- •Дніпропетровська державна фінансова академія
- •Безпека фінансово-кредитних установ
- •Передмова
- •Міжособистісні компетенції:
- •Системні компетенції:
- •Спеціальні компетенції:
- •1.2. Тематичний план навчальної дисципліни
- •1.3. Зміст навчальної дисципліни «безпека фінансово-кредитних установ» Модуль 1. Основи економічної безпеки фінансово-кредитних установ
- •Тема 1. Аналіз ризиків, які впливають на економічну безпеку фку (еб фку). Діагностика ризиків
- •Тема 2. Функціональні складові еб фку
- •Модуль 2. Економічна безпека на ринку фінансових послуг
- •Модуль 3. Індивідуальне науково-дослідне завдання (індз)
- •2. Методичні рекомендації до самостійної роботи Модуль 1. Основи економічної безпеки фінансово-кредитних установ
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Модуль 1. Основи економічної безпеки фінансово-кредитних установ
- •Тема 2. Функціональні складові еб фку
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Тема 3. Забезпечення еб корпоративними ресурсами
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Тема 4. Засоби забезпечення еб
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список:
- •Тема 5. Етапи забезпечення еб
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Тема 6. Методика розрахунку комплексного показника еб
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Тема 7. Аудит стану еб фку
- •План вивчення теми
- •Методичні рекомендації до самостійної роботи
- •Ключові терміни і поняття:
- •Питання для самоконтролю
- •Тестові завдання
- •Бібліографічний список до теми
- •Тема 1. Аналіз ризиків, які впливають на економічну безпеку фку (еб фку). Діагностика ризиків
- •Ключові терміни і поняття:
- •Питання для обговорення
- •Тестові завдання
- •Бібліографічний список до семінарського заняття
- •Тема 2. Функціональні складові еб фку
- •Ключові терміни і поняття:
- •Питання для обговорення
- •Тестові завдання
- •Бібліографічний список до семінарського заняття
- •Тема 6. Методика розрахунку комплексного показника еб
- •Ключові терміни і поняття:
- •Питання для обговорення
- •Тестові завдання
- •Бібліографічний список до семінарського заняття
- •4. Методичні рекомендації до вИконання індивідуальних завдань
- •4.1. Індивідуальне завдання I рівня складності Теми рефератів
- •4.2. Індивідуальне завдання іi рівня складності Реферативно-наукові індивідуальні завдання
- •5. Підсумковий контроль Переліз питань до заліку
- •6. Список рекомендованої літератури
- •Навчально-методичний посібник Безпека фінансово-кредитних установ Панасейко Сергій Миколайович
Бібліографічний список до теми
1-5, 8, 11, 13, 15-24, 26, 28, 29, 30
Тема 4. Засоби забезпечення еб
Мета
|
|
|
|
План вивчення теми
1.Інформаційна безпека банку.
2.Інформаційно-аналітичне забезпечення діяльності банку.
Методичні рекомендації до самостійної роботи
Розглядаючи перше питання необхідно звернути увагу на те, що важливою особливістю сьогодення є перехід від індустріального суспільства до інформаційного, в якому головним ресурсом замість капіталу стає інформація.
Власна інформація має значну цінність, оскільки нерідко її отримання (створення) — досить трудомісткий і дорогий творчий процес. Тому очевидно, що реальна цінність інформації визначається насамперед доходами від її використання.
Водночас, ураховуючи, що в ринкових умовах основним рушієм прогресу є конкуренція, а остання спрямована на створення умов для збільшення прибутку, інформація за певних обставин стає об'єктом дій конкурентів. У такому разі інформаційні об'єкти мають бути достатньо захищені, з тим щоб виключити можливість несанкціонованого доступу до них і незаконного використання.
У загальному плані оволодіння інформацією, щодо якої встановлено обмежений доступ, може здійснюватись шляхом її мимовільної втрати, розголошення або несанкціонованого доступу до неї.
У сучасній літературі поняття «витоку інформації» подається досить неоднозначно, але тут воно розглядається як мимовільне поширення інформації за рахунок технічних або експлуатаційних особливостей певного обладнання, втрати, пошкодження, знищення документальних та програмних носіїв інформації в результаті дії стихійного лиха, поширення інформації через потрапляння в інформаційні мережі комп'ютерних вірусів, інші випадки, які не мають навмисного характеру.
Розголошення інформації виявляється в умисному або необережному її повідомленні, опублікуванні, оголошенні, переданні, наданні для ознайомлення, пересиланні, втраті особами, яким така інформація була відома у зв'язку з їх професійною діяльністю і коли у цьому не було службової необхідності.
Несанкціонований доступ до інформації тут розуміється як доступ до інформації, який здійснюється з порушенням установлених правил розмежування доступу.
Усі зазначені вище шляхи отримання інформації можуть використовуватись конкурентами, промисловими шпигунами, спецслужбами за допомогою створення так званих каналів витоку та передання інформації. У свою чергу, ці канали передбачають створення відповідних умов для переходу інформації від її носія до споживача.
Відомо, що взагалі інформація переноситься чи передається енергією або матеріальними носіями. У фізичній природі можливі такі шляхи перенесення інформації: світові промені, звукові хвилі, електромагнітні хвилі, матеріали речовини.
Джерелами інформації можуть бути люди, документи, публікації, технічні засоби забезпечення виробничої діяльності, продукція, промислові та виробничі відходи.
Передавачами та приймачами можуть бути різноманітні технічні засоби, тайники, кур'єри, зв'язківці та ін. Серед отримувачів можна розглядати спецслужби, конкурентів, кримінальні елементи, ЗМІ, різні інформаційні, детективні агентства тощо.
У випадках мимовільного витоку інформації зазначеними отримувачами використовуються відповідні технічні засоби, які можуть сприймати та переробляти інформацію від так званих паразитних випромінювань технічних засобів та мереж, механічних коливань будівельних конструкцій, створених від дії на них звукових коливань. Крім того, для отримання так званої випадкової інформації організовується спостереження за різними офіційними джерелами: Інтернет, ЗМІ, конференції, симпозіуми, вивчення технічних відходів і т. п.
Як у разі мимовільного витоку інформації, так і за несанкціонованого доступу до неї існують відповідні канали отримання інформації: візуально-оптичні (спостереження, відео-, фотозйомка), акустичні та акустоперероблювальні, електромагнітні (у тому числі й магнітні та електричні), матеріально-речові (магнітні носії, папір, фотографії і т. д.).
Поряд з неправомірним отриманням інформації існують і інші загрози, які не передбачають отримання інформації, але, у свою чергу, не менш небезпечні. Серед них такі, як знищення і модифікація (зміна змісту) інформації. У цьому разі інформація хоч і не потрапляє до конкурентів чи злочинців, але її використання стає неможливим і самими власниками.
Заходи захисту інформації в засобах і мережах її передавання та обробки в основному передбачають використання апаратних, програмних та криптографічних засобів захисту. У свою чергу, апаратні засоби захисту (АЗЗ) застосовуються для вирішення таких завдань:
перешкодження візуальному спостереженню і дистанційному підслуховуванню;
нейтралізація паразитних електромагнітних випромінювань і наводок;
виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або таких, які принесено до установ фірми, підприємства, банку;
захист інформації, що передається засобами зв'язку і міститься в системах автоматизованої обробки даних.
На практиці всі заходи щодо використання АЗЗ поділяються на три групи: організаційні, організаційно-технічні, технічні.
Під програмними засобами захисту розуміють систему спеціальних програм, включених до складу програмного забезпечення комп'ютерів та інформаційних систем, які реалізують функції захисту конфіденційної інформації від неправомірних дій і програми їх обробки.
Програмні засоби забезпечують захист інформації від несанкціонованого доступу до неї, копіювання її або руйнування.
Згідно зі ст. 60 Закону України «Про банки і банківську діяльність» до банківської таємниці належить інформація про діяльність і фінансовий стан клієнта, що стала відома банку у процесі його обслуговування і взаємовідносин з ним або з третіми особами під час надання послуг банком, розголошення якої може завдати матеріальної чи моральної шкоди клієнту.
Під комерційною таємницею підприємства маються на увазі відомості, пов'язані з виробництвом, технологічною інформацією, управлінням, фінансами та іншою діяльністю підприємства, що не є державною таємницею, розголошення (передання, втрата) яких може завдати шкоди його інтересам.
Поняття «конфіденційна інформація» наведено в Законі України «Про інформацію», де зазначено, що остання за своїм правовим режимом є інформацією з обмеженим доступом і вона являє собою «... відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи то юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов» (ст. 30).
Розрізняючи поняття банківської та комерційної таємниць, конфіденційної інформації, законодавець установлює і різний правовий режим захисту такої інформації.
Правовий режим захисту банківської таємниці встановлено Законом України «Про банки і банківську діяльність».
Керівники, службовці банку, приватні особи й організації зобов'язані не розголошувати, не використовувати у своїх інтересах або інтересах третіх осіб інформацію, яка є банківською таємницею і яка стала їм відома під час виконання посадових обов'язків у банку або в процесі взаємовідносин з ним.
Особливості режиму функціонування комерційної таємниці мають дещо інший, відмінний від банківської таємниці, характер. Тут право комерційної таємниці породжує право відносин абсолютного характеру — одній правомочній особі протистоїть невизначене коло зобов'язаних осіб; перелік відомостей, що становлять комерційну таємницю визначається керівником банку (підприємства), і одні й ті самі відомості в одному випадку можуть вважатись комерційною таємницею, а в іншому — зовсім ні; для комерційної таємниці важливим є охорона її сутності і змісту; комерційна таємниця може бути надана її власником за плату.
Враховуючи, що перелік відомостей, які становлять комерційну таємницю, визначається керівником підприємства (банку), необхідно пам'ятати, що згідно з Постановою Кабінету Міністрів України № 611 від 9 серпня 1993 р., не можуть бути комерційною таємницею:
установчі документи, документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами;
інформація за всіма встановленими формами державної звітності;
дані, необхідні для перевірки, обчислення і сплати податків та інших обов'язкових платежів;
інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва;
документи про платоспроможність;
інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків;
відомості, які відповідно до чинного законодавства підлягають оголошенню (масова інформація та інформація, що публічно поширюється через друковані та аудіовізуальні канали, закони, нормативні акти, що стосуються свобод і законних інтересів громадян та ін.).
Інформація, яка визначена постановою Кабінету Міністрів України №611 як така, що не може бути комерційною таємницею, може отримати статус конфіденційної інформації, яка за Законом України «Про інформацію» (ст. 30) також є інформацією з обмеженим доступом. Заходи захисту інформації в цьому разі будуть обиратись керівництвом банку і ним же встановлюватиметься відповідальність за посягання на таку інформацію.
Організація захисту банківської інформації у відповідний спосіб може спиратися і на норми трудового законодавства України, зокрема на ті його положення, що передбачають установлення трудових відносин на основі контрактів.
Відповідно до чинного законодавства за посягання на комерційну та банківську таємниці може наставати кримінальна, цивільна, адміністративна або дисциплінарна відповідальність.
Працюючи над другим питанням слід звернути увагу на наступне.
Нинішню епоху без сумніву можна назвати інформаційною. Саме перемога в інформаційній війні дала змогу Заходу і США посісти провідне місце у світі. Сьогодні інформація стала найдорожчим і найліквіднішим товаром, який приносить величезні прибутки тим країнам, які вирвалися вперед у цих інформаційних перегонах. За сьогоднішніх умов ринкової економіки всі комерційні структури є суб'єктами інформаційних відносин: об'єктами інформації, її споживачами або організаторами збору та накопичення інформації. Виходячи з цього можна зазначити, що кожна з комерційних структур поряд з фінансовими, матеріальними, кадровими та іншими ресурсами, повинна мати ще й інформаційні ресурси, без яких вона не може бути учасником інформаційних відносин. Отже, інформаційно-аналітичне забезпечення діяльності комерційних структур, у тому числі і банків, насамперед має бути спрямоване на формування їхніх інформаційних ресурсів. У свою чергу, під інформаційним ресурсом комерційної фірми, банку розуміють сукупність юридичної, фінансової, ділової, технічної, технологічної та іншої інформації, яка перебуває в розпорядженні фірми, банку і використовується ними для забезпечення виробництва, проведення комерційних операцій, надання послуг, а також для управління їхньою діяльністю.
В основі формування інформаційних ресурсів лежать методи збору інформації, характерні для розвідувальної діяльності. Тому заходи інформаційно-аналітичного забезпечення діяльності банку насамперед будуть ґрунтуватись на засадах комерційної розвідки. Водночас під комерційною розвідкою розуміють сукупність заходів щодо збору й обробки інформації про стан і можливі перспективи діяльності суб'єктів відповідного ринку, які виконуються за допомогою спеціальних методів силами комерційних підприємств, фірм, банків або спеціалізованих організацій (установ). Сьогодні комерційна розвідка в тому чи іншому обсязі здійснюється практично всіма підприємствами та банками.
Структуру комерційної розвідки складають організація розвідки, збір необхідних відомостей та інформаційно-аналітична робота. Ця структура являє собою сукупність взаємопов'язаних елементів розвідувальної системи, вилучення будь-якого з них веде до призупинення функціонування всієї системи.
Мета комерційної розвідки завжди спрямована на виконання двох умов діяльності комерційних підприємств, банків: а) виключення несподіваної появи несприятливих факторів для діяльності підприємства, банку і б) забезпечення об'єктивною інформацією прийняття відповідних рішень їх керівництвом.
Об'єктами комерційної розвідки є передусім конкуруючі структури, підприємства, організації, які надають подібні послуги, виробляють аналогічні товари або у той чи інший спосіб впливають чи можуть впливати на діяльність даного підприємства, банку і в яких зосереджена або виробляється необхідна даному підприємству, банку інформація. В окремих випадках об'єктами комерційної розвідки також можуть бути технології виробництва товарів або послуг, комерційні операції.
За існуючих в Україні умов розвідувальна діяльність комерційних банків зосереджується в основному навколо інформаційно-аналітичної роботи і забезпечується шляхом збору інформації з відкритих джерел та її аналітичного дослідження.
Структура інформаційно-аналітичної роботи (ІАР) має всі ознаки структури комерційної розвідки і передбачає організацію роботи, збір інформації та її обробку.
Основними заходами інформаційно-аналітичної роботи банків є інформаційний аудит та інформаційний моніторинг. Під інформаційним аудитом розуміють проведення інформаційних досліджень підрозділів і установ банку з метою вивчення й оцінки інформації, яка в них є. У ході інформаційного аудиту вивчається склад інформації підрозділів та установ, джерела, форми і регламент отримання ними інформації, можливості інформації для трансформації її в інші види (ділову, фінансову і т. п. або ж в стратегічну, тактичну, оперативну), ступінь захисту інформації.
Під час інформаційного моніторингу проводиться контроль отримання підрозділами й установами банку інформації, появи нової інформації в інформаційному середовищі банку, визначається її цінність і важливість для формування інформаційних ресурсів та забезпечення його безпеки. У ході моніторингу здійснюються: оцінка інформації та її розподіл за інформаційними базами даних, виявлення неправдивої або шкідливої інформації та визначення джерел надходження такої інформації, формування інформаційних потоків залежно від завдань, які вирішує банк. У процесі інформаційного моніторингу забезпечується своєчасна реакція на зміни в інформаційних каналах та пошук додаткових джерел інформації.
Інформаційно-аналітична робота у загальному вигляді спрямована на створення моделі відповідного об'єкта (людина, фірма, виробництво), діяльності (банківські операції, взаємовідносини суб'єктів на ринку банківських послуг), стану (рівень розвитку, основні показники) тощо на основі отримання та аналізу інформації. Створення таких моделей є продуктом інтелектуальної діяльності конкретної людини, фахівця служби безпеки.
Створена в результаті інформаційно-аналітичної роботи модель об'єкта, діяльності, стану чи окремої події не є закінченою, її слід доповнювати новими даними та новою інформацією.
Таким чином, інформаційно-аналітичне забезпечення діяльності банків насамперед спрямоване на створення їх інформаційного ресурсу і відповідної системи інформування керівництва та за його вказівкою інших працівників банків, а також на проведення інформаційних досліджень суб'єктів у сфері інформаційної уваги банків.