, ибо было на лицо полное отсутствие разграничений полномочий и нарушение простейших требований безопасности), были и технические моменты. Особенно подслушка.
                      Зачастую пока гром не грянет - никто крестится не собирается. Докладов о "тенденциях" явно не достаточно. Нужны убедительные проколы.

                      alexn нельзя так категорично рассуждать. Если ничего не боитесь - почему-бы в прямую не опубликовать всю информацию? Начиная с рутовых паролей и кончая расписанием смен инкассаторов?
                      Насчет цитирования книги - трудно упрекнуть человека в грамотности.
                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                      Комментарий


                      • #12
                        Romsan, где Вы прочли о том, что "я ничего не боюсь" и призываю к "раскрытию информации"? Категоричность основана на здравом смысле и практике. Повторюсь, получившаяся дискуссия (словоблудие) бессмысленна. Напротив, заявленная тема, безусловно интересна, впрочем, ИМХО, граничит с темой общей не эффективности управления в финансовых и прочих организациях современной России (ИТ, безопасность и т.д.).
                        AlexN

                        Комментарий


                        • #13
                          Ещё один интересный вопрос. Кого и какая информация может заинтересовать?
                          За 10 лет работы в Банке я знаю только одну страшную тайну, за разглашение которой можно пострадать - это СКОЛЬКО ЖЕ МЫ БУРЖУИ ПОЛУЧАЕМ!

                          Комментарий


                          • #14
                            alexn вы мне на слово поверите? Тогда я скажу что Знаю о случаях подслушивания.

                            Хороший шпион - непойманный шпион. Чистый слив - это когда никто не верит что он прошел.
                            Подавая сигналы в рог будь всегда справедлив, но строг. ©

                            Комментарий


                            • #15
                              Я тоже о них знаю, и что? Я также знаю о случае, когда сотрудник просто не выполнил свои функции и Банк потерял около полумиллиона долларов. Это было даже не мошенничество, просто безалаберность. И со многими другими нарушениями теперь уже безопасности (имевшими далеко не столь плачевные последствия) я знаком. Только форум, это не политинформация, и мне безынтересно обсуждать пламенные воззвания (цитаты).
                              AlexN

                              Комментарий


                              • #16
                                Romsan Знаю о случаях подслушивания

                                И какой убыток или моральный ущерб Банк получил?

                                Комментарий


                                • #17
                                  alexn иногда и политинформация полезна. Иногда даже полезней чем фактическое обсуждение конкретного случая. Ибо система описывает случаи, а не наоборот. Не подумайте что я вас учу.

                                  tired как можно оценить количественный убыток при обнаружении закладки действующей неизвестное кол-во времени и неизвестно кем использующейся?
                                  Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                  Комментарий


                                  • #18
                                    Всем спасибо. В начале темы я сообщал, что не работаю в банке,а так, подработываю на оказании услуг. Да я из бывших силовых структур. На счет цитирования, это выдержки из доклада в центробанке. Велосипед я не изобретаю, просто полность придерживаюсь так сказать Устава, так как он написан "кровью". Alexn ВЫ судите по теме как сотрудник СБ банка или из других его управлений? Я к тому что это не бред. Ну виноват, сознаюсь. Я работаю по этой теме в одной гражданской госструктуре и моя задача прежде всего обеспечение информационной безопасности 1 лица предприятия.

                                    Комментарий


                                    • #19
                                      Romsan Не для меня, да и где Вы нашли описание системы? Можно создать раздел "Политинформация". Давайте писать туда обо всем, что показалось Вам увлекательным после прочтения. Также можно начать обсуждать книги, публикации и их применимость к банковской действительности. Простите, но мне пришлось поработать с "военными специалистами" и я порядком устал от их теоретических "знаний". Сегодня в АРБ состоится первое заседание подкомитета по информационной безопасности банковской деятельности. Завтра (в разделе "Политинформация") готов поделиться своими впечатлениями.
                                      AlexN

                                      Комментарий


                                      • #20
                                        Romsan

                                        Если нельзя оценить, значит ничего серьёзного не случилось.
                                        Я уверен, что никому не нужны эти закладки и прослушки.
                                        Это можно использовать только для шантажа "нечистоплотных" руководителей.
                                        Ну к примеру разглашение каких сведений может навредить Банку?

                                        Комментарий


                                        • #21
                                          Я так думаю, что пока есть хренова туча проверяющих организаций, включая ЦБ, нефиг тратить деньги на перегибы безопасности, потому как информация всё равно уплывёт при желании. Но она не уплывает 8-) , в частности в Красноярске, поскольку ВСЕ И ТАК ВСЁ ЗНАЮТ!

                                          Комментарий


                                          • #22
                                            Romsan как можно оценить количественный убыток при обнаружении закладки действующей неизвестное кол-во времени и неизвестно кем использующейся?
                                            Определяется легко- это затраты на покупку жучка, установку и прослушивание всех бесталковых разговоров.
                                            Лучше всего спросить это у тех кто это все устанавливает
                                            y1984 ВСЕ И ТАК ВСЁ ЗНАЮТ
                                            Даже порой больше.
                                            Самая секретная информация в банке это местонахождение штопора.

                                            А самый большой ущерб это когда уборщица ставит цветок на сервер и начинает его поливать. Такой случай имел в одном банке, несмотря на то что доступ в серверную был по карточке и имелись аж ТРИ камеры слежения.

                                            Комментарий


                                            • #23
                                              alexn Давайте писать туда обо всем, что показалось Вам увлекательным - так и получается при обсуждении безопасности. Если покапатся в форуме - все вопросы касающиеся безопасности заканчивались именно так.

                                              готов поделиться своими впечатлениями - всегда рады послушать.

                                              tired не смею спорить.
                                              Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                              Комментарий


                                              • #24
                                                Доброе утро! Если жучки и прослушки никому не нужны,так почему их находят? Так как техника дорогая, то при решении на установку в принципе безвозвратную, должно быть обоснование. В одной фирме не банке, нашли закладку вмонтированную в столешницу новой мебели 1 лица, почти все пространство было занято элементами питания закладки. Действительно жучки физического вреда человеку не принесут. Но безопасноть это комплекс мероприятий начиная от противопожарной безопасности, т.к. пожар уничтожит всю информацию и до несанкционированного но узаконенного законом мероприятия в виде маски-шоу. О том что делать если маски пришли в гости уже была тема. Что считать конфиденциальной информацией прирегатива самого банка и как её защищать или нет. Но руководители СБ банков особенно из КГБ говорят, что у них в каждом банке по агенту, а значит даже если это так на 20% то есть смысл в этом "бреде". Ну пускай назовем всё не информационной безопасностью, а контрразведкой. Как правильно говорили господа выше, главная угроза от собственного персонала.
                                                С уважением

                                                Комментарий


                                                • #25
                                                  Безупречный Если жучки и прослушки никому не нужны,так почему их находят?
                                                  Repeat:
                                                  Это можно использовать только для шантажа "нечистоплотных" руководителей. Тогда и появляются Маски-шоу!

                                                  А насчет угрозы от персонала. Да от персонала легче получить информацию, вместо использования навороченной аппаратуры. Но кто-нибудь скажет мне утечка какой информации может нанести ущерб Банку?
                                                  Последний раз редактировалось tired; 16.10.2003, 07:25.

                                                  Комментарий


                                                  • #26
                                                    Если на дверях ставят замки, значит это кому нибудь нужно. В каком случае больше вероятность проникновения, при наличии замка на двери который можно взломать или при его отсутствии. Это про целесообразность СБ. От персонала получить инфу легче и дешевле, а если этот персонал и ещё является агентом влияния то вообще золотое дно. Но как и в любом случае человеческого фактора он и здесь играет свою роль, он может быть недовольным и он знает что он делает и для кого. А аппаратура ставиться и используется скрытно. Одно другому только помогает. Если никакая потеря информации не может нанести банку ущерб, то почему мне как вкладчику банка - банк не дает информацию как он использует мои деньги на счете и почему так а не иначе для увеличения моей прибыли в % от вклада?
                                                    С уважением

                                                    Комментарий


                                                    • #27
                                                      КТО ВОЗГЛАВИТ СЛУЖБУ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ? ХОЧЕТСЯ УСЛЫШАТЬ МНЕНИЕ БАНКОВСКИХ СБ.
                                                      По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективности кадровых решений – вот что дает настоящие конкурентные преимущества. Или не дает. Давайте рассмотрим, каким уровнем компетентности должны обладать специалисты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.
                                                      Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):
                                                      · CISO (Chief Information Security Officer) – директор по информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной происходящим в ней бизнес-процессам.
                                                      · BISO (Business Information Security Officer) – менеджер/специалист службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.
                                                      Структура подчиненности
                                                      Согласно Gartner Research 2001 в компаниях, входящих в список Global 2000, наблюдается несколько тенденций.
                                                      Одна из них – вывод CISO из структуры отдела ИТ/автоматизации в подчиненность первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/ автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимыми друг от друга, и оба подчиняться первому лицу компании.
                                                      Другая тенденция (в некоторых компаниях) – слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции: например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.
                                                      Наиболее продвинутые в отношении ИБ и управления рисками компании инвестируют средства в позицию CPO (Chief Privacy Officer), русский аналог – заместитель директора по безопасности. В этом случае CISO будет подчинен CPO.
                                                      В общем то тема про роль СБ в банках, а не в принципах её работы.
                                                      С уважением

                                                      Комментарий


                                                      • #28
                                                        Безупречный Если на дверях ставят замки, значит это кому нибудь нужно. Дураков у нас хватает, им и нужно! Лучше ответь фактами а не цитатами :
                                                        утечка какой информации может нанести ущерб Банку?

                                                        то почему мне как вкладчику банка - банк не дает информацию как он использует мои деньги на счете и почему так а не иначе для увеличения моей прибыли в % от вклада?

                                                        А это что за (извиняюсь) глупый вопрос. Есть договор, хочешь соглашайся, хочешь нет. А что Банк из твоих денег сделает, какая тебе разница, главное проценты свои получить.

                                                        Комментарий


                                                        • #29
                                                          tired Но кто-нибудь скажет мне утечка какой информации может нанести ущерб Банку?
                                                          Это можно. Пример: Оператор, пользуясь доступом к счетам клиентов, передает эту информацию третьим лицам. Ущерб финансовый и репутации.
                                                          [/B]
                                                          С уважением, Владислав.

                                                          Комментарий


                                                          • #30
                                                            Vlad_Kond

                                                            Финансовый не всегда, с репутацией согласен, только мы о том, что кому то эта информация так надо, что давай им приборы очень дорогостоящие или хакеры крутые ............... так что ж это за информация?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X