Разделы



Стратегия обеспечения безопасности банка

6.1. Методические основы обеспечения безопасности в банковском

деле

Термин безопасность кредитной организации, отражающий сте пень ее защищенности от всех возможных угроз, допускает очень широ кое толкование. Целевая направленность изучаемой в данном разделе стратегии имеет более конкретный характер. Она связана с защитой лишь от тех угроз, которые определены деятельностью юридиче ских и физических лиц, сознательно намеревающихся нанести банку ущерб.

ПРИМЕР: с учетом специфики уставной деятельности банка как кредитной организации традиционной формой угроз его имущественной безопасности выступает невозврат ранее выданной ссуды. В зависимости от первопричины угрозы защита от нее может осуществляться в рамках реализации различных стратегий:

■     если ссуда не возвращена из-за отсутствия в банке эффективных технологий управления ссудным портфелем, защита от соответствующих угроз должна определяться финансовой стратегией (в части кредитной политики);

■     если ссуда не возвращена из-за недостаточной квалификации или ответст венности сотрудника, допустившего нарушение имеющейся в банке технологии кре дитования, защита от соответствующих угроз должна определяться кадровой стратегией (в части политики первичного и дополнительного обучения персонала);

■     если ссуда не возвращена из-за прямого мошенничества заемщика или по вине коррумпированного сотрудника самого банка, защита от соответствующих уг-роз должна определяться стратегией обеспечения безопасности .

С учетом этого ограничения изучение рассматриваемой стратегии необходимо начать с классификации подобных угроз .

По признаку целевой направленности угрозы выделяются:

>    угроза разглашения конфиденциальной информации, которое может нанести банку ущерб в форме ухудшения его рыночных позиций, имиджа, отношений с клиентами или вызвать санкции со стороны государства;

>    угроза имуществу банка в форме его хищения или умышленного повреждения, провоцирования к осуществлению или непосредственного осуществления заведомо убыточных финансовых операций;

>    угроза персоналу банка, реализация которой способна ухудшить состояние кадрового направления деятельности, например, в форме потери ценного специалиста или возникновения трудовых конфликтов.

По признаку источника угрозы (субъекта агрессии) выделяются:

>  угрозы со стороны конкурентов, т.е. отечественных и зарубеж ных банков, стремящихся к усилению собственных позиций на соответ ствующем рынке путем использования методов недобросовестной конкуренции, например: экономический шпионаж, переманивание сотрудников, дискредитация соперника в глазах партнеров и государства;

>   угрозы со стороны криминальных структур и отдельных зло умышленников, стремящихся к достижению собственных целей, нахо дящихся в противоречии с интересами конкретного банка, например: за хват контроля над ним, хищение имущества, нанесение иного ущерба;

п»ї

>   угрозы со стороны нелояльных сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения личных целей, на пример: улучшение материального положения, карьерный рост, мщение работодателю за реальные или мнимые обиды и т.п.

По экономическому характеру угрозы выделяются:

>   угрозы имущественного характера, наносящие банку прямой финансовый ущерб, например: похищенные денежные средства и иные ценности, сорванный контракт, примененные штрафные санкции;

>   угрозы неимущественного характера, точный размер ущерба от реализации которых обычно невозможно точно определить, например: сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его клиентов и деловых партнеров, потеря ценного специалиста.

По вероятности практической реализации угрозы выделяются:

>   потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (у субъекта управления есть время на их профилактику или подготовку к отражению);

>   реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в раз личных стадиях развития (у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);

>   реализованные угрозы, негативное воздействие которых уже закончилось и ущерб фактически нанесен (субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).

Проведенная классификация позволяет сформулировать три основных направления управления безопасностью современного банка:

Занятия Форекс - это замечательная для Тебя подготовиться к прибыльной работе на бирже Forex!

>   информационная безопасность банка , предполагающая его защищенность от любых угроз разглашения или утери информации, имеющей коммерческую или иную ценность;

>   безопасность кадрового направления банка , предполагающая его защищенность от любых угроз персоналу или со стороны персонала;

>   имущественная безопасность банка , предполагающая его за-щищенность от любых угроз денежным средствам, ценным бумагам, то варно-материальным ценностям и другим элементам активов.

На основе выделенных в стратегии направлений ниже приведена дополнительная классификация угроз по формам их реализации. Формы угроз информационной безопасности:

п»ї

>    перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой угро зы заключается в том, что о самом факте утечки банк чаще всего узнает лишь после того, когда конечная цель перехвата уже достигнута);

>    хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответ ствующие сведения и лишает их пострадавший банк;

>    повреждение или уничтожение информации, в результате кото рого субъектом угрозы решается задача нанесения ущерба атакуемому банку.

Формы угроз безопасности по кадровому направлению:

>  формы угроз персоналу банка:

■    прямое переманивание конкурентами ведущих руководителей и специалистов банка;

■    вербовка сотрудников банка;

 

-      шантаж или прямые угрозы в адрес конкретных сотрудников с целью склонения их к нарушению доверия работодателя (т.е. к соверше нию различных должностных нарушений);

-      покушения на сотрудников (прежде всего, высших руководителей банка) и членов их семей;

>  формы угроз со стороны персонала банка:

■    разглашение конфиденциальной информации;

■    коррупция;

-   прямые хищения, в том числе с использованием информацион ных технологий;

■  саботаж (чаще всего, в форме умышленного инфицирования компьютерных сетей банка различными вирусами);

-   соучастие в покушениях на безопасность банка силами сторон них субъектов угроз.

Формы угроз имущественной безопасности:

>    хищение денег путем несанкционированного проникновения в компьютерные сети банка и перехвата управления финансовыми операциями;

>    хищение денег с использованием поддельных банковских карточек;

>    хищение денег с использованием поддельных платежных документов (поручений, сертификатов, чеков, векселей и т.п.);

>    мошенничество при получении кредитов;

>    хищение высоколиквидных активов банка (наличных денег, ценных бумаг и т.п.) с использованием насильственных (ограбление) и ненасильственных (кража) методов;

>    хищение или умышленная порча материальных активов банка.

Отраслевая специфика стратегии:

> автоматическое перенесение возможных потерь от реализованных угроз на клиентов и партнеров банка;

ПРИМЕЧАНИЕ: специфика уставной деятельности банка предполагает не-обходимость управления преимущественно заемным капиталом. Соответственно, банкротство или масштабные потери из-за реализованных в отношении кредитной организации угроз наносят ущерб клиентам, доверившим ей свои средства.

> большая степень уязвимости банка как хозяйствующего субъекта в случае возможной утечки конфиденциальных сведений;

ПРИМЕЧАНИЕ: как доверенное лицо клиентов банк располагает конфиденциальной информацией, разглашение которой способно нанести им ущерб (банковская тайна). Факт разглашения такой информации немедленно отражается на имидже кредитной организации с последующим оттоком наиболее привлекательной клиентуры. При этом для банка сохраняет актуальность и традиционная для любого хозяйствующего субъекта угроза разглашения коммерческой тайны.

> более обширный в сравнении с другими сферами деятельности перечень потенциальных угроз банковской безопасности.

ПРИМЕЧАНИЕ: это связано со спецификой уставной деятельности кредитной организации, в частности с ее постоянной работой не только с разноплановой конфиденциальной информацией, но и с высоколиквидными средствами – денежными средствами, валютой, драгоценными металлами, ценными бумагами и т.п.

Дополнительная отечественная специфика стратегии:

> общий уровень криминогенности экономики переходного периода;

ПРИМЕЧАНИЕ: рост криминогенных тенденций в период радикальных экономических преобразований характерен для любой страны и любой эпохи. Россия не явилась исключением, что особенно наглядно проявилось в первой половине 90-х годов прошлого века. Криминал активно участвовал в приватизации государственной собственности, в создании новых коммерческих структур в наиболее рентабельных отраслях, развивал нелегальный бизнес. В этих условиях даже вполне законопослушные банки регулярно сталкивались с разнообразными угрозами информационной и имущественной безопасности.

> высокая степень криминогенности банковской деятельности;

ПРИМЕЧАНИЕ: наряду с законопослушными банками на рынке действовали и другие кредитные организации:

■     непосредственно созданные на средства организованных преступных группировок или перешедшие под их финансовый контроль в результате смены соб ственников;

■     вступившие в постоянный контакт с этими группировками в целях получения сверхприбыли от противоправных операций, а также решающие с их помощью другие задачи (например, вытеснение конкурентов с высокодоходного рынка);

■     выполняющие разовые просьбы криминальных структур, связанные с про тивоправными финансовыми операциями, в обмен на встречные услуги или за вы-

> более высокий уровень распространенности угроз безопасности насильственного характера (ограбления, покушения на персонал);

ПРИМЕЧАНИЕ: эту особенность можно определить как естественную бо-лезнь роста, обусловленную недостатком знаний и профессиональных навыков у представителей криминального мира в области интеллектуально и технологически продвинутых преступлений (мошенничество с ценными бумагами, хакерство, нена-сильственные формы хищений и т.п.). Следует отметить, что это технологическое отставание отечественная преступность ликвидировала очень быстро.

> недостаточная лояльность собственных служащих;

ПРИМЕЧАНИЕ: основной причиной такой ситуации стало недостаточное внимание к психологическим аспектам управления персоналом. Обеспечивая высо-кий уровень экономической мотивации, администрация большинства банков не уде-ляла должного внимания проблеме идеологического воспитания сотрудников в духе уважения и преданности работодателю, формирования в коллективе отношений корпоративного духа.

> н епонимание многими руководителями службы  безопасности необходимости системного подхода к решению этой проблемы;

ПРИМЕЧАНИЕ: руководителями служб безопасности создаваемых банков становились, как правило, вышедшие в отставку офицеры МВД и спецслужб. Есте-ственно , что на новом месте работы они выделяли приоритеты исходя из своей прежней профессиональной специализации. Так, бывшие сотрудники внутренних дел уделяли основное внимание защите имущества, сотрудники П ервого Главного управления КГБ – деловой разведке, 9 Главка КГБ – личной защите руководства и т.п. В результате прочие объекты угроз оказывались без должной защиты.

> недостаток финансовых ресурсов для внедрения высокоэффективных систем защиты информации и имущества.

ПРИМЕР: стоимость одного импортного инкассаторского автомобиля коле-балась от 50 до 150 тысяч долларов, качественного хранилища – до полутора мил-лионов и т.п. Для банка с недостаточным уровнем капитализации это были неприем-лемые расходы.

С учетом рассмотренной отраслевой и дополнительной отечест-венной специфики ниже сформулированы основные методические тре-бования к стратегии управления безопасностью банка:

Главным из них выступает системный подход к проблеме обес-печения безопасности . Под этим понимается недопустимость акценти-рования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным. Нару-шение данного требования до настоящего времени характерно для мно-гих отечественных банков и определяется, как уже ранее отмечалось, прежней областью профессиональной деятельности руководителя рас-сматриваемого направления. В результате в системе защиты безопасно-сти возникают уязвимые места, которые и могут использоваться зло-умышленниками . Очевидно, что указанное здесь требование не должно вступать в противоречие с принципом рационального ранжирования по-тенциальных угроз, который рассматривается ниже.

Вторым требованием определяется приоритет мероприятий по предотвращению потенциальных угроз (т.е. методов профилакти-ческого характера) . Оно не требует дополнительных обоснований уже в силу обеспечиваемой возможности не допустить ущерба в принципе, то-гда как прочие методы в лучшем случае позволяют его сократить или наказать виновников.

Третьим требованием выступает ориентированность системы на обеспечение приоритетной защиты конфиденциальной информации

и лишь затем иных объектов потенциальных угроз. Роль информации и информационных технологий в функционировании современной циви-лизации , государства, отдельных фирм последовательно увеличивается. Для все большего числа хозяйствующих субъектов утеря или разглаше-ние информации становится более значимой потерей, нежели хищение денежных средств и материальных ценностей. Появление и развитие глобальных компьютерных сетей определило появление еще одного ис-точника постоянных угроз информационной безопасности – несанкцио-нированное проникновение в базы данных. Хакерство из экзотической формы интеллектуальной деятельности ограниченного контингента спе-циалистов по разработке программных средств уже в конце 70-х годов превратилась в новую профессиональную специализацию для работни-ков не только государственных спецслужб, но и частного, в том числе и криминального, бизнеса. Наблюдаемый в последние десятилетия резкий рост как общей номенклатуры угроз информационной безопасности банков, так и масштаба потерь от них определяет необходимость реали-зации данного требования.

Четвертым требованием является непосредственное участие в обеспечении безопасности банка всех ее структурных подразделений и сотрудников в рамках установленной им компетенции и ответствен-ности . Структура возможных угроз, среди которых не последнее место занимают и угрозы со стороны собственного персонала, исключают возможность эффективного противодействия им силами исключительно со-трудников службы безопасности. Поэтому одной из приоритетных целей рассматриваемой здесь стратегии является воспитание в трудовом кол-лективе соответствующей идеологии и обучение его членов методам профилактики и пресечения наиболее вероятных угроз.

Пятым требованием выступает обеспечение взаимодействия системы управления безопасностью с другими направлениями ме-неджмента . Указанное требование реализуется как на стратегическом, так и на оперативном уровне системы управления. В отечественных ус-ловиях в режиме оперативного управления наиболее тесная взаимосвязь должна обеспечиваться между рассматриваемой системой и персональ-ным менеджментом. Нарушение требования о координации управления различными направлениями деятельности может привести к крайне не-гативным последствиям. В случае когда при разработке смежных систем управления (например, финансового менеджмента или маркетинга) бу-дут нарушены требования со стороны рассматриваемой системы, резко увеличивается вероятность негативной реализации соответствующих угроз. В свою очередь, нормальное функционирование смежных систем управления будет постоянно нарушаться, если управление безопасности будет организовано по принципу самодостаточности – безопасность ради самой безопасности. Таким образом, комплексная система управ-ления должна формироваться с учетом обеспечения относительного па-ритета , или баланса, интересов каждого из направлений деятельности кредитно-финансовой организации.

Шестым требованием является соразмерность затрат на обес-печение безопасности банка реальному уровню угроз. Оно связано с реализацией принципа разумной достаточности. С позиции конечной эффективности системы в равной степени недопустимо экономить на рассматриваемом направлении деятельности, ослабляя собственную безопасность, и преувеличивать возможные угрозы, осуществляя из-лишние , т.е. неокупаемые , расходы. Учитывая, что руководство службы безопасности по очевидным причинам склонно именно к завышению уровня потенциальных угроз, для соблюдения данного требования жела-тельно привлечение независимых экспертов в лице сотрудников госу-дарственных правоохранительных органов или частных охранных структур.

Заключительным требованием является формализованное закреп-ление не только функциональных обязанностей, но и полномочий (предела компетенции) службы безопасности . В отличие от других направлений деятельности банка работа большинства сотрудников этого подразделения всегда связана с угрозой превышения служебных полно-мочий . В результате велика вероятность возбуждения против кредитно- финансовой организации уголовных дел и гражданских исков по обви-нению в нарушении действующего законодательства или гражданских прав.

Читать далее: Возможные варианты стратегии управления безопасностью банка