Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Структура службы безопасности банка

Службы безопасности банка

Служба безопасности организуется органами управления банка, уполномоченными учредительными документами банка. Ее создание начинается с внесения соответствующего раздела в устав банка и разработки и принятия внутреннего нормативного акта — устава (положения) о службе безопасности банка, которым регламентируются цели и задачи службы, организация ее деятельности, требования к руководителю и сотрудникам, их права и обязанности. Положение о службе безопасности банка утверждается советом директоров банка.

Руководитель службы безопасности назначается и освобождается от должности органом управления банка. Служба действует на основе собственного устава, согласованного с органом внутренних дел по месту своего учреждения. Ее руководители и персонал обязаны получить лицензии в соответствии с подп. 2.2.1— 2.2.3 Инструкции «Об организации исполнения органами внутренних дел Закона Российской Федерации «О частной детективной и охранной деятельности в Российской Федерации», утвержденной приказом МВД России от 22 августа 1992 г. № 292[17].

Обязательные требования к сотрудникам службы безопасности установлены этой Инструкцией. В соответствии с ней руководитель и сотрудники службы безопасности обязаны:

• получить (иметь) лицензию (разрешение органов внутренних дел) для утверждения в должности руководителя или сотрудника службы безопасности;

• быть пригодным по состоянию здоровья заниматься сыскной или охранной деятельностью;

• иметь гражданство России, юридическое образование, специальную подготовку для работы в качестве частного детектива либо стаж работы в оперативных или следственных подразделениях не менее трех лет (для сотрудников, выполняющих функции охраны, наличие юридического образования не обязательно).

Учредители службы безопасности представляют в соответствующий орган внутренних дел следующие документы:

• заявление о характере и направлениях деятельности службы безопасности и записку, в которой перечисляются виды охранных услуг и указывается предполагаемая территория деятельности охраны, данные о планируемом численном составе персонала, намерении использовать и потребности в технических и иных средствах, специальных средствах и оружии;

• документы для получения лицензий руководителем предприятия и охранниками;

• копии учредительных документов частного охранного предприятия.

В структуре банка служба безопасности представлена в качестве обособленного структурного подразделения (с правом открытия текущих и расчетных счетов) для осуществления охранно-сыскной деятельности в интересах собственной безопасности учредителя.

Банк может создавать нештатные структуры службы безопасности в виде временных или постоянных комиссий из сотрудников других структурных подразделений, выполняющих экспертные и контрольно-ревизионные функции (комиссии по защите банковской тайны, по проверке конфиденциального делопроизводства, по проведению внутреннего (служебного) расследования нарушения требований банковской безопасности и др.). Деятельность внештатных структур службы безопасности не относится к числу лицензированных.

Общей законодательной основой функционирования службы безопасности являются Конституция РФ, Закон о частной детективной и охранной деятельности, другие законы и иные правовые акты.

Детальное нормативное регулирование целей и задач деятельности службы безопасности, порядка и форм ее выполнения с учетом особенностей банковской сферы осуществляется путем принятия внутренних (локальных) нормативных актов банка (устава или положения о службе безопасности, специальных инструкций, других нормативных документов), которые разрабатываются банком в соответствии с законодательством. При подготовке этих документов, создании на их основе службы безопасности и организации ее функционирования должно быть учтено следующее.

Основные цели службы безопасности заключаются в обеспечении безопасности имущества и инфраструктуры банка от противоправных посягательств.

Основные направления деятельности службы безопасности:

• обеспечение безопасности банковских операций;

• обеспечение охраны имущества (включая деньги и приравненные к ним ценности), зданий, помещений, оборудования, технических средств обеспечения банковской деятельности;

• защита информации (банковской, коммерческой, налоговой тайны, иных сведений конфиденциального характера, компьютерной информации) и информационной инфраструктуры;

• защита системы кадрового обеспечения банка;

• обеспечение личной безопасности руководства банка;

• организация взаимодействия с правоохранительными органами в сфере обеспечения банковской безопасности;

• разработка и реализация мер профилактики противоправных посягательств на интересы банка.

Основные функциональные обязанности службы безопасности:

1) осуществление сыскной деятельности в целях:

• оценки надежности и кредитоспособности предполагаемых клиентов, выявления в их действиях признаков противоправных посягательств на интересы банка при подготовке и совершении банковских операций, принятия мер по предупреждению готовящихся противоправных посягательств либо к возмещению причиненного ими вреда (в случае совершения);

• выявления, предупреждения и пресечения преступных посягательств на безопасность банковских операций, на имущество и инфраструктуру банка (включая конфиденциальную и компьютерную информацию, систему кадрового обеспечения) со стороны лиц, не являющихся клиентами банка;

• подготовки полученных материалов о готовящихся или совершенных противоправных посягательствах к направлению в правоохранительные органы для решения вопроса о возбуждении уголовного дела в соответствии со ст. 140 УПК;

• участия в расследовании по возбужденным уголовным делам на основании п. 7 ст. 3 Закона о частной детективной и охранной деятельности;

• направления правоохранительным органам в соответствии со ст. 74 УПК информации, могущей иметь отношение к расследованию по возбужденным уголовным делам;

• розыска лиц, совершивших посягательства на интересы банка или подозреваемых в их совершении, а также принятия в пределах своей компетенции мер по возмещению нанесенного банку ущерба;

• выяснения биографических и других характеризующих данных в отношении лиц, заключающих трудовой договор с банком или оформляющих допуск к работе с денежными средствами (их эквивалентами) и охраняемой информацией;

• выявления в действиях сотрудников банка фактов грубых нарушений порядка обеспечения безопасности банка (требований безопасности), установленного внутренними нормативными актами, подготовки предложений о наложении на этих лиц дисциплинарных взысканий (включая расторжение трудового договора);

2) осуществление охранной деятельности посредством:

• организации и обеспечения пропускного и внутриобъектного режима в помещении банка;

• организации оборудования здания и помещений банка средствами охранно-пожарной и тревожной сигнализации;

• организации оборудования кассового узла банка согласно требованиям к его устройству и технической укрепленности;

• организации и осуществления контроля за соблюдением режима ограничения доступа персонала в помещения, предназначенные для хранения и обработки денег и других ценностей, конфиденциальных документов, обработки, хранения и передачи компьютерной информации;

• организации и осуществления охраны имущества банка в процессе инкассационных операций;

• организации оборудования инкассаторского спецавтотранспорта средствами защиты и вооружения, необходимыми для обеспечения безопасности сотрудников инкассации и сохранности перевозимых ценностей;

3) обеспечение личной охраны руководства банка путем создания и организации функционирования систем:

• физической защиты руководства (далее — охраняемого) в местах его пребывания и на маршрутах перемещения;

• выявления признаков подготовки преступного посягательства;

• действий по предупреждению и пресечению преступных посягательств на жизнь, здоровье и имущество охраняемого;

• действий по обеспечению безопасности охраняемого в чрезвычайных ситуациях;

• локализации последствий посягательства, оказанию помощи охраняемому;

4) осуществление деятельности по защите информации банка путем:

• закрытия свободного доступа к сведениям конфиденциального характера, составляющим банковскую, коммерческую, налоговую тайны и иным видам охраняемой информации и их защиты от посторонних,

• организации конфиденциального делопроизводства, исключающего несанкционированное получение сведений конфиденциального характера, а также свободный доступ посторонних к компьютерной информации и информационной инфраструктуре банка;

• организации работы по административной и инженерно-технической защите сведений конфиденциального характера, а также компьютерной информации и информационной структуры банка;

• выявления и перекрытия возможных каналов утечки сведений конфиденциального характера, циркулирующих в технических средствах и помещениях банка;

5) осуществление деятельности нормативного характера в целях разработки и принятия организационно-распорядительных документов, регламентирующих порядок создания и функционирования систем:

• защиты информации банка;

• пропускного и внутриобъектного режима банка;

• личной безопасности руководства банка;

6) разработка и реализация мер предупреждения противоправных посягательств на интересы банка, а именно:

• изучение причин и условий, способствующих совершению противоправных посягательств в банковской сфере;

• выявление наиболее уязвимых объектов обеспечения безопасности банка, оценка степени их защищенности от угроз противоправного посягательства;

• разработка средств и методов повышения надежности защиты конкретных участков деятельности банка.

Как работают службы безопасности банков

Безопасность коммерческого банка – это состояние защищенности интересов владельцев, руководства и клиентов, а также материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Сегодня в статье мы рассмотрим:

• Служба безопасности банка, как подразделение, обеспечивающее безопасность банка

• Работу службы безопасности по исключению мошенничества при выдаче кредитов

• Роль службы безопасности банка в борьбе с проблемной задолженностью

• Требования к сотрудникам службы безопасности со стороны банка

Работа службы безопасности затрагивает все подразделения банка. Объектами безопасности являются персонал, финансовые средства, материальные ценности, банковские технологии и информационные ресурсы.

В России банковская безопасность не соответствует объективным требованиям, а состояние защиты банков от мошенничества и посягательства преступных элементов находится на низком уровне.

В последние годы начали приниматься меры, направленные на обеспечение безопасности банков. Действия правительства РФ и Банка России были нацелены на формирование системы банковской безопасности и применение мер безопасности на практике.

Актуальные угрозы безопасности банка

Задачи службы безопасности банка связаны с устранением основных угроз, которым подвергается банк. Специалисты выделяют следующие категории:

Первая : кредитное мошенничество, махинации с векселями и платежными документами.

Читать еще:  Рейтинг антивирусов 2020 на андроид

Вторая : необдуманная работа банков с неподготовленными клиентами. Актуальна ситуация, когда клиенты неправильно оценивают риски и непродуманно берут кредиты, которые оказываются не в состоянии выплачивать. Массовость этой проблемы может стать более опасной для банка, чем профессиональные мошенники.

Третья : нападения на инкассаторов, обменные пункты, операционные кассы, банкоматы и денежные хранилища с целью завладеть наличными средствами. Главная опасность заключается в угрозе жизни людей.

Четвертая : хищения с банковских карт и несанкционированные переводы со счетов при взломе информационной системы банка.

Структура службы безопасности банка

Руководит всем подразделением вице-президент по безопасности, который относится к высшему руководству банка. В его обязанности входит формирование стратегии обеспечения безопасности банка, решение текущих проблем с начальниками структурных подразделений и высшим руководством, взаимодействие с правоохранительными органами, контроль над выполнением поставленных перед всеми подразделениями задач, решение всех ее внутренних проблем и непосредственное руководство службами собственной безопасности и экспертов-консультантов.

Информационно-аналитический отдел

Отдел собирает и анализирует всю информацию: о конкурентах, их рыночной стратегии, используемых технологиях и угрозе с их стороны; о коммерческой добропорядочности, финансовой надежности клиентов и партнеров банка; об изменениях в экономической политике государства; о потенциальных угрозах криминальных структур (деятельность преступных элементов, базы хакеров, подготовка акций, направленных против банка).

А также информацию о потенциальных угрозах со стороны собственного персонала (соблюдение сотрудниками правил обеспечения безопасности, поведение сотрудников, лояльность которых вызывает сомнения, общие настроения в коллективе).

После этого формируются рекомендации для руководителей других отделов банка, аналитические отчеты об экономической и криминальной ситуации, а также информационно-обзорные бюллетени, используемые при обучении персонала и в работе психологов. Кроме этого, принимаются меры по предотвращению угрозы от одной из заинтересованных сторон.

Отдел информационной безопасности

Отдел занимается защитой компьютерных сетей и баз данных от проникновения с целью копирования и повреждения, а также защитой бумажной информации (разработка определенных правил поведения с документами).

Для выполнения поставленных задач инженерно-техническая служба совместно с компьютерной службой обеспечивает технические средства защиты и необходимый уровень защиты компьютерных сетей и баз данных банка.

Отдел физической защиты

Обеспечивает личную безопасность сотрудников, безопасность перевозок денежных средств (инкассация), безопасность здания и отдельных помещений банка (патрульно-постовая служба).

Некоторые крупные банки даже создают учебно-тренировочные центры для поддержания уровня квалификации сотрудников отдела физической защиты.

Отдел собственной безопасности

Отдел находится в подчинении вице-президента банка, призван поддерживать внутреннюю безопасность и защищать банк от сотрудников самой службы безопасности. В функции отдела входит разработка внутренних правил поведения сотрудников службы безопасности, контроль над выполнением данных правил, проведение служебных расследований в отношении сотрудников, поставивших под сомнение собственную лояльность.

Специалисты, работающие в этом отделе, проходят самый жесткий контроль при поступлении на работу и имеют самый высокий уровень заработной платы.

Роль службы безопасности в процессе кредитования

При рассмотрении кредитной заявки важная часть работы ложится на сотрудника службы безопасности банка. Он проверяет все предоставленные заемщиком документы. По коду ОГРН производится проверка баз данных, из которых видно местоположение предприятия, контактная информация, финансовое положение компании-работодателя и отсутствие задолженностей.

Еще необходимо проверить не является ли предприятие банкротом, не находится ли его имущество под арестом, а также делаются ли отчисления в пенсионный фонд и фонд социального страхования, соответствует ли заявленная зарплата в справке действительности. Как один из методов используются звонки на предприятие для уточнения статуса сотрудника.

Подвергаются проверке и личные данные заемщика: отсутствие судимости, психических заболеваний и наркозависимости у него и у членов семьи. После этого надо проверить наличие невыплаченных кредитных обязательств и качество кредитной истории. Учитывается поведение клиента в качестве поручителя или залогодателя по кредитам третьих лиц.

Возможно обращение в Бюро кредитных историй для получения информации обо всех кредитах клиента. При кредитовании недвижимости информация о наличии обременений отражается в выписке из Единого государственного реестра сделок с недвижимым имуществом. Данные, предоставленные заемщиком, тоже проверяет сотрудник службы безопасности.

Часто специалисты службы безопасности разных банков неофициально делятся информацией. Так могут быть получены сведения об аресте счетов предприятия или о неоплаченной картотеке к расчетному счету работодателя. Крупные банки, например Сбербанк, Альфа-Банк, имеют неформальные связи в правоохранительных органах, налоговой инспекции, что также позволяет получать необходимую информацию.

Для заемщиков-юридических лиц добавляется проверка данных основных контрагентов компании и выявление конечных собственников бизнеса. А если находятся предприятия-партнеры, влияющие на компанию-заемщика, то они привлекаются в поручители. Это снижает риски по кредиту.

Окончательное решение по заявке кредитный комитет выносит только после получения положительного решения от службы безопасности банка.

Действия службы безопасности для устранения проблемной задолженности

При появлении проблем с погашением кредита, сотрудники отдела анализируют и информацию и ищут источники выплаты долга. Ведутся переговоры с заемщиком, проводится разъяснительная работа. При этом в банках используются разные методы решения проблемы, и это зависит от политики банка.

При необходимости производится поиск возможного имущества должника через базу ГИБДД и Единый государственный реестр сделок с недвижимым имуществом. При фактах мошенничества, например, предоставление поддельных документов или недостоверных сведений, сотрудник службы безопасности, как представитель банка, инициирует возбуждение уголовного дела по отношению к заемщику и готовит необходимую информацию для подготовки в юридический отдел.

Требования к сотрудникам

Ошибки в ходе проверки потенциального заемщика могут привести к убыткам со стороны банка в виде непогашенного кредита, потери важной информации, мошеннических действий в отношении банка или потери денежных средств.

Работа в службе безопасности банка доступна только специалистам с высокой квалификацией и большим опытом работы. Поэтому всем известно, как проверяет банк соискателей на должность сотрудника отдела безопасности: изучается не только личная информация, но и ближайшее окружение претендента. Чаще всего в отдел принимают бывших сотрудников правоохранительных органов, юристов и аналитиков.

Большое значение при комплектовании отдела уделяется знаниям в области права, финансов, навыкам работы с компьютером и умению работать в коллективе.

Служба безопасности банка: принцип работы, условия, требования к сотрудникам

В статье рассмотрим, как функционирует служба безопасности банка (СББ). Ведь в любой организации банковской сферы должна обеспечиваться надежная охрана объектов, обладающих ценностью и находящихся у нее на хранении. Кроме того, защите подлежат сведения информационного характера, касающиеся самого банка, проводимых им сделок, его клиентов.

Что это?

Описанная выше функция возлагается на службу безопасности банка. Она представляет собой особую структуру, работа которой часто остается незамеченной клиентами. Несмотря на это, деятельность ее сложна и многогранна.

Устройство СББ

Во время оформления кредита все вопросы решает кредитный менеджер. На нем лежит прием заявок, подписание кредитных договоров. Деятельность СББ при этом нередко остается незамеченной.

Основной принцип деятельности службы финансовой безопасности банка – принятие своевременных превентивных мер. Которые необходимы, чтобы исключить или уменьшить ситуации, связанные с мошенничеством.

Основные задачи и функции СББ

Основными проблемами, с которыми ежедневно приходится работать сотрудникам структуры, являются попытки совершения мошеннических действий, предоставление клиентами подложных сведений и документов, недостоверных платежных документов, а также попытки завладеть секретной информацией.

Многогранность деятельности проявляется также в выполнении разнообразных функций (контрольных, охранных), осуществлении определенных задач:

Служба безопасности работает с клиентами, которые обратились в банковскую организацию. Причем клиенты, как правило, не знают, что все процедуры и предписания выполняются под полным контролем сотрудников структуры. Прямой контакт с клиентом возможен, если последний нарушает правила использования кредита, не осуществляет выплаты по нему, отказывается от сотрудничества с банком после получения займа.

Служба безопасности также проверяет документы заемщика, которые он предоставляет в момент оформления кредитного договора, источники сведений о клиенте с применением разнообразных ресурсов, к примеру, интернета.

Если имеется необходимость, сотрудники службы непосредственно контактируют с банковскими клиентами. Они имеют право совершать звонки в места трудовой деятельности заемщика, по месту его проживания. Чтобы подтвердить и проверить сведения, которые заемщик передал на хранение.

Служба безопасности банка, ВТБ к примеру, сотрудничает с правоохранительными службами. Интересен тот факт, что многие сотрудники СББ являются бывшими работниками правоохранительных органов. Это, обычно, является одним из основных требований, предъявляемых банком к потенциальным сотрудникам, при их трудоустройстве в указанную структуру.

Служба безопасности также проверяет кредитные истории клиента, причем не только в своем банке, но и в других (если она имеется). С этой целью формируются запросы в бюро кредитных историй, используются сведения собственных баз, в которых отражены данные о всех недобросовестных плательщиках.

Наиболее полная картина о финансовой платежеспособности заемщика составляется посредством сотрудничества со сторонними организациями, к примеру, налоговыми и другими банками. Это значит, что служба безопасности, Альфа-Банка, к примеру, может сотрудничать с аналогичной Сбербанка или банка ВТБ.

Мониторинг

После того, как структура принимает решение в отношении определенного клиента (отрицательное или положительное), ее сотрудники переходят к выполнению мониторинговой функции, обеспечению сохранности имущества, которое выступает залоговым объектом.

Читать еще:  Три типа угроз национальной безопасности россии

Завершающий этап деятельности службы безопасности банка заключается во взыскании долга с клиента, если таковой образовался. С этой целью сотрудники СББ готовят документы, которые были собраны в ходе проверки, и доказательную базу для обращения с исковым заявлением в судебные органы.

Объекты, проверяемые службой безопасности банка

Одной из основных обязанностей сотрудников структуры является доскональная и тщательная проверка документации, предоставляемой заемщиками при попытке получения кредита. Для чего она нужно, объяснять не нужно. Это помогает избежать мошенничества. Данная проверка происходит определенным образом.

Служба безопасности анализирует и проверяет следующие виды документов, которые могут подтвердить платежеспособность заемщика банка:

Справка, подтверждающая размер доходов. В ней указываются реквизиты (ИНН, ОГРН), используя которые сотрудники структуры могут по специализированным базам данных уточнить интересующие их сведения об организации, в которой трудоустроен заемщик. Если быть точнее, то по базе проверяют сотрудников организации, руководителей, структуру, контактные сведения работодателя, месторасположение. То есть, работник службы безопасности может сразу выяснить, не находится ли организация в процесс признания ее банкротом, не наложен ли арест на ее имущество, если ли она в стоп-листах и черных списках. Довольно часто представители СББ совершают контрольные звонки на место трудоустройства потенциального клиента. Что проверяет служба безопасности банка еще?

Наличие судимости у клиента. Проверяют в данном случае не только заемщика, но и его ближайших родственников. Кроме того, службе потребуется проверить, какие штрафы, административные взыскания, другие санкции фактически применялись в отношении их будущего заемщика.

Кредитная история. Данный этап проверки предполагает тщательный анализ кредитной истории заемщика: нарушал ли он когда-либо кредитные обязательства, каким образом это происходило. Также сотрудники структуры в целом оценивают качество сотрудничества заемщика и банка в прошлом.

Репутация. Чтобы проверить репутацию потенциального заемщика, представители службы безопасности банка ПАО «ВТБ» могут совершать простые звонки соседям, родственникам, сослуживцам с целью опроса. Кроме того, данные могут собираться при помощи делового круга, Интернета, средств массовой информации. В настоящее время огромную популярность набирает проверка с использованием страниц интернет-блогов и социальных сетей. Помимо этого, не исключается такой способ сбора данных о потенциальном клиенте, как взаимовыгодное общение и неофициальный обмен сведениями между структурами безопасности разных банковских организаций. Подобный прием позволяет выявить неплатежеспособность и недобросовестность клиентов. То есть, если заемщик внесен в черный список одного банка, то велика вероятность, что его внесет в черный список другой банк, сотрудничающий с первым.

Сотрудничество с правоохранительными органами

Немалую помощь в сборе необходимой информации оказывает наличие у сотрудников службы безопасности или банка налаженных связей неофициального характера в таких структурах, как правоохранительные органы, налоговые инспекции, пенсионные фонды и прочее. Также подробную информацию о потенциальном клиенте структура может получать, обращаясь в специальные бюро.

Вердикт

В результате подобной проверки выносится вердикт о благонадежности клиента. При положительном ответе заявка на кредитование передается менеджеру для дальнейшего рассмотрения. В противных случаях ее дальнейший анализ останавливается, то есть, клиент получает отказа в предоставлении кредита.

Прямой убыток

Любая ошибка при оформлении кредита службы безопасности банка может привести к возникновению прямого убытка в виде непогашенного займа. В связи с этим, работников в данную структуру подбирают особо тщательно, предъявляя к ним довольно высокие требования. Как правило, в подобных банковских структурах трудятся юристы, аналитики, бывшие работники правоохранительных органов, имеющие определенные знания и навыки, налаженные связи, большой опыт работы с базами, склонные к анализу, имеющие замечать любые мелочи, способные повлиять на окончательное решение.

СЛУЖБА БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ Служба безопасности в системе управления банком и возможные подходы к ее организации

В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т.е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов кредитно-финансовой организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.

Особое место рассматриваемой здесь службы среди других структурных подразделений банка определено самим характером ее деятельности. Она включает в себя исполнение сотрудниками службы безопасности по отношению к другим работникам фирмы многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает подсознательную негативную реакцию даже у той части персонала, которая в силу своего должностного уровня не может не понимать вынужденную необходимость подобных действий. Ощущая такое отношение, сотрудники службы безопасности часто идут на принцип, т.е. намеренно демонстрируют свои полномочия, ведут себя откровенно агрессивно — недружелюбно по отношению к работникам других подразделений банка (так называемый милицейский синдром) и, тем самым, лишь усугубляют ситуацию. Поэтому отношения между службой безопасности и остальной частью трудового коллектива банка всегда имеют потенциально конфликтный характер. Это определяет необходимость регулярных профилактических мероприятий, направленных, с одной стороны, на основную часть персонала, а с другой — на сотрудников самой службы безопасности. В противном случае становится невозможным обеспечить практическую реализацию одного из базовых методических требований к организации управления безопасностью, а именно вовлечения в этот процесс всех сотрудников и инстанций.

Выбор принципиального подхода к организации службы безопасности в конкретном банке определяется многими факторами. Главным из них является избранная ее руководством стратегия по рассматриваемому направлению деятельности , а именно — степень ее активности (агрессивности). Чем более активна эта стратегия, тем большие требования предъявляются к службе безопасности, соответственно, сложнее ее внутренняя структура, больше численность персонала. Например, при ориентации руководства кредитной организации на проведение стратегии пассивной защиты от возможных угроз, явно нецелесообразно создание в составе службы специального аналитического подразделения, занимающегося экономической разведкой.

Вторым фактором является ориентация руководства на возможное использование услуг специализированных структур в лице частных охранных агентств или службы вневедомственной охраны Министерства внутренних дел. Ниже проводится сравнительный анализ трех возможных подходов.

Первый из них предполагает полный отказ от их услуг и характерен, обычно, для крупных банков, ориентированных на проведение стратегии упреждающего противодействия. В этом случае кредитная организация вынуждена формировать собственную службу безопасности по полной программе, комплектуя ее всеми необходимыми специалистами и обеспечивая соответствующими ресурсами.

Основным преимуществом данного варианта является большая степень доверия со стороны руководства банка к собственным сотрудникам, входящим в постоянный штат организации. При правильной организации управления деятельностью службы и, прежде всего, ее персона лом, появляется возможность воспитания у него так называемого корпоративного духа. Этот термин, пришедший в Россию из зарубежной теории персонального менеджмента, предполагает наличие у сотрудника не только лояльности (которая может быть обеспечена и иными средствами), но личной преданности интересам работодателя. Это может скомпенсировать изложенные ниже недостатки рассматриваемого варианта, за исключением, естественно, полной профессиональной некомпетентности.

Недостатками данного варианта выступают высокий уровень затрат на содержание подобной службы, а для периферийных банков — объективные сложности с комплектацией ее высококвалифицированными сотрудниками всех необходимых специальностей.

Принципиальная организационная структура управления службы безопасности, созданной по такому варианту, представлена на схеме 3.

Второй, прямо противоположенный, подход предполагает минимизацию штатных сотрудников службы безопасности банка, с возложением основных ее функций на сторонние специализированные структуры, привлекаемые на контрактной основе.

Привлекательность данного подхода обеспечивается многими факторами, среди которых можно выделить:

гарантированный контрактом профессионализм привлеченных из специализированных структур сотрудников;

в отечественных условиях — отсутствие многих ограничений, связанных с частной охранной деятельностью.

Однако, в отличие от предприятий в других отраслях экономики, российские и зарубежные банки используют данный подход крайне редко. Это определяется в первую очередь низким доверием к любым сторонним для конкретного банка структурам.

Рекомендации по применению: для государственных и небольших банков, реализующих пассивную конкурентную стратегию.

Принципиальная организационная структура управления службы безопасности, созданной по такому варианту, представлена схемой 4.

Третий, компромиссный, подход предполагает возможность частичного использования услуг специализированных частных структур для выполнения локальных задач. Он ориентирован на кредитные организации, реализующие стратегию адекватного ответа и при этом относительно редко сталкивающиеся со сложными задачами обеспечения собственной безопасности, например, утечкой конфиденциальной информации, хищением денежных средств с использованием компьютерных технологий, шантажом и угрозами в адрес сотрудников. В соответствии с изложенными выше требованиями к организации системы, для таких банков целесообразно ориентироваться на принцип разумной достаточности и не включать в постоянный штат службы безопасности сотрудников, чей опыт и квалификация будет востребована от случая к случаю.

Как устроена служба безопасности цифрового банка

Около трех лет назад российский банковский рынок захлестнула мода на цифровой бизнес, все крупные банки и многие средние начали активно развивать системы дистанционного банковского обслуживания, интернет-эквайринг, модернизировать call-центры. Однако в качестве цифрового уже более десяти лет в России работает «Тинькофф Банк», который к настоящему моменту вырос до крупнейшего в мире онлайн-банка (без отделений). О том, как обеспечивается безопасность цифрового финансового бизнеса, нам рассказал Станислав Павлунин, вице-президент, директор департамента безопасности группы «Тинькофф».

PC Week: В чем заключаются специфические отличия цифрового бизнеса «Тинькофф Банка» от обычных финансовых компаний? Как они влияют на организацию безопасности?

Читать еще:  Угрозы национальной безопасности рф состоят из

Станислав Павлунин: «Тинькофф Банк» правильнее будет назвать онлайн-компанией с банковской лицензией, главная особенность которой заключается в огромной скорости бизнес-процессов. Каждый год запускаются несколько новых бизнес-линий, выходят новые продукты, поэтому службе безопасности нужно поспевать за бизнесом, быть в тренде и в целом держать руку на пульсе деловой жизни банка. Для службы безопасности во взаимодействии с бизнесом критичны оперативность, скорость и погруженность её сотрудников в бизнес-процессы банка.

Во-вторых, в отличие от других банков наш штат примерно на 70% состоит из ИТ-специалистов. Их необходимо соответствующим образом контролировать и взаимодействовать с ними, в том числе с привилегированными пользователями.

PC Week: У группы «Тинькофф» несколько бизнес-направлений, в том числе страховой бизнес. В связи с этим вопрос какова зона ответственности службы безопасности «Тинькофф»? Как распределяются сотрудники по классическим направлениям информационной, экономической и физической безопасности?

С. П.: Действительно, кроме банка в группу входит компания онлайн-страхования «Тинькофф Страхование» и в структуре департамента безопасности создано и функционирует управление по противодействию страховому мошенничеству, обеспечивающее возврат денежных средств, которые злоумышленники пытаются так или иначе вывести из группы.

Среди других подразделений службы безопасности важно выделить те, что касаются информационной безопасности, — управление ИБ, управление кибербезопасности, а также создаваемые сейчас управления безопасности приложений и безопасности инфраструктуры. Могу сказать, что управление безопасности приложений в первую очередь займется защитой мобильных приложений, анализом кода и внедрением процесса безопасной разработки.

Если же говорить о других областях, то кроме упомянутого управления противодействия страховому мошенничеству существует подразделение экономической безопасности, и, конечно, мы занимаемся безопасностью физической.

В разрезе штатных единиц примерно половина сотрудников занята информационной безопасностью, по 20% — экономической безопасностью и противодействием страховому мошенничеству и 10% — физической безопасностью.

PC Week: В структуре службы безопасности довольно много различных подразделений, а чем занимается управление ИБ, если есть управление кибербезопасности?

С. П.: Для повышения управляемости службы безопасности несколько лет назад мы из управления ИБ выделили управление кибербезопасности, передав ему специализированные программно-аппаратные комплексы, аналитику, всевозможные расследования, в том числе взаимодействие со смежными подразделениями в рамках расследований.

В управлении ИБ остались классические процессы и такие меры, как управление доступом, повышение осведомленности пользователей, методология ИБ, соответствие нормативным требованиям (в том числе банковским и ФЗ-152), а также типовые средства защиты банка — DLP, AV, сетевая безопасность и т. п.

PC Week: Можно сказать, что в управлении информационной безопасности остались commodity-практики?

С. П.: Именно так, к уже упомянутым можно добавить обеспечение работы СОТ и СКУД. Новые практики мы выводим в отдельные направления: так проще управлять развитием, и к тому же большинство новых стандартов и лучших практик касаются скорее кибербезопасности вообще, а в частности детализируют стандарты качества работы.

PC Week: Вы описали вертикально-интегрированную структуру безопасности группы, существуют ли горизонтально-ориентированные подразделения, например бизнес-партнеры (как в Сбербанке, ФК «Открытие», Ситибанке)?

С. П.: Мы про это думаем, но пока не решили, нужно ли это нам. Сейчас все подразделения безопасности входят в структуру департамента безопасности.

PC Week: Кто является внутренними заказчиками сервисов информационной/кибербезопасности и кто ваши союзники в реализации сервисов?

С. П.: Внутренними заказчиками у нас являются де-факто все подразделения банка. Начать, наверное, нужно с ИТ-департамента, так как у нас очень много разработчиков и администраторов. Соответственно, мы много внимания уделяем построению процесса безопасной разработки приложений внутри банка, начиная с правильной постановки задач на разработку и контроля самого процесса разработки в дальнейшем. Мы планируем до конца 2017 г. завершить проект по совершенствованию процессов безопасной разработки.

Безусловно, есть и бизнес-заказчики, которые двигают бизнес вперед и зарабатывают деньги. Когда запускается новый продукт или проект — у нас это называется новая бизнес-линия, — специалист по безопасности садится вместе с представителем бизнеса и они вместе смотрят, какие могут быть риски и как их избежать.

Кроме уже упомянутых важно выделить HR-департамент, который заказывает у нас сервис security awareness, и мы делаем его вместе с группой по обучению HR-департамента.

PC Week: Какие внутренние сервисы безопасности у вас сейчас наиболее востребованы и «продвинуты»?

С. П.: Уже упомянутая безопасная разработка приложений, сервисы по обнаружению и аналитике кибератак, расследование кибератак, а также внутренние контроль и процедуры службы безопасности. Наверное, нужно говорить о том, что востребован комплекс сервисов, позволяющих защищаться от внешнего и внутреннего нарушителя, строить модель рисков и планировать метод защиты в целом.

PC Week: То есть мы говорим о некой целостной архитектуре безопасности, из которой сложно вынуть один кирпичик, ведь это нарушит стабильность бизнеса в целом? И даже если какой-то компонент в этой архитектуре так или иначе мешает бизнесу, то он тут не просто так и от него, значит, нельзя отказаться.

С. П.: Безусловно, служба безопасности выступает за целостную модель, однако превалирует все-таки подход Security for Business — безопасность для бизнеса. В сложных ситуациях мы вместе с бизнесом вырабатываем оптимальную схему взаимодействия и управления возникающим риском.

Мы — служба безопасности коммерческого банка, и мы помогаем бизнесу зарабатывать и сохранять, а не мешаем. Мы строим процессы так, чтобы бизнесу было удобно работать, чтобы он не тратил время на безумную бюрократию и ненужные согласования.

Есть большое стремление совместить security и usability, мы очень много работаем над этим, даже когда это непросто.

PC Week: Как вы обеспечиваете свои многочисленные подразделения персоналом?

С. П.: Во-первых, мы очень долго ищем, поскольку требовательны к персоналу.

Нам здорово помогает то, что у нас сильный позитивный бренд, нас знают, а также то, что у нас открытая корпоративная культура (все сидят в открытом помещении и спокойно обсуждают рабочие вопросы друг с другом) и очень много интересной работы.

Во-вторых, мы удерживаем людей не просто формальным обучением и планами развития, но и высокой вовлеченностью персонала службы безопасности в решение задач. Для этого предоставляем им всё для интересной работы — новейшие практики и системы, которых в принципе может не быть в других банках.

PC Week: Действительно, на рынке ИБ «Тинькофф Банк» — практически индикатор новинок, сперва всё появляется у вас, а потом у других.

С. П.: Да, мы тестируем всё новое, что появляется на рынке, и если это нам действительно нужно и подходит по параметрам, то ставим на вооружение.

PC Week: Существует ли специфика угроз для небанковского бизнеса «Тинькофф» — страхового, маркетплейс?

С. П.: Естественно, с ростом применения информационных технологий риски возрастают кратно. В частности, есть схемы покупки авиабилетов и других товаров с помощью краденых кредитных карт, подделки и последующей продажи электронных полисов ОСАГО, «серые» схемы в страховании и многие другие.

PC Week: Значит, мошенники следуют за технологиями?

С. П.: Конечно. Наверное, они пионеры в использовании новых технологий.

Да и в принципе развитие технологий трансформирует жизнь. Сейчас вся наша жизнь — «в цифре»: фото, деньги, контакты, данные. Это создает единую точку отказа (Single Point of Failure), и если потерять мобильный телефон, то всё можно начинать как будто с чистого листа.

PC Week: Как изменился ландшафт угроз для банка и его клиентов за последние год-два?

С. П.: Сейчас сильно выросла актуальность киберпреступлений, они совершаются гораздо чаще, чем раньше. Для клиентов особых изменений не произошло — всё так же актуальна социальная инженерия и фишинговые рассылки.

Мы активно повышаем осведомленность клиентов — создан специальный раздел на сайте, рубрика в «Тинькофф Журнале». Например, в «Тинькофф Журнале» есть тест, позволяющий клиентам проверить, насколько они знают схемы мошенничества.

Наша цель — донести до клиента идею, что его роль в обеспечении безопасности его собственных денежных средств очень важна. Конечно, в банке выстроена большая система внешнего и внутреннего контроля, но простое знание клиента о мошеннических схемах и угрозах уже очень помогает защититься.

PC Week: Замечу, что я читатель «Тинькофф Журнала» и проходил этот тест. Понравилось, очень доступно.

С. П.: Мы всегда стараемся максимально упростить задачу клиенту, писать простыми словами и обычными фразами, показывать наглядные картинки — ведь большинство клиентов не являются техническими специалистами и по-другому просто не поймут или не запомнят. Мы рассказываем, в чем риски и как их избежать, по возможности просто и наглядно.

PC Week: Спасибо за беседу.

Ссылка на основную публикацию
Adblock
detector