Тип работы:
Предмет:
Язык работы:


РЕКОНСТРУКЦИЯ МОДЕЛИ КИБЕРБЕЗОПАСНОСТИ В РОССИЙСКИХ БАНКАХ (НА ПРИМЕРЕ ПАО «СБЕРБАНК РОССИИ»)

Работа №100489

Тип работы

Магистерская диссертация

Предмет

банковское дело и кредитование

Объем работы84
Год сдачи2020
Стоимость5500 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
199
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 3
1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УПРАВЛЕНИЯ КИБЕР-РИСКАМИ В
КОММЕРЧЕСКОМ БАНКЕ 6
1.1 Понятие кибербезопасности и ее основные характеристики 6
1.2 Современные подходы к обеспечению кибербезопасности в банковском
секторе 11
1.3 Сравнительная характеристика особенностей кибер-рисков в
российской и мировой практике 18
1.4 Актуальные проблемы управления кибер-рисками в банковском секторе
и пути их решения 31
2 АНАЛИЗ ДЕЯТЕЛЬНОСТИ ПАО «СБЕРБАНК РОССИИ» В ПРОЦЕССЕ
ФОРМИРОВАНИЯ СИСТЕМЫ КИБЕРБЕЗОПАСНОСТИ 37
2.1 Организационно-экономическая характеристика ПАО «Сбербанк России» 37
2.2. Комплексный анализ системы кибербезопасности банка 40
2.3. Анализ модели оценки рисков кибербезопасности банка 44
3 РЕКОМЕНДАЦИИ ПО СОВЕРШЕНСТВОВАНИЮ МЕТОДОЛОГИИ
ОЦЕНКИ КИБЕР-РИСКОВ В ПАО «СБЕРБАНК РОССИИ» 50
3.1. Общие рекомендации по совершенствованию системы минимизации
кибер-рисков в банковской сфере 50
3.2. Разработка метода оценки рисков кибербезопасности 54
3.3 «Пилотная» практика применения оценочного подхода на примере ПАО
«Сбербанк России» 61
3.4 Перспективы развития разработанного подхода к оценке кибер-рисков
71
ЗАКЛЮЧЕНИЕ 73
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 77

В современном мире важнейшим конкурентным фактором в банковском секторе является внедрение инноваций и развитие информационных технологий. Однако данный процесс сопровождается также появлением новых видов мошенничества. Наибольший интерес для киберпреступников представляет финансовый сектор. Проблема развития киберпреступности является крайне актуальной и злободневной вследствие масштабов потерь, которые ежегодно несут кредитные организации по всему миру. Однако, на текущем этапе моделирование кибер-рисков, в том числе в банковском секторе, развито слабо ввиду новизны проблемы, отсутствия исторической практики борьбы с киберпреступностью на уровне отдельных организаций, а также сложности в анализе и оценке данного вида рисков.
В связи с этим, целью данной работы явилась реконструкция модели оценки кибер-рисков для российских коммерческих банков.
Для решения поставленной цели были определены представленные ниже задачи:
1. Выделение понятия «кибербезопасность», рассмотрение его основных характеристик;
2. Изучение основных подходов к обеспечению кибербезопасности в банковском секторе России и мира;
3. Сравнительный анализ особенностей кибер-рисков в российской и мировой практике;
4. Идентификация проблем, порождающих развитие киберпреступности, а также путей их решения;
5. Обзор методики оценки рисков кибербезопасности, применяемой в ПАО «СБЕРБАНК РОССИИ»;
6. Разработка рекомендаций по совершенствованию методологии оценки кибер-рисков российских коммерческих банков;
7. Практическое применение разработанного подхода к оценке на примере ПАО «Сбербанк России».
Предмет исследования - экономические отношения, возникающие в процессе оценки рисков кибербезопасности кредитных организаций.
Объект исследования - российский коммерческий банк ПАО «Сбербанк России».
В процессе написания работы были применены такие методы исследования, как теоретический анализ, системный подход, обобщение, сравнение, классифицирование, измерение, наблюдение, моделирование а также метод прогнозирования.
В процессе диссертационного исследования проанализированы работы, посвященные проблеме глобального развития киберпреступности, а также методам обеспечения кибербезопасности кредитных организаций. Весомый вклад в исследование данных вопросов внесли отечественные учёные: Тропина Т.Л., Дерюгин Р. А., Журавленко Н.И., Алпеев А.С., а также зарубежные: Leukfeldt E.R., Gable K.A., Boes S.
Научная новизна диссертационной работы заключается:
• в совершенствовании существующих моделей оценки рисков кибербезопасности и разработке авторского подхода к оценке на основании методик CRAMM и ГРИФ;
• в оценке экономической эффективности разработанной методологии на примере ПАО «Сбербанк России».
Практическая значимость данного исследования заключается в оценке текущего состояния киберпреступности в банковском секторе России и мира, а также в совершенствовании подхода к оценке кибер-рисков для российских коммерческих банков, который впоследствии может быть использован ими в практической деятельности для повышения кибербезопасности кредитной организации.
Теоретической и методологической основой написания работы явились учебное пособие Курило А.П. «Управление рисками информационной безопасности»; учебники Черновой Г.В. «Страхование и управление рисками» и Вяткина В.Н. «Риск-менеджмент», законодательные акты США, Великобритании и Германии в области киберпреступности; Конвенция Совета Европы о киберпреступности; Доклады ООН, PwC, Kaspersky Lab, ФинЦЕРТА; а также статьи в различных периодических изданиях и новостных ресурсах; официальный сайт Центрального Банка Российской Федерации (Банка России), ПАО «Сбербанк России» и др.
Поставленные цель и задачи определили логику изложения и структуру выпускной квалификационной работы, которая состоит из введения, трёх глав, заключения и списка использованной литературы. В данной работе в первой главе рассматриваются теоретические аспекты управления кибер­рисками в коммерческом банке, обозреваются основные подходы к обеспечению кибербезопасности в банковском секторе России и мира, а также предлагаются пути решения проблем киберпреступности для отечественного банковского сектора. Вторая глава содержит анализ деятельности ПАО «СБЕРБАНК РОССИИ» в процессе формирования системы кибербезопасности. Третья глава содержит рекомендации по совершенствованию системы минимизации кибер-рисков в банковском секторе, а также апробацию результатов на примере ПАО «СБЕРБАНК РОССИИ». В заключении делаются основные выводы по итогам проделанного исследования.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!


Развитие информационных технологий, происходящее в современном мире, несет за собой негативные последствия в виде развития киберпреступности, которая не стоит на месте и постоянно порождается новыми видами атак, инструментов и методов, которые позволяют мошенникам проникать в наиболее сложные и контролируемые среды, наносить большой урон и зачастую оставаться незамеченными. Особую популярность среди кибермошенников получил финансовый сектор экономики, в частности коммерческие банки. «Кибер-риск» представляет для банков одну их самых популярных угроз и требует к себе особого внимания.
Борьба с киберпреступностью ведется на всех уровнях: международном, государственном, региональном, отраслевом и на уровне отдельно взятых субъектов (в частности, кредитных организаций).
Однако, потери от кибератак продолжают ежегодно увеличиваться и по прогнозам к 2021 году киберпреступность будет стоить миру более 6 трлн.$ по сравнению с 3 трлн.$ в 2015 году.
Опираясь на исследование компании Positive Technologies, были выделены ключевые аспекты совершённых кибератак за 2019 год:
• количество уникальных кибератак ежемесячно увеличивалось, и по итогам года на 19% превысило число кибератак в 2018 году;
• наибольшее количество кибератак зафиксировано на госучреждения, промышленность, медицину, сферу науки и образования и финансовую отрасль (в сумме - 54 %);
• доля атак на предприятия промышленной отрасли выросла до 10% против 4% в 2018 году;
• доля целевых атак (по сравнению с массовыми атаками) выросла по сравнению с 2018 годом на 5 п.п. и составила 60%;
• доля кибератак, направленных на хищение информации составила 60% против юридических лиц и 57% против частных лиц;
• количество заражений вредоносным ПО в 2019 году на 38% превысило аналогичный показатель 2018 года;
• одной из наиболее актуальных киберугроз для компаний по всему миру являются троянцы-шифровальщики (31% заражений ВПО среди юридических лиц).
Анализ современных тенденций киберпреступности в России показал, что они схожи с мировыми и сопровождаются аналогичными проблемами. Однако, после анализа статистики величины ущерба российских банков от кибератак, было выявлено что в 2019 году объём ущерба снизился. Вероятно, опыт предыдущих лет, когда происходил настоящий бум киберпреступности, заставил банки всерьез заняться своей кибербезопасностью, что многим помогло избежать потерь.
Также в ходе исследования были выделены основные проблемы киберпреступности:
• сложность в определении источника угрозы;
• анонимность сети Интернет;
• сложность выработки мер противодействия киберпреступности;
• надежда на стандартные средства защиты;
• транснациональность сети и отсутствие механизмов контроля;
• количество пользователей;
• автоматизация и быстрота использования;
• несовершенство законодательства;
• напряженная политическая обстановка в мире;
• сокрытие фактов о произошедших кибератаках;
• неэффективность работы органов внутренних дел
• нехватка квалифицированных кадров.
Для решения выявленных проблем, были разработаны пути решения, включающие мировое сотрудничество; совершенствование законодательной базы; проведение форумов и конференций, мероприятий по увеличению 1Т- грамотности пользователей Интернета; обучение сотрудников банков основам кибербезопасности; разработка банками экономико-математических моделей прогнозирования направлений кибератак и оценки потенциального ущерба (рисков) и др.
Поэтому в рамках данного исследования было решено модернизировать методику оценки кибер-рисков для кредитных организаций, базируясь на известных методах оценки рисков информационной безопасности - СЯАММ и ГРИФ. Разработанная методика включается в себя количественную и качественную оценку, по большей части базируясь на экспертных оценках. Модель получилась достаточно логичной и структурированной, понятной не только лицам, причастным к 1Т- отрасли, но и финансистам, бизнесменам и др.
По итогам разработки методика была апробирована на крупнейшем российском коммерческом банке ПАО «Сбербанк». Полученные результаты были проанализированы, сформулированы основные преимущества и недостатки предлагаемой методики. Также были определены перспективные направления повышения эффективности и качества оценки:
- повышение объективности оценки на основе набора и использования статистических данных по рискам;
- формирование базового перечня риск-факторов для наиболее критичных систем, что позволит оптимизировать процесс оценки;
• совершенствование методов построения модели с применением других методик оценки банковских рисков;
• преобладание количественной оценки риск-факторов над качественной и т.д.
Элементы новизны исследования заключается в том, что была предложена систематизация теоретических представлений в сфере 76
управления кибер-рисками, углубленно рассмотрен понятийный аппарат. Основные задачи исследования, как в части систематизации теоретических основ управления кибер-рисками, так и в области разработки методического подхода к оценке кибер-рисков коммерческого банка были решены.
Несомненно, киберпреступность будет развиваться и далее, трансформируя методы мошенничества в более изощренные формы. Необходимо предвидеть действия злоумышленников, создавать систему ограничений, блокирующую киберпреступность. Укрепление системы кибербезопасности финансового сектора в современном мире должно минимизировать масштабные потери финансовых организаций. Однако создание стратегических основ безопасности на уровне банковской системы и отдельно взятых банковских учреждений может стать серьезным барьером для экономических преступлений в информационном поле.


1. Закон «О мошенничестве и злоупотреблении с использованием компьютеров» от 21.10.1984 (США)
2. Закон «О неправомерном использовании компьютерных технологий» от 1990 г. (Великобритания)
3. Конвенция Совета Европы о киберпреступности ETS № 185
4. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7- ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ) // Собрание законодательства РФ. - 04.08.2014. - № 31. - ст. 4398
5. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 18.02.2020)// Собрание законодательства РФ, 17.06.1996, № 25, ст. 2954
6. Уголовный кодекс ФРГ в редакции от 13 ноября 1998 г.
7. Указ Президента Российской Федерации от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»
8. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
9. Федеральный закон от 28.12.2010 № 390-ФЗ (ред. от 06.02.2020) "О безопасности"
10. Рекомендации в области стандартизации Банка России (РС БР ИББС-2.5-2014) «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» от 01.06.2014
11. ISO/IEC 27032:2012 Information technology - Security techniques - Guidelines for cybersecurity
12. Вяткин В.Н. Риск-менеджмент: Учебник / В.Н. Вяткин, В.А. Гамза, Ф.В. Маевский. - Люберцы: Юрайт, 2016. - 353 с.
13. Курило А.П. Управление рисками информационной безопасности [Текст]: учебное пособие для вузов / А.П. Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой - 2-е изд., испр. М.: Горячая линия - Телеком, 2015. -130 с.
14. Чернова Г.В. Страхование и управление рисками : учебник для бакалавров / Г. В. Чернова [и др.] ; под ред. Г. В. Черновой. — 2-е изд., перераб. и доп. — М. : Издательство Юрайт, 2017. — 767 с.
15. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность // Вопросы кибербезопасности. 2014. №5 (8)...


Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2024 Cервис помощи студентам в выполнении работ