Построение модели объекта кредитно-финансовой сферы

Размещено на http://www.allbest.ru/

Построение модели объекта кредитно-финансовой сферы

Павлушин Дмитрий Александрович

Научный руководитель: Тургаева Аксана Альбековна Доцент

Департамента экономической безопасности и управления рисками

Кандидат экономических наук, доцент

Аннотация

Данная статья представляет собой исследование, посвященное разработке комплексной модели, необходимой для эффективного управления финансовыми потоками и рисками в банке. В рамках представленного исследования рассматривается как банк, общая численность сотрудников которого составляет 7 тысяч человек. Автор статьи подробно анализирует важность управления капиталом и ресурсами банка, чтобы обеспечить его стабильность и успешное функционирование. В работе были определены и проанализированы три ключевые причины проведения аудита для данной организации. Автор формулирует вывод о том, что разработка новых элементов программного обеспечения, а также модернизация собственных существующих приложений и систем из информационной среды кредитно-финансовой организации ведется каскадным способом, что затрудняет быстрое внесение изменений, а также замедляет проверку работоспособности новых продуктов. При этом было установлено, что тестирование новых программ проводится на собственном аппаратном обеспечении банка в изолированной зоне, не имеющей никаких каналов соприкосновения с собственной информационной средой организации. В заключительной части статьи автор подчеркивает, что построение модели объекта кредитно-финансовой сферы является неотъемлемой частью стратегии развития банка и необходимо для его долгосрочного успеха на рынке финансовых услуг. Кроме того, проведенный анализ позволил сделать вывод о том, что в целом рассматриваемая кредитно-финансовая организация заботится о поддержании конфиденциальности, целостности и доступности располагаемых данных, а также о безопасности собственных сотрудников, однако в ее информационной среде можно отметить целый ряд уязвимостей.

Ключевые слова: кредитно-финансовая сфера; банковая система; банки; информационная безопасность; аудит информационной безопасности; аудиторские мероприятия; внутренний аудит

Abstract

банк кредитный финансовый коммерческий

Pavlushin Dmitry Alexandrovich Academic adviser: Turgaeva Aksana Albekovna Construction of a model of an object in the credit and financial sphere

This article is a study devoted to the development of a comprehensive model necessary for the effective management of financial flows and risks in a bank. In the framework of the presented study, we consider a bank with a total number of employees of 7 thousand people. The author of the article analyzes in detail the importance of managing capital and resources of a bank to ensure its stability and successful operation. The work identified and analyzed three key reasons for conducting an audit for a given organization. The author formulates the conclusion that the development of new software elements, as well as the modernization of its own existing applications and systems from the information environment of a financial institution, is carried out in a cascade manner, which makes it difficult to quickly make changes, and also slows down the performance testing of new products. At the same time, it was established that testing of new programs is carried out on the bank's own hardware in an isolated area that does not have any channels of contact with the organization's own information environment. In the final part of the article, the author emphasizes that building a model of an object in the credit and financial sector is an integral part of the bank's development strategy and is necessary for its long-term success in the financial services market. In addition, the analysis led to the conclusion that, in general, the financial institution in question cares about maintaining the confidentiality, integrity and availability of available data, as well as the safety of its own employees, however, a number of vulnerabilities can be noted in its information environment.

Keywords: credit and financial sector; banking system; banks; Information Security; information security audit; audit activities; internal audit

Введение

Банк представляет собой финансовое учреждение, специализирующееся на предоставлении кредитов и других финансовых услуг своим клиентам. Для эффективной работы и управления финансовыми потоками, банк нуждается в построении модели объекта кредитно-финансовой сферы.

Модель объекта кредитно-финансовой сферы банка представляет собой комплексный анализ и описание всех ключевых аспектов деятельности банка, связанных с выдачей кредитов, привлечением депозитов, управлением рисками и финансовыми потоками. Эта модель позволяет банку оптимизировать свою деятельность, принимать обоснованные решения и управлять своими ресурсами эффективно.

Построение модели объекта кредитно-финансовой сферы банка включает в себя анализ внутренних и внешних факторов, оценку рисков, разработку стратегии развития и управления капиталом. Такая модель помогает банку прогнозировать будущие изменения на рынке, адаптироваться к новым условиям и обеспечить стабильность своей деятельности.

В итоге построение модели объекта кредитно-финансовой сферы банка является необходимым шагом для обеспечения его успешного функционирования и конкурентоспособности на рынке финансовых услуг.

Цель данного исследования заключается в выявлении особенностей модели объекта кредитно-финансовой сферы банка.

Объектом является кредитно-финансовая организация, предметом -- модель объекта кредитно-финансовой сферы.

Методы и материалы

При написании научной статьи автором применялись методы обобщения и конкретизации, сравнения, анализа научных исследований, индукции и дедукции.

Для достижения данной цели в работе были поставлены следующие задачи:

• проанализировать особенности деятельности выбранного банка;

• рассмотреть причины необходимости проведения аудита банка;

• выявить особенности информационной инфраструктуры рассматриваемого объекта.

В основу исследования легли научные публикации таких отечественных авторов, как С.П. Середкин [1], С.И. Макаренко, Г.Е. Смирнов [2], М.Ю. Рытов, Н.О. Мусиенко, Ю.А. Губсков, Ю.В. Минин [3], Т.В. Клочкова [4] и других.

Результаты и обсуждения

При подготовке к проведению аудита информационной безопасности на объекте кредитно-финансовой сферы аудиторам в первую очередь необходимо ознакомиться с деятельностью, организационной и информационной инфраструктурой проверяемой организации. Кроме того, необходимо понимать, какова причина, по которой возникла необходимость проведения аудита. В данной работе предполагается выработать методику проведения аудита для собирательного аналога реально существующих организаций. Опишем модель аудируемого объекта.

В данной работе будет рассматриваться банк, общая численность сотрудников которого составляет 7 тысяч человек. Банк ведет свою деятельность в Москве и Московской области. Основной способ взаимодействия с клиентами -- сеть Интернет, так как банк стремится поощрять клиентов проводить финансовые операции через сеть, чтобы постепенно снижать количество арендуемых площадей и сторонних сотрудников. Тем не менее на момент проведения аудита организация имеет около 60 офисов в черте города и около десятка по области. Также банк занимается обслуживанием банкоматов (более 300) и платежных терминалов, в том числе предоставляет услуги эквайринга -- занимается установкой, обслуживанием и технической поддержкой POS-терминалов, в том числе создает и корректирует программное обеспечение для них. Кроме того, организация имеет несколько партнерских соглашений с другими кредитно-финансовыми организациями. Среди прочих возможностей они предусматривают взаимное предоставление доступа к услугам, проводимым через банкомат клиентам друг друга [4].

Необходимость проведения аудита для данной организации обусловлена тремя основными причинами.

Во-первых, организация собирается в скором времени изменить порядок обновления программного обеспечения подконтрольных ей мобильных платежных терминалов. Ранее их фактическое обновление не проводилось -- свежее программное обеспечение устанавливалось лишь на недавно произведенные терминалы. Причина состояла в невозможности дистанционного обновления. В случае необходимости внесения изменений пришлось бы либо разрабатывать аппаратное и программное обеспечение для создания устройств обновления терминалов, либо отзывать все платежные терминалы обратно на территорию организации. Работы по первому направлению не велись, так как их посчитали финансово необоснованными. Другое направление было принято, как допустимое лишь для случая обнаружения критических ошибок или уязвимостей в уже выпущенном программном обеспечении для платежных терминалов [5].

Во-вторых, в ближайшем будущем банк собирается открыть отделения в Европе -- сначала в странах ближайшего зарубежья, а затем, возможно, переходить и в более конкурентную среду западных стран. Чтобы все необходимые сертификации прошли без проблем, а также для минимизации вероятности неожиданной беспомощности защитных средств информационной среды организации перед угрозами внешней среды, в которой функционирование ранее не велось, возникла необходимость оценки существующих уязвимостей и информационных рисков организации.

В-третьих, в связи с постепенным сокращением физического присутствия и переходом в сферу цифрового банкинга организация периодически проводила сокращения сотрудников. Несмотря на то что, большая часть уволенных не имела отношения к разработке или обновлению программного обеспечения или защитных средств организации, многие имели доступ к ее информационной инфраструктуре в соответствии с политикой информационной безопасности организации в части распределения прав пользователей и могли сложить общее представление об информационной среде организации, обнаружить какие-либо как известные, так и неизвестные отделу информационной безопасности предприятия уязвимости, и не сообщить о своей осведомленности [6].

Что касается информационной инфраструктуры рассматриваемого объекта кредитнофинансовой сферы, то большая ее часть представлена в главном офисе организации. Ни физические, ни юридические лица из числа клиентов в указанном здании не принимаются, однако довольно часто ведутся переговоры с партнерами банка и представителями подрядных организаций, а также встречи руководящих органов. Подобные коммуникации могут предусматривать как личное присутствие всех участников, так и удаленное взаимодействие с одним или несколькими из них -- при помощи телефонного звонка или программ, предусматривающих режим ведения телеконференции. С целью обеспечения конфиденциальности переговоров на объекте имеются специализированные акустически изолированные комнаты.

Помимо пункта проведения встреч особой важности подконтрольная кредитно-финансовой организации часть здания служит местом программной разработки и поддержки цифрового взаимодействия с клиентами банка. Здесь же расположены тестовые серверы, однако все необходимые серверные мощности в целях минимизации финансовых затрат переведены на аутсорсинг. Таким образом, массивы хранения и обработки данных почти полностью предоставляются сторонней организацией. Переход на подобный порядок поддержки информационно-технологической среды произошел совсем недавно, однако компания-подрядчик все равно считается доверенной, так как представители кредитнофинансовой организации, ответственные за обеспечение информационной безопасности провели многочисленные предварительные консультации с ответственными сотрудниками предприятия-поставщика вычислительных мощностей и сделали вывод об удовлетворительной степени защищенности информации на серверах компании-подрядчика, сохранности персональных данных и обеспечения непрерывности предоставления возможности обработки информации [7].

В дополнение к указанному арендуемому серверному оборудованию компания имеет договор с еще одной компанией о содержании «холодной» площадки, однако от создания или аренды готовой к безотложному запуску информационно-технической инфраструктуры обеспечения непрерывности предоставления доступа к данным и возможности их обработки банк решил отказаться, посчитав такое решение слишком дорогостоящим.

Прочая информационная составляющая приходится на множество мелких офисов и отделений, однако никаких ценных данных в них не содержится, а взаимодействие с основным отделением производится по защищенным сетевым каналам.

Все объекты информатизации оборудованы системами контроля и управления доступом, однако представители охранных организаций присутствуют в узлах физического доступа к внутренним помещениям только в основном здании. Во всех отделениях установлены устройства видеонаблюдения как скрытого, так и открытого типа, однако покрытие почти на всех объектах неполное -- в мелких отделениях просматриваются лишь вход и пространство вокруг кассовых окон, во многих местах камеры установлены, но не подключены.

На все автоматизированные рабочие места сотрудников установлены антивирусные программы. Договор на поставку данного программного обеспечения был заключен давно с компанией, с которой у кредитно-финансового объекта отрицательного опыта взаимодействия ранее не было. В центральном отделении дополнительно установлена полноценная система обнаружения и противодействия кибератакам. Вся защитная программная составляющая поставляется европейскими компаниями. При первой установке программный код анализировался программистами банка в той мере, о которой была достигнута договоренность с представителями организаций-поставщиков программ, однако с тех пор указанное программное обеспечение множество раз обновлялось [8].

Кроме того, часть отделений кредитно-финансовой организации были перемещены -- открыты вновь на новых местах. Причины тому были различны -- помимо случаев сноса зданий, нарушающих городские правила расположения и эксплуатации с последующим переносом офиса в другое строение, часть новых месторасположений была призвана принимать клиентов, ранее посещавших отделения, закрытые в период избавления от офисов с низкой посещаемостью, связанной с неудачным расположением и поощрением перехода клиентов на

Интернет-взаимодействие. Таким образом, в большинстве случаев удалось рационализировать количество и расположение пунктов физического присутствия кредитно-финансовой организации в городе. В связи с экономией финансовых ресурсов, затрачиваемых ранее на аренду ныне утраченных помещений, а также повышением потока клиентов было принято решение избавиться от устаревшего технического обеспечения и заменить его более современным оборудованием. Разумеется, программное обеспечение на введенных в эксплуатацию устройствах устанавливалось заново -- при поставке все части, обеспечивающие хранение данных, были чисты. Установка производилась при помощи физических носителей от лицензированных производителей. Возможность их подключения на устройствах не была заблокирована до настоящего момента.

Взаимодействие между сотрудниками может производиться при личном присутствии мгновенно -- участники команды имеют близко расположенные автоматизированные рабочие места. Дополняться устное общение может передачей данных по внутренней телефонной и единой цифровой сетям организации [9].

На всем предприятии принята ролевая политика управления доступом. Для каждого сотрудника создается учетная запись, которая позволяет его однозначно идентифицировать. Для каждой учетной записи однозначно определено соответствие одной из предусмотренных в информационной среде организации ролей, которые определяют права пользователя на доступ к информации и возможности по ее обработке. Взаимодействие сотрудника с информационной инфраструктурой кредитно-финансовой организации не может производиться без авторизации в системе, а она, в свою очередь, невозможна без прохождения процедур идентификации и аутентификации пользователя. При отсутствии каких-либо действий со стороны авторизовавшегося лица в течение короткого времени система прерывает доступ к учетной записи.

Разработка новых элементов программного обеспечения, а также модернизация собственных существующих приложений и систем из информационной среды кредитно-финансовой организации ведется каскадным способом, что затрудняет быстрое внесение изменений, а также замедляет проверку работоспособности новых продуктов. Тем не менее на всем протяжении проектирования, разработки и тестирования программ обеспечивается выполнение основных требований информационной безопасности. Части программного кода, которые не понадобятся разработчикам или тестировщикам в ближайшее время подписываются закрытым ключом и хранятся в единственном экземпляре на серверах организации. При необходимости авторизованный пользователь с достаточным набором прав может отправить запрос на получение доступа к необходимому элементу. После этого в короткий срок код будет расшифрован и предоставлен запросившему его сотруднику.

Тестирование новых программ проводится на собственном аппаратном обеспечении банка в изолированной зоне, не имеющей никаких каналов соприкосновения с собственной информационной средой организации.

Во всех отделениях, как побочных, так и в основном здании присутствуют системы оповещения о пожаре, закуплено достаточное количество огнетушителей, сотрудники ознакомлены с планами эвакуации. В ночное время активируется также сигнализация, направленная на оповещение частного охранного предприятия о незаконном доступе во внутренние помещения кредитно-финансового объекта. Резервные системы электроснабжения отсутствуют.

Потерявшие актуальность бумажные документы хранятся в основном здании банка. Периодически проводится утилизация потерявшей актуальность финансовой и технической документации. Определение необходимости уничтожения бумаги производится во время проверки хранилищ путем сверки даты составления документа с установленным внутренними документами организации или законодательными актами сроками его хранения [10].

Выводы

В данной статье были изучены особенности информационной, организационной и бизнес-сред кредитно-финансового учреждения, а также причины, по которым данному банку понадобилось проведение аудита информационной безопасности. Для этого была проанализирована модель информационной инфраструктуры банка как объекта информатизации.

На основе проведенного анализа можно сделать вывод о том, что в целом рассматриваемая кредитно-финансовая организация заботится о поддержании конфиденциальности, целостности и доступности располагаемых данных, а также о безопасности собственных сотрудников, однако в ее информационной среде можно отметить целый ряд уязвимостей, которыми могут воспользоваться злоумышленники или которые могут привести к отрицательным последствиям при некоторых незлонамеренных действиях недостаточно компетентных в области защиты информации сотрудников предприятия.

Для того, чтобы более явно и полно выделить весь набор путей несанкционированного доступа к информационным ресурсам смоделированной организации, опишем и проанализируем модели возможных нарушителей режима информационной безопасности на основе приведенных особенностей ее структуры.

Литература

1. Середкин, С.П. Деловая игра как условие формирования профессиональных компетенций будущих специалистов по защите информации / С.П. Середкин // Информационные технологии и математическое моделирование в управлении сложными системами. 2022. № 2(14). С. 34-42. DOI 10.26731/2658- 3704.2022.2(14).34-42. EDN VHJMVR.

2. Макаренко, С.И. Методика обоснования тестовых информационно-технических воздействий, обеспечивающих рациональную полноту аудита защищенности объекта критической информационной инфраструктуры / С.И. Макаренко, Г.Е. Смирнов // Вопросы кибербезопасности. 2021. № 6(46). С. 12-25. DOI 10.21681/2311 -3456-2021 -6-12-25. EDN QARDES.

3. Аудит и мониторинг состояния объектов информатизации в процессе проектирования комплексных систем защиты информации значимых объектов критической информационной инфраструктуры / М.Ю. Рытов, Н.О. Мусиенко, Ю.А. Губсков, Ю.В. Минин // Приборы и системы. Управление, контроль, диагностика. 2022. № 10. С. 10-18. DOI 10.25791/pribor.10.2022.1364. EDN LZZWNT.

4. Клочкова, Т.В. Рост количества утечек конфиденциальной информации как проблема современной информационной безопасности / Т.В. Клочкова // Наука, техника и образование. 2019. № 4(57). С. 60-62. DOI 10.24411/23128267-2019-10404. EDN FUSXUG.

5. Стукалов, В.Е. Цели и задачи аудита информационной безопасности / Е. Стукалов // Молодой ученый. 2024. № 2(501). С. 16-19. EDN EMQQAF.

6. Денисенко, В.В. Аудит информационной безопасности организаций: методы и преимущества / В.В. Денисенко, А.М. Гончаров, И.П. Маслов // Наукосфера. 2023. № 11-2. С. 135-140. DOI 10.5281/zenodo.10219420. EDN OCUDZW.

7. Пожарова, Д.В. Развитие интернет-банкинга. Преимущества и недостатки банка "в кармане" / Д.В. Пожарова, А.Ю. Федько, Ю.Д. Васильева // Вестник Российского нового университета. Серия: Человек и общество. 2021. № 1. 46-51. DOI 10.25586/RNU.V9276.21.01.P.046. EDN BDJIGC.

8. Макшанский, А.Р. Как проводить аудит безопасности информационных систем: основные этапы и методы / А.Р. Макшанский // Научный аспект. 2023. Т. 28, № 11. С. 3400-3404. EDN BKLKGU.

9. Читалов, М.В. Основы проведения комплексного риск-ориентированного аудита информационной безопасности / М.В. Читалов, Д.Б. Базанов // Международный журнал информационных технологий и энергоэффективности. 2023. Т. 8, № 7(33). С. 9-15. EDN CPUVNA.

10. Ситская, А.В. Вопросы аудита информационной безопасности / А.В. Ситская, В.В. Селифанов, П.А. Звягинцева // Безопасность цифровых технологий. 2023. № 3(110). С. 67-82. DOI 10.17212/2782-2230-2023-3-67-82. EDN QQWOSR.

Размещено на Allbest.ru