Файл: Система защиты информации в банковских системах(направления обеспечения безопасности 6 банка россии).pdf

ВВЕДЕНИЕ

Одной из важнейших проблем функционирования банка как такового является проблема его безопасности. Данная проблема очень многообразна, крупнейшими сферами банковской безопасности являются: обеспечение безопасности банковской информации (банковской тайны) и обеспечение безопасности банка как такового, то есть личной безопасности сотрудников и сохранности материальных и финансовых активов (имущества). Именно эту часть проблемы безопасности осуществляет, в первую очередь, служба безопасности банка.

Таким образом, в условиях рыночных отношений в России, в условиях развития (и довольно бурного, во многом стихийно-хаотичного, когда законодательная база очень часто отстает от развития новых для России экономических отношений) первой фазы рынка – периода первоначального накопления капитала, когда яростная конкурентная борьба за выживание, рост, процветание сопровождается всеми атрибутами этой борьбы, вплоть до криминальных, вызывает к жизни и остро ставят вышеперечисленные проблемы безопасности банковской системы в целом и Банка России, в частности, важнейшим элементом банковской безопасности является оберегание, сохранение "банковской тайны". Понятие "банковской тайны" традиционно трактуется в двух основных значениях:

1) в широком смысле банковская тайна понимается как разновидность коммерческой тайны, то есть конфиденциальные сведения, принадлежащие самому банку;

2) в узком смысле под ней подразумевают обязанность сохранять тайну по операциям клиентов, их вкладам и счетам.

Таким образом, видно, что банковская тайна по сущности является разновидностью тайны профессиональной, ибо она отличается от коммерческой тем, что ее носитель не имеет личной заинтересованности в ее конфиденциальности при производном характере его прав на эти сведения. Например, банку безразлично, станет ли известно об операциях по счетам его клиентов их конкурентам и т.д., в силу чего, такую заинтересованность устанавливает законодатель, налагая на банковских служащих обязанность соблюдения банковской тайны и превращая банки в гарантов исполнения этих обязанностей. Понимание действительной сущности "банковской тайны" служащими банка позволяет последним сохранять ее на уровне внутренне морального убеждения в действительной (а не мнимой, по принуждению) ее сохранности для поддержания репутации банка как надежного и ответственного учреждения.

С бурным развитием банковской системы России, развитием Банка России большое значение уделяется правовой (законодательной) охране банковских клиентов. В силу специфических особенностей деятельности банков этому вопросу огромное внимание уделяется не только в России, но и за рубежом. Например, общефедеральным законом в Германии установлено, что сотрудники Федерального банковского контроля и Немецкого Федерального банка, контролеры и аудиторы, которые в ходе своей деятельности или из официальных отчетов узнали факты, составляющие банковскую тайну, либо тайну третьих лиц (торговые и бизнес секреты), не имеют право передавать данные сведения кому бы то ни было или использовать их не для служебных целей, даже если они покинули службу и их деятельность закончена. В дореволюционной России в образцовых (примерных) Уставах Азовско-Донецкого коммерческого банка, Варшавского учетного банка, Тифлисского коммерческого банка, утвержденных в 1871 г. понятие банковской тайны определялось тем, что члены Совета и Правления и все служащие в банке были обязаны хранить тайну во всем, что касается вверяемых банку частных вкладов, коммерческих дел и расчетов. В послереволюционный период, в результате ликвидации частной собственности, централизации всей финансово-кредитной системы в руках государства, банковская тайна распространялась лишь на вклады граждан в сберегательных учреждениях. После качественных социальных, коренным образом затронувших как политику, так и экономику, преобразований в России (была ликвидирована государственная монополия на собственность, получила право на жизнь частная собственность и т.д.), что повлекло, в частности, образование и бурный рост частных, коммерческих банков, расширились и усилились требования, как к безопасности самих банков, так и к банковской тайне, носителями которой они являются.

Понятие и содержание банковской тайны было закреплено в Федеральном законе "О банках и банковской деятельности в РСФСР". В главе III, ст. 26 "Банковская тайна" определено, что: кредитная организация, Банк России гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией. Передача сведений, составляющих банковскую тайну возможна, согласно данной статье Закона, строго определенному кругу государственных организаций в основном для проведения проверок, связанных с нарушением установленного Законодательства. Особо оговаривается роль и место Центрального Банка России в сохранении банковской тайны: он не вправе разглашать сведения не только о счетах, вкладах а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных Федеральными Законами.

Аудиторские организации не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученных в ходе проводимых ими проверок, за исключением случаев, предусмотренных Федеральным Законом. Четко в законе сформулирована и ответственность: за разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном Федеральным Законом. Таким образом, являясь центральным пунктом, в системе банковской безопасности, банковская тайна является предметом постоянной защиты со стороны государства, банков, с одной стороны и постоянных попыток ее незаконного раскрытия в целях корысти, хищений, подрыва конкурентов и т.д.

1. направления обеспечения безопасности банка россии

В Банке России интенсивно развиваются системы информатизации и телекоммуникаций. К сожалению, этот процесс проходит на фоне обострения криминогенной ситуации в сфере банковской деятельности, и поэтому боль­шое значение приобретают проблемы развития и совершенствования систе­мы обеспечения информационной безопасности.

Преступные посягательства в сфере банковской деятельности приоб­ретают все более интеллектуальный характер. Большой ценностью для пре­ступных элементов становится информация о системах организации банков­ских платежных и информационных технологий, а также о системах обеспе­чения их безопасности. Поэтому служба безопасности и защиты информации использует комплекс мер защиты по целому ряду направлений:

- техническая защита информации;

- защита платежных документов;

- внутренняя безопасность;

- личная безопасность и т.д.

1.1. Банковский шпионаж

Защита банковской информации становится все более актуальной, выдвинувшись на первое место относительно физической охраны и средств технической защиты помещения банков. Одним из главных методов овладения банковской информацией, является банковский шпионаж.

Под банковским шпионажем понимается незаконное, скрытое, тайное добывание банковской информации с целью ее противозаконного использования. Основными каналами утечки информации являются:

1. Перехват электроакустических преобразований в аппаратуре, имеющей линии связи, путем подключения к этим линиям аппаратуры.
2. Перехват информативных побочных электромагнитных излучений и наводок, возникающих при работе технических средств.
3. Перехват разговоров, ведущихся в служебных помещениях с помощью чувствительных микрофонов, лазерных систем, реагирующих на колебание стекол окон (где ведется разговор).
4. Перехват визуальной информации из распечаток, полученных с использованием ЭВМ и других служебных документов путем использования высокочувствительных оптических и фотосредств.

Кроме данных паразитных (побочных) технических каналов утечки могут создаваться и утечки информации с помощью миниатюрных закладных устройств-приборов для несанкционированного сбора и передачи информации на расстояния до нескольких сот метров, "клопы" на одежде, "жучки" в остальных случаях. К техническим каналам утечки информации относится также непосредственный перехват информационных сигналов, передаваемых по линиям связи, путем гальванического и бесконтактного подключения к этим линиям специальной аппаратуры. Банком России, другими банками проводятся работы по блокировке систем на договорной основе со специализированными организациями.

В настоящее время создается и в некоторых сферах уже реально су­ществует рынок сертифицированных средств защиты информации и банки, в том числе Банк России, заинтересованы в его дальнейшем развитии.

Защитные меры от утечки информации по техническим каналам носят различный характер в зависимости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной вычислитель­ной системы или программы. Такими мерами могут быть: доработка аппара­туры с целью уменьшения уровня сигналов, установка специальных фильт­ров, параллельно работающих аппаратных генераторов шума, специальных экранов и другие меры.

Выбор спецсредств очень широк - это приемники, сканеры, уст­ройства для контроля телефонных линий, переносные автомобильные радиостанции, устройства акустического контроля, блокираторы «жучков», устройства для обнаружения радио-закладок и защиты от прослушивания, системы видео-наблюдения, видео-домофоны и т.д., всего более 300 уст­ройств. Например, шумогенератор, размером с пачку сигарет, обеспечивает конфиденциальность переговоров в помещении. Включенный шумогенера­тор с выдвинутой антенной оставляет на внешних подслушивающих устрой­ствах только сплошной шум.

В числе мер защиты большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей, кото­рые обладают следующими преимуществами: отсутствием электромагнитно­го излучения во внешнюю среду, устойчивостью к внешним электромагнит­ным излучениям, большой помехозащищенностью, скрытностью передачи, малыми габаритами (что позволяет прокладывать их рядом с уже сущест­вующими кабельными линиями), устойчивостью к воздействиям агрессивной среды.

С точки зрения защиты информации волоконно-оптические кабели имеют еще одно преимущество: подключение к ним с целью перехвата пере­даваемых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения.

Специалисты фирмы IBM в Цюрихе продемонстрировали новый ме­тод передачи данных между различными устройствах в пределах одного ре­гионального центра информатизации с использованием ИК-систем. Беспро­водная передача данных с помощью ИК-системы может быть особенно по­лезна в учреждениях с большим общим рабочим залом. Среди главных пре­имуществ такой системы отмечается невосприимчивость ИК-каналов пере­дачи данных к электромагнитным и другим различным излучениям.

1.2. Утечка информации из компьютерных сетей

Распространенными способами незаконного использования банковской информации стали многочисленные способы организации утечки информации из компьютерных сетей. Истории с фальшивыми авизо, мемориальными ордерами, ложными телетайпами являются следствием отсутствия надежной защиты каналов передачи банковской информации, программных и аппаратных средств вычислительной техники. Как показывает зарубежный опыт, например в США, убытки, понесенные фирмами от данного вида преступлений, составляет 4-6 млрд. долларов ежегодно. Основными источниками угроз безопасности информации в компьютерных системах являются – мошенничество, саботаж персонала, действия профессиональных хакеров (взломщиков), ошибки в деятельности человека и сбои самого оборудования. Перехватывание паролей, ключей, информации с магнитных носителей – все это современные виды компьютерной преступности.

В качестве основных факторов, способствующих расширению масштабов компьютерной преступности, можно назвать следующие: использование компьютеров без тщательного анализа с позиций защищенности информации; недостаточное выделение средств на меры защиты; отсутствие плана мероприятий по защите компьютерных сетей; отсутствие взаимосвязанности принимаемых мер (программного, организационно-технического, законодательного характера). Международный банковский опыт показывает, что отдельные, разрозненные усилия банков по защите информации оказываются малоэффективными перед лицом преступных группировок и лиц, активно использующих объединенный опыт технического компьютерного прогресса и достижений электроники. Понимая это, крупные американские и европейские банки решали вопросы информационной безопасности сообща, наряду со стандартизацией систем кодирования банковских операций и финансовых сообщений. В 1973 году они создали общество SWIFT, члены которого перешли на международные стандарты использования ЭВМ и средств телекоммуникаций в банковском деле, обеспечив тем самым надежную, стандартизированную, шифрованную передачу информации. Организация программных средств банков общества SWIFT контролируют процедуры подключения терминалов к сети, обеспечивают регистрацию и шифрование сообщений, контролируют достоверность сообщений и источник информации. Западные банки защищают свои главные ЭВМ, их сети специальными устройствами. Они выполняют, как правило, роль сетевых контролеров, управляют модемами, проверяют номера телефонов абонентов, подключающихся к сети, регистрируют успешные и безуспешные попытки соединиться с центральной ЭВМ. Все эти меры, в совокупности, во-первых, ускоряют оборот информации и, во-вторых, надежно защищают его от несанкционированного проникновения.