Безопасность банка. Вып.4. - Казанская банковская школа

Образовательное учреждение
среднего профессионального образования
«Казанская банковская школа (колледж)
Центрального Банка Российской Федерации»
Справочно-информационный отдел
Тематический обзор по периодической печати
«Безопасность банка. Вып.4.»
Содержание
Алексеева И. Защита хороша, если деньги целы [Текст] / И.Алексеева // Банковское
обозрение.-2011.-№ 4.
Винников М.Б. Внутренний контроль и информационная безопасность [Текст] /
М.Б.Винников // Внутренний контроль в кредитной организации.-2011.-№ 4.
Гамза В.А. Особенности преступных посягательств на безопасность информационного
обеспечения банковской деятельности [Текст] / В.А.Гамза, И.Б.Ткачук // Управление в
кредитной организации.-2011.-№ 1.
Гамза В.А. Особенности преступных посягательств на банковскую безопасность в
сфере обслуживания счетов клиентов [Текст] / В.А.Гамза, И.Б.Ткачук // Управление в
кредитной организации.-2011.-№ 2.
Евстратов Д.А. Организация защиты банковской тайны [Текст] / Д.А.Евстратов,
А.И.Кириченко // Вестник ТИСБИ.- 2010.- Вып. № 2.
Костылев И. 10 правил для мобильного банкинга [Текст] / И.Костылев // Банковское
обозрение.-2011.-№11.
Лямин Л.В. Трактовка банковской безопасности и надежности в США:
технологический аспект [Текст] / Л.В.Лямин // Управление в кредитной организации.2011.-№ 5.
Ревенков П.В. Аналитическая деятельность службы информационной безопасности
банка [Текст] / П.В.Ревенков, Д.А.Пивоваров // Управление в кредитной организации.-2011.№4.
Рыбалов В. Стандарт информационной безопасности. Актуальные вопросы
использования средств криптографической защиты информации в банковской деятельности
[Текст] / В.Рыбалов, А.Семенов, А.Тиньков // БДМ. Банки и деловой мир.-2011.-№ 9.
Сердюк В. Гроза угроз. Практические аспекты создания ситуационных центров
управления информационной безопасностью [Текст] / В.Сердюк // Бухгалтерия и банки.-2011.№ 8.
Сысоева А.В. Стиль и сервис на службе у клиента [Текст] / А.В.Сысоева // Банковский
ритейл.-2011.-№ 1.
Тысячникова Н.А. Методика оценки безопасности банка в рамках план ОНиВД [Текст]
/ Н.А.Тысячникова // Внутренний контроль в кредитной организации.-2011.-№ 2.
1
Защита хороша, если деньги целы
И. Алексеева,
обозреватель "БО"
Вопрос безопасности банкоматов встает все острее, ведь число АТМ постоянно растет.
Главная проблема - изощренность мошенничеств, связанных с такими устройствами, опережает
возможности банков по обеспечению их защиты. И даже страхование не всегда эффективно.
По сути, банкомат - это слегка видоизмененный сейф с деньгами, выставленный банком на
улицу или в общественном месте. Случаи ограблений АТМ были зафиксированы еще с момента их
появления, а "продвинутость" охотников за деньгами растет параллельно с совершенствованием
самих устройств и методов их безопасности.
Едва ли не каждый день в криминальных сводках новостей мы слышим об очередной попытке
кражи денег из АТМ или свершившемся факте ограбления. Представители российских кредитных
организаций констатируют, что количество таких преступлений с каждым годом увеличивается. С
наступлением кризиса 2008-2009 годов их число выросло в разы и к докризисному уровню
возвращаться не торопится.
Грабят всегда
Станислав Свентковский, начальник управления процессинга и системно-технической
поддержки СБ Банка подтвердил, что в 2010 году - начале 2011 года улучшения ситуации с
безопасностью АТМ незаметно: ограбления происходят примерно с той же частотой, что и в пик
кризиса.
С ним согласились в компании Wincor Nixdorf (одной из лидирующих компаний по
производству и обслуживанию банкоматов в Европе и мире). "Акты вандализма были всегда, и это,
скорее, вопрос не кризиса, а общей культуры российских граждан. Число ограблений не зависит от
кризиса, скорее всего это связанно с недостаточным вниманием со стороны некоторых банков к
местам установки оборудования и несоблюдением требований безопасности при установке АТМ", сообщили в компании.
Заместитель начальника управления прямых продаж Мастер-Банка Максим Масневский
считает, что залог безопасности транзакций на банкомате в 90% случаев - ответственность самих
держателей пластиковых карт. "По статистке около 10% держателей карт хотя бы раз передавали
свою карточку третьим лицам. Некоторые держатели банковских карт записывают свой PIN-код
прямо на карте или хранят его вместе с картой. 19,8% пользователей теряли карту, при этом 2,3%
теряли карту вместе с PIN-кодом", - сетует представитель Мастер-Банка.
Случаи ограбления банкоматов можно разделить на два вида: скимминг-атаки и физические
атаки на АТМ с целью вскрытия сейфа и извлечения из него денежных средств. В соответствии с
этими видами покушений, кредитные организации и строят защиту своих устройств.
Комплексный подход
Что касается физической защиты банкоматов, то арсенал атрибутов, используемых банками,
вполне стандартный. Это камеры внешнего и внутреннего видеонаблюдения, охранная сигнализация,
встраивание устройства в капитальную стену здания или прикручивание АТМ к полу, повышение
класса защиты денежного сейфа, окрашивание купюр специальной краской в случае вскрытия сейфа
и другие методы.
2
А вот над защитой от скимминг-атак банкам приходится постоянно думать, противодействуя
все более изощренным методам хищения информации о пластиковых картах. Представители банков
среди наиболее часто используемых мер по борьбе с такими мошенничествами называют
применение специальных кардридеров, внешний осмотр банкоматов, использование
антискимминговой защиты от производителей АТМ.
Говоря об эффективности применяемых мер, представители кредитных организаций и
производители устройств отмечают необходимость применения целого комплекса мер защиты в
совокупности. Причем начинать нужно уже с места их расположения. Если банкомат установлен в
людном месте, где есть охрана и видеонаблюдение, то это само по себе снижает риски. Но стоит
отметить, что число позиций для безопасной установки АТМ ограниченно и не расширяется вместе с
ростом числа банкоматов. А установка устройств в опасных местах зачастую приводит к увеличению
количества грабежей.
Максим Масневский (Мастер-Банк) считает, что только комплексное применение мер защиты
способно защитить АТМ. "К примеру, отдельно системы видеонаблюдения вряд ли смогут
предотвратить нападение на банкомат, но они незаменимы при претензионной работе. Именно
предоставление видеозаписи правоохранительным органам помогает раскрытию преступления.
Сигнал от охранной панели инициирует оперативное прибытие к аппарату, подвергшемуся
нападению. Обычно на АТМ устанавливаются датчики открытия или вибрации. Они подключаются
к панели охранной сигнализации, и в случае срабатывания, будь то вандализм или кража, к
устройству незамедлительно прибывает группа реагирования", - поясняет он. Представитель МастерБанка подчеркнул, что АТМ в обязательном порядке оснащаются как пассивными средствами
защиты, так и антисчитывающими устройствами.
Его мнение разделяет Станислав Свентковский (СБ-банк). "Какого-то одного, наиболее
действенного метода здесь нет, эффективная защита обеспечивается соблюдением всех необходимых
мер в комплексе - организационных, информационно-технологических, физических", - говорит он.
Производители таких устройств, в том числе Wincor Nixdorf, также считают эффективным
применение комплексной защиты. "Есть стандарты безопасности, предъявляемые к сейфам
банкоматов, которые производитель должен неукоснительно соблюдать. Однако так же есть
некоторые требования к хранению денежных средств и правил обеспечения безопасности, о которых
банкам необходимо помнить при установке банкомата в неохраняемом помещении магазина и т.д.,
например, подключение АТМ к системе охранной сигнализации", - констатируют в компании.
Примечание. Что страшнее
Представители кредитных организаций России утверждают, что физические атаки на АТМ и
скимминг-атаки примерно сравнялись по количеству случаев и значимости материального ущерба.
Однако в последнем докладе организации European ATM Security Team (EAST), которая собирает
информацию об инцидентах скимминг-атак по всей Европе, говорится о том, что сумма ущерба от
таких преступлений уменьшается, несмотря на увеличение их числа.
По данным EAST, количество случаев скимминга за первое полугодие 2010 года выросло на
24%, в период с января по июнь 2010 года были зарегистрированы 5,7 тыс. нападений, что намного
больше по сравнению с 4,6 тыс. атак за тот же период 2009 года. Сумма ущерба при этом упала с 156
до 144 млн. евро. Это связано с повсеместным внедрением в Европе подхода chip and PIN и карт
стандарта EMV.
Мошенники не дремлют
3
Методы скимминг-атак мошенники постоянно совершенствуют. По информации European
ATM Security Team (EAST), банки из пяти стран сообщают об инцидентах с новыми устройствами
для считывания информации. Например, использование модифицированных МР3-плейеров для
записи данных с пластиковых карт. EAST не разглашает названия банков или стран, где были
выявлены подобные случаи, но заявляет, что они имели место в странах, где более 40 тыс.
установленных АТМ. Среди таких стран - Франция, Германия, Испания, Россия и Великобритания.
С 1 января 2011 года на территории 32 европейских стран эмитенты перешли на выпуск
платежных карт с чипом в целях обеспечения дополнительной защиты денежных средств клиентов.
В России доля таких карт составляет пока лишь 30-40% от общего объема эмитированных, как
правило - это кредитные карты. Но очевидно, что число таких карт будет расти и в России.
Продвинутый уровень российских хакеров, не вызывает сомнений даже за пределами РФ.
Достаточно вспомнить случай с 27-летним новосибирским программистом-мошенником Евгением
Аникиным, взломавшим платежную систему RBS WorldPay. Вместе с "коллегами" ему удалось
обналичить около 10 млн. долларов.
Из-за невозможности подделки смарт-карт (точнее, больших трудностей с этим) в
европейских странах, охотники за деньгами могут обратить свое внимание и на российские
пластиковые карты. В России уровень мошенничества по картам пока находится на уровне 5-7
базисных пунктов. Для сравнения: уровень мошенничества в Великобритании - 23 базисных пункта,
то есть мошенники крадут 23 цента с каждых 100 долларов. Российские карты просто не были
интересны мошенникам. Как правило, это связано с тем, что граждане нашей страны не хранят на
картах большие остатки денежных средств, а снимают их в день зарплаты.
Но даже незначительные остатки средств на них могут стать интересной добычей, ведь за
неимением лучшего, будут воровать то, что есть.
Защита vs страховка
Рост банкоматных сетей наряду с ростом связанных с АТМ преступлений заставляет
представителей кредитных организаций все чаще задумываться о страховании банкоматов.
Страховые компании предлагают застраховать как сами устройства, так и наличные средства,
находящиеся в них. К страховым случаям при этом относятся: пожар и взрыв, падение деревьев и
снежно-ледяных образований, падение летательных аппаратов или их обломков, столкновение с
транспортом всех видов или наезд транспорта на банкомат, воздействие жидкости или пара,
противоправные действия третьих лиц, удар молнии и стихийные бедствия.
При этом стоимость страховки, как правило, зависит от трех факторов: количество
банкоматов, место их расположения, степень охраны. Тарифы по данному виду страхования
варьируются от 0,07% до 0,5% от стоимости АТМ.
Банкиры, как правило, считают практику страхования банкоматов эффективной с точки
зрения возмещение убытков.
Так, Максим Масневский из Мастер-Банка уверен, что именно страхование позволяет банкам
возместить расходы в случае нанесения ущерба, нанесенного банкоматам или хранящимся в них
денежным средствам.
Однако, как полагают в Wincor Nixdorf, необходимо находить некоторый баланс по вопросу
обеспечения комплекса охранных мер и суммой возмещения по страховке. "Страхование удорожает
стоимость владения устройством. Можно закладываться на максимальную сумму зарядки банкомата,
а можно подходить дифференцированно, в зависимости от нагрузки на АТМ и места его установки.
4
Если на месте установки невозможно обеспечить полный комплекс мер безопасности, то тогда стоит
увеличить сумму возмещения", - говорят в компании.
Другими словами, перед кредитными организациями стоит задача выбора: вложиться в
применение необходимых мер внешней и внутренней защиты АТМ или в страхование как основной
инструмент покрытия предполагаемых убытков. Но эти методы эффективны только в отношении
физических атак на банкоматы. Что же касается скимминг-атак, то без применения новейших
микропроцессорных технологий защититься от них будет все сложнее. И этот вопрос, думается,
будет стоять все острее в ближайшие годы.
Алексеева И. Защита хороша, если деньги целы [Текст] / И.Алексеева // Банковское
обозрение.-2011.-№ 4.
Внутренний контроль и информационная безопасность1
М.Б. Винников,
ООО "Финансовые и бухгалтерские консультанты",
департамент аудиторских и консультационных услуг
финансовым институтам, заместитель руководителя
по методологической работе
Информационные системы являются неотъемлемой частью современного банковского
бизнеса. Для информации, имеющей ценность для ее владельца, даже введен специальный термин информационный актив. Как любую ценность, информационный актив надо оберегать от хищений,
разрушения или порчи. Для решения данных задач в банке создается система обеспечения
информационной безопасности. И не последнюю роль в этой системе играет служба внутреннего
контроля.
Что такое СОИБ?
Информации в банке много, и при работе с ней возникают риски утраты ею свойств
информационной безопасности (конфиденциальности, целостности или доступности), что, в свою
очередь, может вызвать реальные материальные потери. Цель системы обеспечения
информационной безопасности - минимизировать риски информационной безопасности.
Безопасность информации реализуется системой обеспечения информационной безопасности
(далее - СОИБ), включающей как общие методы защиты информации (управление доступом,
антивирусы, правила работы с Интернетом и т.п. - то, что называется системой информационной
безопасности (далее - СИБ)), так и организационные мероприятия (определение того, кто занимается
обеспечением информационной безопасности, каков бюджет, выделяемый на ИБ, есть ли
планирование затрат и работ, кто, как и перед кем отчитывается об исполнении планов и бюджета,
как происходит управление инцидентами в сфере информационной безопасности и т.п. - то, что
называется системой менеджмента (управления) информационной безопасности (далее - СМИБ)).
Таким образом, СОИБ = СИБ + СМИБ.
Если СОИБ нет, то ее надо создавать и обеспечивать ее функционирование как системы
управления, реализованной в виде непрерывного замкнутого процесса с фазами "планирование Все классификации приведены по ранее принятым, но до сих пор не отмененным документам, которые пока
что неизвестно когда будут заменены.
1
5
реализация - проверка (оценка результатов) - совершенствование (выработка управленческих
решений)".
Роль службы внутреннего контроля - быть составной частью этого контура управления,
отвечать за мониторинг работы служб, связанных с обеспечением информационной безопасности,
наличие документационного обеспечения, комплаенс-контроль реализации СОИБ в соответствии с
законодательными, нормативными и внутренними требованиями и таким образом участвовать в
процессе минимизации рисков, возникающих в сфере обработки ценной для банка информации.
В большинстве банков (особенно средних) обеспечение информационной безопасности
реализовано не как единая система, а как набор отдельных технических мер: антивирус, парольный
доступ в сеть и к АБС, в лучшем случае еще есть межсетевой экран между Интернетом и сетью
банка. Ответственным за информационную безопасность в основном является начальник
информационной службы или кто-то из его сотрудников, часто без определения в должностных
инструкциях функций, прав и обязанностей.
Как правило, в таких банках отсутствуют сформулированная и документально закрепленная
политика информационной безопасности (что, от кого и как защищаем), порядки реализации тех или
иных защитных мер, регламенты и инструкции по настройке средств обеспечения безопасности и
т.п., не проводится обучение пользователей. Вся реализация информационной безопасности завязана
на конкретного специалиста, своего рода "гуру".
Практически всегда отсутствует контроль за действиями как "привилегированных"
технических сотрудников, настраивающих оборудование и средства безопасности, регистрирующих
пользователей в АБС и т.п., так и рядовых пользователей, зачастую передающих свои учетные
записи в АБС коллегам на время обеда или какой другой отлучки с рабочего места.
В таких случаях говорят, что информационная безопасность реализована на интуитивном
уровне, который согласно лучшим мировым практикам является крайне низким по шкале оценки
качества реализации СОИБ. Он очень чувствителен к уровню подготовки персонала (отсутствие
документирования настроек систем), привязан к конкретному исполнителю (уход сотрудника
приводит к параличу участка и необходимости начинать работу с нуля), все действия выполняются
без надлежащего контроля и т.п.
Следует ли говорить, что такие банки наиболее подвержены как внутренним, так и внешним
атакам на информационные системы, пусть даже эта атака и выражена в форме саботажа со стороны
администратора компьютерных сетей банка.
В минимально организованной СОИБ:
- ответственный за информационную безопасность сотрудник независим от службы
информационных технологий, обладает функциями контроля (но не вмешательства!) действий
привилегированных и рядовых пользователей информационных систем, отчитывается только перед
своим руководителем или куратором;
- система информационной безопасности сформулирована и документирована: разработаны
политика информационной безопасности, положения, инструкции и порядки выполнения процедур,
документированы настройки всех реализованных систем обеспечения информационной
безопасности для возможности восстановления после аварий или атак нарушителей;
- пользователи проходят, по крайней мере, минимальное обучение обеспечению
информационной безопасности при поступлении на работу или изменении функционала;
- периодически должны проводиться внутренние проверки и внешний аудит системы.
Такая система, по крайней мере, имеет шанс устойчиво развиваться.
Подразделение внутреннего контроля может обеспечить создание СОИБ, отслеживая наличие
и функционирование соответствующих документов и процедур.
6
Почему надо создавать СОИБ?
Итак, надеюсь, вы убедились, что СОИБ нужна, и внутренний контроль может и должен быть
приводным ремнем в процессе ее создания и функционирования.
Но, тем не менее, при всей, казалось бы, разумности описанного подхода многие банки не
спешат создавать и внедрять у себя СОИБ, не очень желая тратить средства и ресурсы на это без
наличия соответствующей мотивации.
Поищем ее.
Что может являться "центрами кристаллизации", вокруг которых, а точнее - благодаря
которым будет формироваться управление информационной безопасностью в банковской сфере РФ?
На настоящий момент существуют три "стимулирующих" документа:
1. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон
N 152-ФЗ).
2. Приложение 5 к Положению ЦБ РФ от 16.12.2003 N 242-П "Об организации внутреннего
контроля в кредитных организациях и банковских группах", определяющее подходы к обеспечению
непрерывности и восстановлению деятельности (ОНиВД).
3. Стандарт Банка России по обеспечению информационной безопасности организаций
банковской системы Российской Федерации (далее - СТО БР ИББС).
Примечательно то, что данные документы не разрознены, а тесно взаимосвязаны, но у них
разный правовой статус, а значит - обязательность исполнения и соответственно "коэффициент
мотивации".
Теперь по порядку.
Требования Закона N 152-ФЗ обязательны для всех, в том числе и для банков. Цель закона защита прав субъекта персональных данных. Одно из направлений реализации - обеспечение защиты
персональных данных, обрабатываемых в банке.
Тема защиты персональных данных обсуждается весьма активно, особенно в связи с
несколькими фактами массированных утечек персональных данных у операторов сотовой связи,
интернет-магазинов и в поисковых интернет-системах. Однако, по мнению экспертов, это лишь
верхушка айсберга. Ведь система обеспечения информационной безопасности начинается не с
антивируса и даже не с установки систем защиты информации, а гораздо раньше - с разработки
системы обеспечения информационной безопасности в целом, в том числе на основе выбранных или
разработанных подходов/стандартов.
Обеспечение непрерывности и восстановления деятельности после аварийных ситуаций
является требованием регулятора (Банка России), но в серьезных банках оно всегда было одним из
компонентов обеспечения эффективного функционирования бизнеса. Блэкаут (авария в
энергосистеме) в мае 2005 г. в Центральном регионе России наглядно продемонстрировал
способность организаций, в том числе банков, нейтрализовать последствия подобных событий - ктото просто "закрыл лавочку" и прекратил обслуживание клиентов допофисов, попавших в "зону
поражения", списав все потери на аварию, а кто-то быстро организовал переезд операционистов в
"работающие" помещения и продолжил работу с документами клиентов. Кто оказался в выигрыше очевидно.
Использование СТО БР ИББС рекомендуется регулятором. Важно и то, что данный стандарт
содержит в себе требования по реализации мер, проистекающих как из Закона N 152-ФЗ, так и из
приложения 5 к Положению N 242-П, являющихся составной частью общей СОИБ.
Но при этом последняя редакция Закона N 152-ФЗ (его непростая парламентская судьба 7
тема для отдельной статьи), утвержденная Госдумой 25 июля 2011 г., осложнила вроде бы
"приемлемую" (по небезызвестному "письму шестерых") схему реализации защиты персональных
данных, содержащуюся в СТО БР ИББС, тем, что:
1) согласно части 3 ст. 19 Закона N 152-ФЗ Банк России обязан в своих документах
выполнять то, что установят ФСБ и ФСТЭК, а также правительство, определяющее требования к
защите персональных данных (а что это за требования и когда они будут опубликованы - никому не
ясно);
2) согласно части 6 ст. 19 ассоциации, союзы и т.д. могут установить лишь дополнительные
угрозы (т.е. сверх требований, содержащихся в документах, отработанных согласно частям 3-5
ст. 19 Закона N 152-ФЗ).
Таким образом, на настоящий момент:
- неактуальна отраслевая частная модель угроз, содержащаяся в РС БР ИББС-2.4-2010
"Отраслевая частная модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных организаций банковской системы Российской
Федерации";
- не соответствует Закону N 152-ФЗ методика оценки рисков РС БР ИББС-2.2-2009
"Методика оценки рисков нарушения информационной безопасности", надлежит применять
требования ФСТЭК при оценке актуальности угроз. Соответственно становятся актуальными ранее
неактуальные угрозы, в том числе при особых условиях - нереализуемые;
- по причине отсутствия документов, предусмотренных частями 3, 4 ст. 19 Закона N 152-ФЗ,
не действует РС БР ИББС-2.3-2010 "Требования по обеспечению безопасности персональных
данных в информационных системах персональных данных организаций банковской системы
Российской Федерации". Соответственно после выхода упомянутых выше документов следует
перерабатывать эти "рекомендованные требования";
- частично не действуют СТО БР ИББС-1.0-2010 "Общие положения" и СТО БР ИББС-1.22010 "Методика оценки соответствия информационной безопасности организаций банковской
системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх".
То есть комплекс СТО БР ИББС ждет кардинальный пересмотр, но тем не менее он жив и не
собирается сдаваться. Как же поступить банку в столь непростой правовой ситуации?
Немного истории.
После выпуска Банком России СТО БР ИББС перед банками встал вопрос - принимать или не
принимать данный стандарт в качестве основы своей деятельности при обеспечении
информационной безопасности. Стандарт носил рекомендательный характер и не воспринимался как
серьезный документ.
С выходом Закона N 152-ФЗ, в котором достаточно четко сформулировано требование к
обеспечению защиты прав субъектов персональных данных, в том числе посредством обеспечения
информационной безопасности в информационных системах обработки персональных данных,
требования к информационной безопасности обозначились более рельефно, пусть и в отдельно
взятой области. Но и этот факт опять же не оказал конкретного стимулирующего влияния на начало
работы по обеспечению безопасности информационных ресурсов - то ли из-за сильной размытости и
неконкретности в формулировках требований, то ли в силу неразберихи в определении понятий,
таких как "[не] автоматизированная обработка" и т.п.
Формирование Банком России во взаимодействии с другими регуляторами в сфере защиты
персональных данных законодательной и методологической среды для приведения информационных
систем персональных данных банков в соответствие с требованиями Закона N 152-ФЗ на основе
последней версии СТО БР ИББС (июнь 2010 г.) опять же не придало особой уверенности банкам 8
они по-прежнему, похоже, не понимают, каким путем им выгоднее идти, в частности в вопросах
защиты персональных данных.
Напомним, что для банков и в настоящий момент существуют как минимум два пути
обеспечения соответствия информационных систем обработки персональных данных (далее ИСПДн) требованиям Закона N 152-ФЗ:
- общий путь, сформулированный в Законе N 152-ФЗ и документах ФСТЭК (регулятора в
сфере технической защиты информации), в которых требования к системам и операторам
обозначены, с одной стороны, достаточно абстрактно и широко трактуемо, а с другой - без
конкретизации оценки уровня соответствия, а значит, с большим "люфтом" принятия решения
регулятором при проведении оценки такого соответствия;
- путь, предложенный Банком России, взявшим на себя роль методолога в части определения
как пути обеспечения безопасности персональных данных, так и оценки уровня соответствия
требованиям и согласовавшим свои методики с другими регуляторами.
"Путь ФСТЭК" и "путь Банка России"
Путь, предложенный Банком России, дополнительно налагает на банк обязательства по
организации защиты всех информационных активов посредством технических (управление
доступом, антивирусы, криптография и т.п.), организационных (организация службы
информационной безопасности, создание многоуровневой нормативной документации и т.п.) и
управленческих (мониторинг, тактическое и стратегическое планирование, оценка и аудит
соответствия и т.п.) мер. Внедрение стандарта является непростой задачей, так как подразумевает не
разовую кампанию по написанию политик безопасности и инструкций пользователя, а непрерывную
работу.
Создается впечатление, что, идя по пути ФСТЭК, этого делать не надо, поскольку об этом не
написано в явном виде. В действительности такое представление поверхностно и, по сути, ошибочно.
В документах ФСТЭК есть требования как по проведению мероприятий, непосредственно
связанных с ИСПДн (классификация персональных данных и ИСПДн, учет носителей персональных
данных, учет лиц, имеющих доступ к ИСПДн и т.п.), так и по обеспечению безопасности
информации в ИСПДн разного класса, зафиксированные, в частности, в Приказе ФСТЭК от
05.02.2010 N 58 (далее - Приказ N 58) (требования которого, кстати, во многом перешли в РС БР
ИББС-2.3-2010 "Требования по обеспечению ИБ ПДн"). Многие считают, что данный приказ
касается систем, классифицированных как типовые (т.е. таких, где надо обеспечить только
конфиденциальность данных), а не специальных (таких, где надо дополнительно обеспечить
доступность и (или) целостность), то есть того класса, к которому, скорее всего, будет отнесено
подавляющее число ИСПДн, эксплуатируемых в банках. Но истинность данного мнения
определяется тем, как относиться к положениям данного приказа.
Можно воспринимать Приказ N 58 как буквальные требования только к данному классу
систем, а можно - как минимальные к более сложным системам. Например, для многоролевой
многопользовательской системы управления кадровой информацией банка, отнесенной по
классификации ФСТЭК к специализированным системам класса К3*(1), необходимо, кроме
требований, описанных в п. 2.3 приложения к Положению о методах и способах защиты информации
в информационных системах персональных данных Приказа N 58, обеспечить защиту от скачков и
пропадания напряжения в сети питания сервера посредством UPS (блок бесперебойного
электропитания) с сетевым фильтром и RAID (система защиты на основе избыточных дисков)
9
дисковой системы на сервере (для обеспечения доступности и целостности данных), то есть
предполагаются более серьезные требования к обеспечению безопасности требований, чем в Приказе
N 58.
На рынке предлагается много "серебряных пуль" для решения всех проблем защиты
персональных данных, "благословленных" ФСТЭК. Наличие в законе фразы "Обеспечение
безопасности ПДн достигается, в частности: <...> применением прошедших в установленном
порядке процедуру оценки соответствия средств защиты информации" (ст. 19, п. 2, подп. 3)
сподвигло многих "мнительных" операторов обратиться к консультантам и вендорам средств защиты
информации (далее - СЗИ), не преминувшим дописать к сертификату ФСТЭК "обеспечивает защиту
персональных данных", забыв напомнить клиенту, что покупка коробки с СЗИ отнюдь не
гарантирует ему ни выполнения всех требований по защите информации, в том числе и
персональных данных, ни тем более исполнения требований Закона N 152-ФЗ.
Таким образом, при выборе "пути по ФСТЭК" требование по реализации общей защиты
информации в ИСПДн остается в силе.
Далее цепочка рассуждений выстраивается следующим образом: предположим, вы
организуете систему информационной безопасности ИСПДн, то есть создаете, как минимум,
функциональные роли офицера безопасности, ставите антивирусные системы, обеспечиваете
ролевой доступ к информационным системам, критичным к требованиям ИБ, ограничиваясь
основными информационными бизнес-системами банка, к которым, правда, пока(?) не выдвигаются
столь строгие требования в части информационной безопасности. Работоспособность системы
защиты информации перед регулятором можно подтвердить только на основе тех же
многоуровневых программных, нормативных и отчетных документов, прописанных, например, в
СТО БС ИББС. Так почему не защищать данные в ИСПДн в рамках общей системы
информационной безопасности банка, обеспечивающей в том числе защиту бизнес-информации,
которую все чаще предлагают считать так называемым информационным активом банка наряду с
реальными материальными активами?
Существенным недостатком "пути ФСТЭК" является то, что под определение ИСПДн
подпадают все технологические процессы и информационные системы банка, в которых в том или
ином виде присутствуют персональные данные. "Путь СТО БР ИББС" выводит из класса ИСПДн
автоматизированные системы, информационная безопасность которых обеспечена положениями
"банковской тайны", например расчетные системы, к которым согласно положениям СТО БР ИББС
относятся все системы банка, формирующие финансовые транзакции. Естественно, система
кадрового учета, используемая в банке, в любом случае является ИСПДн, независимо от
архитектурных особенностей и технологических решений. Некоторые сложности в классификации
"ИСПДн/не ИСПДн" вызывают информационные системы разного типа, реализованные на едином
ядре-надстройке над СУБД промышленного типа. Например, на российском рынке есть АБС, в
которых реализованы как системы проведения клиентских расчетов и учета банковских операций,
так и система кадрового учета. Как классифицировать данную систему? Есть два радикальных
варианта. Первый - объявить данную АБС ИСПДн и "получить проблему по полному профилю" при
классификации, обеспечении защиты по требованиям документов ЦБ РФ и ФСТЭК и т.п.; второй объявить, что кадровая система (и, в частности, рабочие места и технологические процессы,
встроенные архитектурно в АБС) не является ИСПДн, и, в свою очередь, обзавестись реальными
проблемами с регулятором, который априори знает, что любой, даже неавтоматизированный,
кадровый учет ведется при помощи ИСПДн. Истина, как всегда, где-то посередине. Например, к
рабочим местам и паролям доступа кадрового офицера нужно предъявлять требования как к ИСПДн,
а защиту информации в АБС реализовывать так, чтобы в остальном система была закрыта
10
требованиями банковской тайны.
Еще одной непростой проблемой в подходе к защите ИСПДн по ФСТЭК является оценка
уровня соответствия требованиям.
С одной стороны, так как отсутствуют четкие указания по правилам формирования оценки,
можно предположить, что "хозяин - барин" и банк сам волен определять нормы, правила и подходы к
защите информации в ИСПДн на основе "принятой в банке модели угроз ИСПДн". То есть "захочу и
напишу, что персональным данным в моих информационных системах ничего не угрожает, поэтому
все имеющиеся у меня в настоящий момент средства защиты информации (в т.ч. и их полное
отсутствие) данной модели угроз соответствуют, и все у нас в порядке". Только как такой подход
будет отстаиваться перед регулятором при проведении проверки или, не дай бог, при расследовании
инцидента? Поэтому, видимо, стоит предположить, что защита данных все-таки должна быть, и не
абы какая, а работающая, хотя бы в пределах здравого смысла: если есть требование закона об
ограничении доступа к персональным данным кругом лиц, которым эти данные необходимы по
работе, значит, система управления доступом в ИСПДн должна существовать, ее следует настроить
соответствующим образом и т.д.
С другой стороны, предположим, что элементы обеспечения системы информационной
безопасности имеются, но достаточны ли они для минимального удовлетворения требований
регулятора (понятно, что совершенство недостижимо, и всегда есть куда расти в пределах ресурсов и
бюджета)? С точки зрения документов ФСТЭК это не столь уж очевидно, а значит, присутствует
субъективный фактор оценки, который очень трудно бывает предугадать.
В СТО БР ИББС-1.2 "Методика оценки соответствия информационной безопасности
организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.020хх"
содержится выверенный, а главное - согласованный с регуляторами подход к оценке, контрольные
позиции, весовые коэффициенты, пороги оценок, дающие возможность количественно оценить
текущее состояние информационной безопасности, в том числе отдельных ее элементов, и
определить направления развития и ключевые факторы формирования комплексной системы
информационной безопасности банка.
Методика оценки соответствия требованиям СТО БР ИББС содержит как практически
исчерпывающий набор правил (рекомендаций к действиям) по обеспечению ИБ, так и набор весовых
коэффициентов (мер обязательности, ценности) для каждого из правил. Результатом оценки
соответствия является как набор групповых показателей (оценок) по отдельным направлениям
обеспечения безопасности (работа с кадрами, антивирусы, криптография, персональные данные и
т.д. - всего 34), так и интеграционные оценки по направлениям обеспечения ИБ (технологические,
менеджмент, участие руководства) и общая оценка соответствия СОИБ требованиям. Данные оценки
можно рассматривать как реальные метрики качества организации СОИБ в дополнение к метрикам
по мониторингу средств информационной безопасности (если таковые в банке используются).
Существует еще один подход - не принимая официально СТО БР ИББС, следовать ему в
некоторых частях, например, приняв отраслевую частную модель угроз персональным данным,
предложенную Банком России в методических рекомендациях РС БР ИББС-2.4 "Отраслевая
частная модель угроз ПДн". Нельзя было бы сказать, что данный подход лишен здравого смысла,
если бы не (по крайней мере) одно "но": у регулятора, проверяющего соответствие требованиям
законодательства по Закону N 152-ФЗ, "законно" возникнет вопрос - а почему это банк использует
модель угроз, использование которой согласовано регулятором в комплексе с прочими документами
и требованиями СТО БР ИББС, и ни в одном документе не написано, что данная модель угроз может
использоваться автономно без процедуры согласования конкретным банком данной модели с
регулятором.
11
Таким образом, легкость одного пути ("пути ФСТЭК") по сравнению со сложностью другого
("пути СТО БР ИББС") явно сомнительна.
"Путь ФСТЭК" вроде бы касается узкой области ИСПДн, но, в конце концов приводит к
необходимости более "широких" решений и действий по системе информационной безопасности в
целом. Правда, зачастую "расширять" строение на "узком" фундаменте сложнее (и дороже), чем
изначально строить его на основе, учитывающей все аспекты информационной безопасности.
"Путь СТО БР ИББС" более всеохватен и, скорее всего, потребует на начальной фазе больше
ресурсов, но допускает по многим направлением постепенное и целенаправленное движение с
возможностью проведения [само]оценки текущего состояния и обеспечивает защиту
информационных ресурсов банка в целом.
Важно, что в СТО БР ИББС наличие процедур самооценки и аудита соответствия
требованиям стандарта рассматривается как одно из направлений СМИБ. Недаром для каждой из них
выпущены отдельные документы. Поддержка процедур самооценки - одна из важнейших функций
внутреннего контроля, так как она обеспечивает реальную картину организации СМИБ и материал
для составления планов по коррекции СМИБ.
Аудит соответствия СОИБ требованиям СТО БР ИББС, необходимый для подтверждения или
проверки внутренних оценок, должен проводиться внешним независимым аудитором.
И самое главное - не надо бояться невысоких оценок соответствия СОИБ СТО БР ИББС,
особенно полученных на начальных этапах. Данная оценка, а особенно развернутые оценки по
направлениям - материал для работы по созданию работающей СОИБ. Наблюдаемый тренд в
изменении оценок - признак развития.
Для справки: по "письму шестерых" аудит или самооценку соответствия СОИБ рекомендуется
проводить раз в три года, таким образом, этот срок рассматривается как реальный период
достижения заметных результатов в построении СОИБ.
Но в конце концов выбор остается за банками...
Какие еще существуют путеводные звезды?
Также существуют другие общие (не отраслевые) стандарты и практики, содержащие в себе
требования к СОИБ.
Рассмотрим некоторые из них.
В нашей стране в настоящее время в качестве стандартов управления информационной
безопасностью действуют как стандарты группы 13335, так и идущие им на замену стандарты
группы 27000, созданные на основе соответствующих стандартов ISO.
Стандарты ГОСТ Р ИСО/МЭК 13335 (в четырех частях) описывают набор практических
подходов к обеспечению управления информационной безопасностью (далее - ИБ), но в силу ряда
причин им на замену идет группа стандартов ISO/IEC 27000, поэтому целесообразно остановиться на
их рекомендациях.
Группа стандартов ISO/IEC 27000 является общепризнанным мировым эталоном по
организации управления информационной безопасностью.
Частью группы являются стандарты ISO/IEC 27001 "Информационные технологии. Методы
защиты. Системы менеджмента защиты информации. Требования" и ISO/IEC 27002
"Информационные технологии. Свод правил по управлению защитой информации".
Первый стандарт имеет российский аналог ГОСТ Р ИСО/МЭК 27001, утвержденный и
введенный в действие Приказом Федерального агентства по техническому регулированию и
метрологии от 27.12.2006 N 375-ст.
12
Прототипом второго международного стандарта является британский стандарт BS 7799 Part 1
Code of Practice for Information Security Management (Практические правила управления
информационной безопасностью), который был полностью перенесен в опубликованный
организациями ISO и IEC международный стандарт ISO/IEC 17799:2000 "Информационные
технологии - Технологии безопасности - Практические правила менеджмента информационной
безопасности" (Information technology - Security techniques - Code of practice for information security
management). На основе данного стандарта был принят российский стандарт ГОСТ Р ИСО/МЭК
17799-2005 "Информационная технология. Практические правила управления информационной
безопасностью" (утв. и введен в действие Приказом Федерального агентства по техническому
регулированию и метрологии от 29.12.2005 N 447-ст.).
В 2007 г. ISO и IEC взамен ISO/IEC 17799:2000 был опубликован стандарт ISO/IEC
27002:2005 "Информационные технологии - Технологии безопасности - Практические правила
менеджмента информационной безопасности" (Information technology - Security techniques - Code of
practice for information security management), который действует и в настоящий момент. В новом
стандарте есть некоторые отличия от прототипа, но они не принципиальные, а суть подхода к
организации ИБ не поменялась.
По сути, стандарт ISO 27001 определяет подходы и структуру управления ИБ, а стандарт ISO
27002 детализирует требования к категориям СОИБ.
Следует упомянуть еще один стандарт, входящий в группу ISO/IEC 27000 - ISO/IEC 27005
"Information technology - Security techniques - Information security risk management"
("Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска
информационной безопасности"). В ближайшее время вводится в действие российский
национальный стандарт, созданный на его основе, о чем сообщает Приказ Федерального агентства
по техническому регулированию и метрологии от 30.11.2010 N 632-спт "Об утверждении
национального стандарта ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и
средства обеспечения безопасности. Менеджмент риска информационной безопасности". Область
управления рисками ИБ, хоть и лежит в основе организации всей группы стандартов ISO 27000,
является очень специфической и поэтому требует отдельного анализа, таким образом, в дальнейшем
мы не будем углубляться в эту тему.
СТО БР ИББС построен с учетом требований последних международных стандартов ИБ,
привнеся в них специфические для банковской сферы РФ требования, наполнив конкретикой во
многом абстрактные положения универсальных стандартов, а также добавив механизм оценки
соответствия. Последнее очень важно, так как многие международные стандарты работают по
двухуровневой шкале: ты им соответствуешь или нет.
Поэтому СТО БР ИББС можно рассматривать как путь, продвижение по которому в целях
достижения высоких показателей соответствия приближает банк к высоким требованиям
международных стандартов, к которым никто не запрещает стремиться при создании и развитии
СОИБ.
СВК и СОИБ - что делать?
На одной из конференций для внутренних контролеров возник вопрос: "Сколько надо
времени для проведения оценки соответствия требованиям Стандарта по Методике?" Последовал
ответ: "Для экспресс-анализа при наличии простейших инструментальных средств (например, на
основе таблички в Excel) - две-три недели, для детального - около двух месяцев". Задававший вопрос
участник сказал, что их ИТ-служба запросила полгода. На что последовал резонный ответ, что за
13
полгода можно выполнить первый этап внедрения СОИБ и, возможно, ИТ просто не очень хочет
слишком утруждать себя этой оценкой.
Вкратце все стандарты определяют следующие направления работы СОИБ:
- политика ИБ - определение предмета и формы реализации СОИБ;
- технические меры защиты информации - набор мер, направленных как на уменьшение
вероятности реализации угроз ИБ через уязвимости систем, так и на минимизацию потерь при
реализации таких угроз;
- организация защиты информации - ответственность, обеспечение ресурсами,
взаимодействие с внешним миром;
- документационное обеспечение СОИБ - закрепление в документах общих принципов
реализации элементов СОИБ, положений, инструкций, форм отчетности для обеспечения и контроля
функционирования элементов СОИБ;
- контроль функционирования СОИБ - внутренний и внешний аудит, мониторинг защитных
мер;
- процедуры оценки результатов и корректировки компонентов СОИБ - анализ СОИБ через
отчетность и выработка управляющих решений.
Возьмем за основу построения СОИБ рекомендации СТО БР ИББС. Рассмотрим роль СВК в
такой СОИБ. Что и как может выполнять в СОИБ служба внутреннего контроля? В СОИБ СВК
может выполнять следующие функции:
1) проведение контроля наличия нормативных и практических документов СОИБ: политик,
положений, инструкций, планов и т.п.;
2) проведение контроля надлежащего выполнения процедур:
- идентификации информационных активов;
- оценки рисков ИБ;
- обработки недопустимых рисков ИБ;
- тестирования планов ОНиВД;
- обработки инцидентов ИБ;
- мониторинга и контроля защитных мер;
- обучения и повышения осведомленности сотрудников в области ИБ;
3) анализ самооценок соответствия требованиям СТО БР ИББС;
4) сравнительный анализ аудитов и самооценок соответствия требованиям СТО БР ИББС.
Анализ трендов оценок в разные периоды времени;
5) участие в подготовке планов развития и выполнении предписаний по устранению
недостатков СОИБ;
6) проведение плановых проверок выполнения распоряжений по модификации СОИБ;
7) проведение проверок выполнения предписаний по устранению недостатков СОИБ.
Мнение
П.В. Ревенков, Банк России, департамент банковского регулирования и надзора, управление
информационного обеспечения, заведующий сектором, к.э.н.
Информационный характер банковского бизнеса требует учета всех составляющих
банковских рисков, в том числе связанных с недостатками в обеспечении информационной
безопасности. Приведем несколько примеров нежелательных последствий утечки важной для банка
информации: разрыв деловых отношений с партнерами и клиентами, несоблюдение договорных
обязательств по защите конфиденциальных сведений, отказ от решений, ставших неэффективными в
результате разглашения конфиденциальной информации, использование конкурентами полученных
14
сведений для повышения эффективности экономического соперничества, нанесение ущерба
авторитету кредитной организации и др.
Очевидно, что любое из приведенных событий является причиной одного из типичных
банковских рисков (например, отток клиентов, ставший причиной утечки конфиденциальной
информации, в ряде случаев может привести к резкому возрастанию риска ликвидности и т.д.).
Одним из эффективных инструментов управления банковскими рисками является служба
внутреннего контроля. Очевидно, что ее специалистам необходимо хорошо представлять все
возможные угрозы для банка, которые возникают вследствие недостатков в обеспечении
информационной безопасности. С этой целью можно предложить менеджерам коммерческих банков
организовать регулярное обучение специалистов СВК по данной тематике. От их подготовки по
вопросам обеспечения информационной безопасности во многом будет зависеть не только качество
процесса управления банковскими рисками, но стабильная работа банка в целом.
Существуют следующие формы участия СВК в управлении СОИБ:
- участие в коллегиальных органах управления ИБ;
- участие в согласовании документов СОИБ;
- выполнение предписанных функциональных обязанностей или разовых поручений по
описанным выше процедурам.
Как и кому выполнять работы?
Что-то можно заказать внешним консультантам, например программные документы: общую и
частные политики ИБ, положения, методики.
Документы, касающиеся конкретных процедур СОИБ, лучше разработать самим, но можно
привлечь внешних консультантов для разработки форм, шаблонов и т.п.
Отдельные компоненты процедур можно и нужно организовывать самим.
Инструментальные средства для проведения самооценок соответствия требованиям СТО БР
ИББС есть на рынке.
Необходимо выбрать аудитора ИБ, который будет выставлять объективные оценки, честно
вскрывать недостатки и давать четкие рекомендации, не сильно привязанные к поставкам в банк
конкретного продукта обеспечения информационной безопасности от конкретного вендора.
***
Таким образом, в построении и функционировании системы обеспечения информационной
безопасности СВК является независимым органом контроля качества и мониторинга
функционирования системы.
Важно правильно встроиться в систему и не мешать ей, а помогать.
Винников М.Б. Внутренний контроль и информационная безопасность [Текст] /
М.Б.Винников // Внутренний контроль в кредитной организации.-2011.-№ 4.
Особенности преступных посягательств на безопасность информационного
обеспечения банковской деятельности
В.А. Гамза,
Финансовый университет при Правительстве РФ,
советник ректора, к.э.н., к.ю.н.
15
И.Б. Ткачук,
Финансовый университет при Правительстве РФ,
к.ю.н.
Из всех видов преступных посягательств на охраняемые законом сведения официальная
статистика, публикуемая МВД России, сообщает лишь о преступлениях в сфере компьютерной
информации, и то безотносительно к банковской сфере. Вне поля зрения остаются преступные
посягательства на другие виды конфиденциальных сведений (такие, как банковская и коммерческая
тайна), принадлежащих банкам и другим организациям2.
Правовая характеристика преступных посягательств
Информационное обеспечение деятельности банка осуществляется путем использования
общедоступной информации и информации, доступ к которой ограничен федеральными законами
(информация ограниченного доступа). Ко второму виду информации относятся сведения,
составляющие банковскую, коммерческую, налоговую и иную тайну, а также персональные данные
физического лица. Наличие у банков не только банковской, но и коммерческой тайны зафиксировано
на законодательном уровне (ч. 1 ст. 31 Федерального закона от 23.12.2003 N 177-ФЗ "О страховании
вкладов физических лиц в банках Российской Федерации", согласно которой "агентство вправе
получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в
отношении которого наступил страховой случай").
В целях хранения и использования информации, необходимой для решения функциональных
задач, банк в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации,
информационных технологиях и о защите информации" создает информационные системы,
включающие в себя собственные базы данных, информационные технологии и технические
средства, необходимые для обработки сведений.
Преступные посягательства на принадлежащую банкам информацию ограниченного доступа
(конфиденциальную информацию3) в подавляющем большинстве случаев совершаются с целью
подготовки хищения денежных средств банков (и их клиентов). Способы получения
конфиденциальной информации имеют существенные различия, которые будут рассмотрены ниже.
Наиболее
распространенными
объектами
преступных
посягательств
в
сфере
информационного обеспечения деятельности банка являются сведения, составляющие банковскую
тайну и персональные данные физических лиц. Особое место занимают посягательства на
компьютерную информацию, которые будут рассмотрены в настоящей статье во взаимосвязи с
незаконным получением и использованием сведений, составляющих банковскую тайну.
Согласно ст. 26 Федерального закона от 02.12.1990 N 395-1 "О банках и банковской
деятельности" банковскую тайну составляют сведения об операциях, о счетах и вкладах клиентов и
корреспондентов, а также иные сведения, устанавливаемые кредитной организацией, если
С целью частичного восполнения указанных информационных пробелов авторы исследовали данные о преступной
деятельности более 350 организованных групп и отдельных лиц, совершивших преступные посягательства в банковской
сфере. Результаты исследования, способные представлять интерес для организации противодействия преступлениям в
сфере информационного обеспечения банковской деятельности, изложены в предлагаемой статье.
3 Перечень сведений конфиденциального характера, в который входят перечисленные выше виды банковской
информации ограниченного доступа, утвержден Указом Президента РФ от 06.03.1997 N 188.
2
16
ограничение свободного доступа к этим сведениям не противоречит федеральному
законодательству. К числу не конкретизированных законодателем в данной норме "иных сведений",
составляющих банковскую тайну, относятся:
- сведения о средствах и способах обеспечения работы автоматизированных информационных
систем и их технологий (программных, технических, лингвистических и организационных);
- сведения о банковском информационном технологическом и банковском платежном
технологическом процессах;
- сведения, раскрывающие систему, средства и методы защиты информации на средствах
вычислительной техники банка от несанкционированного доступа, а также значения действующих
кодов и паролей;
- информация о деятельности по защите интересов банка;
- сведения о лицах (сотрудниках и клиентах банка), участвующих в деятельности банка и
банковских операциях, а также о силах, средствах и способах обеспечения безопасности банка.
К числу субъектов, обязанных хранить банковскую тайну, законодательство относит
сотрудников банка, контрагентов банка, аудиторов и государственных служащих, получивших
доступ к закрытым сведениям в связи с исполнением служебных обязанностей.
Основания и виды ответственности за нарушения законодательства о банковской тайне
Основными видами нарушений законодательства о банковской тайне, влекущими правовые
последствия, являются незаконное получение, разглашение или использование сведений,
составляющих коммерческую (банковскую) тайну. Ответственность за совершение указанных
действий предусмотрена системой норм уголовного, гражданского, трудового и
административного законодательства.
Уголовно-правовая ответственность за преступные посягательства на банковскую тайну
установлена ст. 183 УК РФ "Незаконные получение и разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну".
Часть 1 указанной статьи устанавливает ответственность за собирание сведений,
составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов,
подкупа или угроз, а равно иным незаконным способом. Законодатель не вводит разграничений по
способу получения сведений. Он может быть тайным - путем похищения документов или открытым
- с применением насилия, угроз, обмана, а равно иным способом. Собирание сведений,
составляющих банковскую тайну, путем подкупа означает незаконное получение соответствующей
информации от лиц, которым она доверена, в обмен на вознаграждение денежного либо
имущественного характера.
Ответственность за незаконное разглашение или использование сведений, составляющих
коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она
была доверена или стала известна по службе или работе, установлена ч. 2 ст. 183 УК РФ.
Понятие угрозы в смысле ст. 183 УК РФ охватывает угрозу убийством, причинением вреда
здоровью, уничтожением или повреждением имущества лица, располагающего коммерческой
тайной, а равно его близких. Иные незаконные способы собирания банковской тайны могут
составлять действия по завладению сведениями, находящимися на бумажном носителе, без изъятия
содержащих информацию документов: путем выведывания ее у осведомленных лиц, перехвата
информации, циркулирующей в технических средствах и помещениях, и т.п.
Характеристика субъектов незаконного получения или использования сведений,
17
составляющих банковскую тайну
Названные субъекты представлены основными группами, в которые входят:
а) криминальные элементы, собирающие (получающие) конфиденциальные сведения с целью
подготовки к хищению денежных средств и иного имущества банка (эти лица участвовали в 55%
случаев преступных посягательств, изученных в ходе проведенного исследования);
б) лица из числа персонала банков, собирающие, разглашающие и использующие банковскую
тайну с целью хищения денежных средств банка (по данным исследования, они участвовали в 40%
случаев изученных преступных посягательств на информацию).
Одна из организованных преступных групп платила сотрудникам банков за разглашенные
сведения о реквизитах и состоянии счета организации до 200 тыс. руб. Незаконно полученные
сведения, составляющие банковскую тайну, использовались для изготовления поддельных
доверенностей, по которым участники ОПГ похитили более 10 млн. руб.;
в) лица, занимающиеся собиранием сведений, составляющих банковскую тайну, с целью их
продажи, - так называемые "информационные брокеры" (такие лица участвовали в 5% случаев
изученных преступных посягательств).
Способы незаконного получения и использования сведений, составляющих банковскую
тайну
В ходе исследования зафиксированы следующие основные способы незаконного получения
сведений, составляющих банковскую тайну:
а) сбор (и использование) сведений лицами из числа персонала банка, официально
допущенными к работе с конфиденциальной информацией;
б) получение информации от умышленно разглашающих ее осведомленных лиц из числа
персонала банка или другой организации;
в) получение сведений, составляющих банковскую тайну, путем замаскированного опроса
осведомленного лица (в т.ч. клиента банка);
г) получение сведений, составляющих банковскую тайну, от осведомленного лица (в т.ч.
клиента банка) путем подкупа, открытых угроз и применения насилия. В процессе исследования
зафиксированы факты применения насилия к держателям банковских карт с целью получения
составляющей банковскую тайну информации о PIN-кодах. Преступники выбирали жертву по
признаку обеспеченности (на выходе из вагона СВ фирменного поезда), захватывали потерпевшего в
уединенном месте, завладевали имеющимися у него банковскими картами и PIN-кодами (под
пыткой), снимали со счета денежные средства и оставляли жертву, скованную наручниками;
д) получение конфиденциальной информации путем перехвата с применением технических
средств (микровидеокамер, скиммера и других специальных приспособлений). В числе сравнительно
новых способов применялось заражение банкоматов вредоносной программой, внедренной через
USB-порт с предварительным физическим доступом в компьютерный отсек аппарата. Программа
давала команду на сбор конфиденциальной информации о номерах счетов, карт и кодах доступа к
управлению счетом. Названные конфиденциальные сведения выдавались в виде распечатки по
команде преступников;
е) получение охраняемых законом сведений в результате неправомерного доступа к
компьютерной информации, то есть к информации, содержащейся в средствах вычислительной
техники и электронных банках данных.
18
Противоправные посягательства в сфере компьютерного обеспечения деятельности
банка
Преступления в сфере компьютерной информации являются одним из частных видов угроз
информационной безопасности банка. Задачи их выявления, предупреждения и пресечения тесно
переплетаются с проблемами обеспечения защиты конфиденциальной информации банка. Это
объясняется тем, что сведения, составляющие банковскую, коммерческую и иные виды тайны,
хранятся не только на бумажных носителях, но и в компьютерных базах данных либо на отдельных
носителях компьютерной информации.
Взаимная связь между компьютерной информацией и банковской тайной выявляется также в
следующих обстоятельствах. С одной стороны, компьютерная информация используется для
осуществления банковского платежного технологического процесса, реализующего операции,
связанные с перемещением денежных средств по счетам, выдачей наличных денег, а также с
контролем данных операций. С другой стороны, информация, позволяющая получить доступ к
управлению платежными операциями, составляет банковскую тайну.
Уголовно-правовая ответственность за преступные посягательства на отношения в сфере
компьютерной информации установлена ст. 272 УК РФ "Неправомерный доступ к компьютерной
информации", ст. 273 УК РФ "Создание, использование и распространение вредоносных программ
для ЭВМ" и ст. 274 УК РФ "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети".
Согласно упоминавшимся выше официальным данным МВД России, число преступлений в сфере
компьютерной информации, совершенных в 2010 г., имеет стойкую тенденцию к росту и
увеличилось в октябре с.г. по сравнению с январем 2010 г. более чем в 5,7 раза. Однако даже беглый
анализ правоохранительной практики показывает, что в действительности число преступных
посягательств указанного вида, совершаемых в России, намного превышает приведенные
показатели. Косвенные признаки этого выявляются при анализе самих статистических данных
(таблица).
А именно: обращают на себя внимание фантастические показатели раскрываемости
преступлений (от 83,5 до 93,7%). Поскольку подавляющее большинство преступлений числится в
качестве выявленных сотрудниками ОВД (в январе 2010 г. из 1230 зарегистрированных
преступлений сотрудниками ОВД выявлено 1229), возникает обоснованное подозрение, что
регистрируются в основном преступления, отнесенные к категории раскрытых. Еще одно
обстоятельство касается содержания раскрытых преступлений. Анализ доступных авторам
материалов свидетельствует о том, что значительное число уголовных дел указанного вида
возбуждается по фактам распространения (продажи) носителей вредоносных программ для ЭВМ,
выявленных в результате контрольных закупок в торговых точках, а также по фактам модификации
программ кассовых аппаратов, позволяющих продавцам утаить часть налогооблагаемых сумм.
Следует отметить также, что многие факты противоправных посягательств в сфере
компьютерной информации не получают правовой оценки по вине ее собственников, не
фиксируются в качестве преступлений и не расследуются вовсе либо расследуются некачественно. О
реальном масштабе неучтенных посягательств на охраняемую компьютерную информацию и на
сведения, составляющие банковскую тайну, можно судить по косвенным признакам, а именно: по
количеству преступлений других видов, для совершения которых использовались незаконно
полученные сведения названного характера. Речь идет о статистике хищений в сфере расчетнобанковского обслуживания, в том числе в сфере обслуживания держателей банковских карт и т.д.
Преступления в сфере компьютерной информации, совершенные в 2010 г.
19
Ме
сяц
Ян
Зарегистриро
вано преступлений,
всего
1230
Выявлено
сотрудниками ОВД
1229
Раскр
ыто,
всего
1013
Раскрывае
мость
преступлений, %
83,5
варь
Фе
2541
2538
2022
93,7
Ма
3634
3630
3311
89,8
Ап
4513
4502
4142
89,6
Ма
5147
5132
4748
89,9
И
5673
5655
5200
90,0
И
5937
5917
5429
90,0
Ав
6166
6140
5709
89,8
Се
6687
6663
6165
90,3
Ок
7068
7040
6520
89,8
враль
рт
рель
й
юнь
юль
густ
нтябрь
тябрь
Количественные показатели использования сведений конфиденциального характера
Исследование выявило определенные различия показателей интенсивности использования
сведений конфиденциального характера в различных сферах банковской деятельности. Так,
использование банковской тайны является весьма распространенным (а в ряде случаев
обязательным) элементом механизма хищений, которые совершаются в сфере расчетно-кассового
обслуживания. Это определяется особенностями подготовки и совершения таких преступлений.
Согласно полученным данным, незаконно добытые сведения, составляющие банковскую тайну,
использовались в указанной сфере в 66% случаев преступных посягательств. В 29% случаев
преступники завладели банковской тайной путем неправомерного доступа к компьютерной
информации. При этом незаконные собирание и использование конфиденциальной информации в
42% случаев совершались в составе ОПГ.
Относительно высокие показатели посягательств на конфиденциальную информацию,
совершенных в соучастии, объясняются особенностями сферы расчетно-кассового обслуживания и
механизма совершаемых в ней хищений. Подготовка и совершение хищений в сфере РКО включают
в себя систему специфических действий, требующих познаний и навыков в различных отраслях
деятельности (банковских технологиях, информатике и др.), а следовательно, участия нескольких
лиц с распределением между ними функций, в том числе функции сбора охраняемой информации.
В сфере кредитования незаконно полученные сведения, составляющие банковскую тайну,
использовались для совершения преступлений значительно реже - в 3% случаев. Это объясняется
спецификой механизма кредитного мошенничества, для совершения которого потребность в
20
использовании сведений конфиденциального характера в большинстве случаев отсутствует.
Незаконно полученные персональные данные использовались для совершения преступлений:
- в сфере расчетно-кассового обслуживания - в 15% случаев (как правило, для открытия
карточных счетов на чужое имя, изготовления подложных заявлений о выплатах по счету и др.);
- в сфере кредитования - в 4,6% случаев (чаще всего для изготовления подложных документов
на получение персональных кредитов).
Содержание охраняемой законом информации, использованной в целях подготовки к
совершению преступлений
В ходе исследования зафиксированы факты незаконного получения и использования в целях
подготовки к совершению преступлений в банковской сфере конфиденциальной информации
следующего содержания:
- сведений о счетах юридических лиц (реквизиты, отделение банка; операции по счету,
остаток денежных средств на счете);
- сведений о счетах вкладчиков (реквизиты, отделение банка; операции по счету, остаток
денежных средств на счете);
- информации о "неподвижных счетах" (счетах, операции по которым не проводились в
течение длительного времени);
- информации о счетах умерших вкладчиков.
Указанная информация использовалась для изготовления фиктивных судебных решений и
исполнительных листов о списании денежных средств со счетов юридических лиц; поддельных
доверенностей на право распоряжения счетом и получения денежных средств со счетов юридических
и физических лиц; поддельных документов о праве наследования денежных средств умерших либо
выехавших за рубеж вкладчиков.
Примечание. В 42% случаев незаконное собирание и использование конфиденциальной
информации совершались в составе ОПГ.
В 2009 г., используя информацию, разглашенную соучастниками из числа работников банка,
участники организованной преступной группы похитили со счетов клиентов ряда банков СанктПетербурга по поддельным судебным решениям и исполнительным листам около 14 млн. руб.
Зафиксированная в процессе исследования предельная сумма денежных средств, похищенных
организованной преступной группой со счета физического лица с использованием поддельной
доверенности, составила более 45 млн. руб. Для изготовления доверенности также использовались
содержащие банковскую тайну сведения, разглашенные сотрудниками банка.
Способы использования охраняемой законом тайны и компьютерных технологий для
совершения хищений денежных средств
Типичными способами использования охраняемой законом тайны и компьютерных
технологий при совершении хищений с использованием систем удаленного управления счетом
являются:
- создание и авторизация платежной информации (платежного документа), проведение с
использованием систем удаленного доступа несанкционированных операций по списанию денежных
средств с банковских счетов;
21
- передача банку по системе "интернет-банкинг" поддельного платежного поручения о
перечислении денежных средств физического лица на счет подконтрольной преступникам
организации (фирмы-однодневки);
- списание денежных средств со счетов клиента банка на счета соучастника преступления
путем фальсификации (изготовления несуществующих) электронных платежных сообщений;
- списание денежных средств со счета клиента банка на счета соучастника преступления
путем искажения реально существующих электронных платежных сообщений;
- списание денежных средств со счета клиента банка на счета соучастника преступления
путем переадресации реально существующих электронных платежных сообщений;
- несанкционированное пополнение счета банковской карты, выданной на имя соучастника
преступления;
- неправомерный доступ к компьютерной информации банка через банкомат и снятие
наличных денег со счета физического лица.
Особенности подготовки к получению охраняемой законом тайны в целях совершения
преступлений
Для получения охраняемой законом тайны в целях хищений денежных средств со счетов
клиентов с использованием систем удаленного управления счетом преступники, как правило,
выполняют следующие подготовительные действия:
- незаконное завладение паролем-ключом к электронной системе "банк-клиент" путем
копирования данных (завладение может быть совершено работником организации либо посторонним
лицом. Известны случаи физического проникновения в помещения организаций в нерабочее время с
целью копирования указанных данных);
- создание и использование вредоносных программ для банковских ЭВМ с целью незаконного
получения информации о ключах и паролях банковских систем управления счетами;
- создание и использование вредоносных программ для банковских ЭВМ с целью их
внедрения в компьютеры клиентов для незаконного получения информации о ключах и паролях
доступа к системе дистанционного обслуживания счета;
- незаконное получение информации о паролях клиентов системы "интернет-банкинг" от так
называемых информационных брокеров (путем личного контакта либо безличного общения через
Интернет);
- неправомерный доступ к охраняемой законом компьютерной информации банка,
обеспечивающей платежный технологический процесс;
- неправомерный доступ к охраняемой законом компьютерной информации клиента банка,
обеспечивающей платежный технологический процесс.
Особенности использования сведений для совершения хищений в сфере обслуживания
держателей банковских карт
В число основных способов использования незаконно полученных сведений для совершения
хищений денежных средств в сфере обслуживания держателей банковских карт входят:
- неправомерный доступ в компьютерную систему банка и последующая корректировка счета
держателя карты в сторону уменьшения суммы снятых наличных денег либо многократного
завышения обменного курса рубля;
- хищение товаров в интернет-магазинах без предъявления подлинной карты, но с
22
использованием сведений о ее реквизитах, незаконно полученных от держателя карты;
- хищение денежных средств с использованием поддельной карты, снабженной магнитным
носителем, содержащим реквизиты и код доступа реального карточного счета.
Особенности подготовки к незаконному получению сведений
В ходе исследования установлены определенные различия в способах подготовки и
незаконного получения указанных сведений, которые определяются причастностью или
непричастностью преступников к персоналу банка.
В частности, для преступников из числа сотрудников банка характерны следующие способы
подготовки к незаконному получению охраняемых законом сведений:
- создание вредоносной программы с целью получения возможности корректировки счета
держателя карты;
- незаконное получение пароля для входа в компьютерную систему банкомата и программы ее
перенастройки с целью завышения обменного курса одной из валют;
- неправомерный доступ в компьютерную систему банка и последующая подмена телефонных
номеров держателей карты на номера телефонов соучастников преступления с целью получения PINкода карты от сотрудника банка по телефону;
- установление телефонной связи с оператором центрального офиса банка и получение кода
доступа для активации карт под видом законного держателя.
Преступники из числа посторонних по отношению к банку лиц, как правило, добывают
охраняемые данные путем:
- незаконного доступа к компьютерной информации держателей карт и интернет-магазинов;
- незаконного доступа к компьютерной информации банкоматов (внедрения в компьютерную
систему банкомата специальной программы-шпиона с предварительным приобретением ключа от
компьютерного отсека банкомата - в частности, банкомата серии Diebold Opteva 520);
- незаконного сбора информации с использованием специальных устройств, установленных
непосредственно на корпус банкомата или в непосредственной близости от него (скиммер,
микровидеокамера, устройство перехвата электронной информации);
- выведывания сведений у держателей с использованием SMS или интернет-мошенничества
(т.н. фишинга).
Как правило, участники хищения денежных средств с использованием банковских карт
жестко структурируют свою деятельность. Нередко специализированные группы преступников
находятся в различных регионах и даже государствах, устанавливая преступные отношения друг с
другом посредством Интернета. Соучастники преступления получают как незаконно собранную
информацию о картах, так и готовые поддельные карты с реквизитами подлинных держателей. В
последнем случае карты передаются с проводниками поездов либо с другими лицами. Денежные
средства при взаимных расчетах переводятся на электронные кошельки, открытые по поддельным
документам. Открытие указанных кошельков по поддельным документам также входит в процесс
подготовки к совершению преступлений.
Условия, способствующие совершению преступных посягательств на безопасность
информационного обеспечения банковской деятельности
Наиболее значимым фактором, способствующим совершению этой разновидности
преступлений, как и преступлений в других сферах банковской деятельности, является причастность
23
к противоправной деятельности персонала банков.
Среди других весомых обстоятельств следует назвать неспособность банков и их клиентов
организовать систему защиты охраняемой законом информации, в том числе просчеты
организационного характера со стороны банков:
- недостатки организации системы защиты сведений о ключах и паролях банковских систем
управления счетом, а также о коде настройки компьютерной системы банкомата, позволяющей
мошенникам произвольно завышать обменный курс одной из валют. В одном из случаев код
настройки банкомата сообщил соучастникам хищения инкассатор банка за плату в размере 2/3 от
суммы похищенных средств. При этом сам инкассатор официального допуска к указанным
сведениям не имел;
- недостатки физической защиты компьютера банка от неправомерного доступа;
- недостатки организации системы информационной защиты процессингового центра от
несанкционированного доступа к операциям по счету;
В апреле 2010 г. в одном из крупных московских банков деньги со счета клиента в сумме
более 1 млн. руб. были сняты в два приема с использованием временного (динамического) IP-адреса,
в то время как по условиям договора управление счетом могло осуществляться только с постоянного
статического IP-адреса. В 2009 г. участники межрегиональной ОПГ, используя вредоносные
программы для ЭВМ, получили несанкционированный доступ к счетам клиентов одного из
московских банков и похитили с них более 12 млн. руб.;
- отсутствие автоматизированных средств контроля за деятельностью сотрудников,
обладающих максимальными возможностями доступа к информационным ресурсам и средствам их
обработки (программисты, администраторы). Так, IT-менеджер крупного московского банка снимал
с карточных счетов через банкомат денежные суммы в иностранной валюте (евро) и, пользуясь
специально созданной компьютерной "отмычкой", корректировал в процессинговом центре учетные
записи операций о выдаче наличных, заменяя номинальные суммы выданной иностранной валюты
на аналогичные суммы в рублях. Указанная схема использовалась 184 раза. В отдельных случаях
сумма снятых им наличных достигала _16 тыс. Недостача денежных средств была обнаружена
бухгалтерией банка лишь через 9 месяцев после эпизода первого хищения;
- просчеты в организации деятельности подсистем сбора и обработки информации из
банкоматов и процессингового центра в соответствии с п. 2.9 Положения Банка России от 24.12.2004
N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных
карт", в том числе в сопоставлении записей и идентификации транзакций. Использование
программно-аппаратных средств для комплексной обработки учетных записей банкоматов и записей
процессингового центра позволяет выявить несоответствие между ними (а, следовательно, и
недостачу наличности в указанном выше случае) в течение одного-двух операционных дней;
- отстраненность службы безопасности от участия в контроле за безопасностью аппаратнопрограммного сегмента информационной системы банка.
К типичным недостаткам защиты информации в сфере обслуживания держателей банковских
карт относятся:
- недостатки системы физической защиты банкоматов от несанкционированного доступа к
компьютерной информации и заражения вирусом (в т.ч. от проникновения в компьютерный отсек
банкомата с использованием дубликата ключа, подключения к компьютеру через USB-порт);
- просчеты организационного и технического характера при создании системы защиты
банкоматов от несанкционированного получения информации с использованием скиммера;
- отсутствие системы мониторинга подозрительных операций с банковскими картами с целью
выявления и предупреждения типичных способов мошенничества. Эффективность указанной
24
системы подтверждена фактами успешного выявления мошеннических действий и их пресечения (во
взаимодействии с милицией). В то же время отсутствие системы позволяло оставаться вне поля
зрения банковских служб безопасности мошенникам, совершавшим до нескольких сотен операций с
поддельными картами;
- отсутствие в службах безопасности банков структурных единиц, предназначенных для
выявления и предупреждения преступных посягательств методами и средствами защиты
информации и криминалистики (по данным Главного управления безопасности и защиты
информации ЦБ РФ за 2009 г., в 50% российских банков нет специалистов по информационной
безопасности. В 42% банков задачи безопасности возложены по совместительству на специалистов
по информационным технологиям. Специальные подразделения, обеспечивающие информационную
безопасность, созданы лишь в 8% отечественных банков).
Участие правоохранительных органов в противодействии преступным посягательствам
на охраняемую законом информацию
По мнению авторов, участие правоохранительных органов в защите сведений
конфиденциального характера не является актуальным направлением их деятельности. Об этом
свидетельствуют характерные факты, в числе которых:
- неполнота расследования фактов преступных посягательств на сведения, составляющие
банковскую тайну. По результатам настоящего исследования не получили правовой оценки 72%
случаев незаконного сбора и использования для совершения других преступлений сведений,
составляющих банковскую тайну. Обвинение по ст. 183 УК РФ в ряде случаев не предъявлялось и
тогда, когда в тексте обвинительного заключения и приговоре прямо указывалось на факты
незаконного сбора и использования сведений, составляющих банковскую тайну, обвиняемым или
подсудимым. События, связанные с неправомерным доступом к охраняемой законом компьютерной
информации банка, не получили правовой оценки в 6% от общего числа фактически совершенных
преступных посягательств этого вида;
- неоправданная задержка с возбуждением уголовных дел по заявлениям потерпевших о
совершенных преступлениях. Например, уголовное дело по факту хищения со счета потерпевшего в
Банке Москвы 1 млн. 80 тыс. руб. было возбуждено через месяц после подачи заявления, к которому
прилагались банковские выписки, подтверждавшие два несанкционированных перевода 13 и 14
апреля 2010 г. на счета физических лиц в банки ВТБ24 и "УРАЛСИБ" по 550 и 530 тыс. руб.;
- недостаточная активность подразделений, ведущих оперативно-разыскную деятельность, в
сфере выявления и пресечения фактов сбыта с использованием объявлений в Интернете незаконно
собранных сведений, составляющих банковскую тайну (о реквизитах банковских карт), а также
поддельных карт, позволяющих похищать денежные средства с чужих счетов;
- несовершенство структуры и содержания публикуемой органами МВД официальной
статистики о преступлениях, посягающих на информационную безопасность, не позволяющее
банковскому сообществу получить полную всестороннюю информацию, необходимую для
разработки адекватных мер противодействия.
Выводы
В число ожидаемых мер активизации усилий правоохранительных органов в сфере защиты
информации, по нашему мнению, следует включить:
- совершенствование содержания и структуры публикуемой статистической отчетности с
25
целью получения банками информации, необходимой для разработки мер предупредительного
характера в сфере информационного обеспечения банковской деятельности;
- распространение положительного опыта выявления и пресечения противоправной
деятельности лиц, публикующих в сети Интернет предложения о сбыте поддельных банковских карт
или незаконно собранной информации, составляющей банковскую тайну;
- устранение недостатков правоприменительной деятельности в виде неполноты
расследования преступлений, совершенных с использованием незаконно полученной информации.
Гамза В.А. Особенности преступных посягательств на безопасность информационного
обеспечения банковской деятельности [Текст] / В.А.Гамза, И.Б.Ткачук // Управление в кредитной
организации.-2011.-№ 1.
Особенности преступных посягательств на банковскую безопасность
в сфере обслуживания счетов клиентов
В.А. Гамза,
Финансовый университет при Правительстве РФ,
советник ректора, к.э.н., к.ю.н.
И.Б. Ткачук,
Финансовый университет при Правительстве РФ,
Центр денежно-кредитной политики ИФЭИ, к.ю.н.
Специфической особенностью преступлений, посягающих на безопасность обслуживания
банковских счетов, является самый высокий из всех сфер банковской деятельности уровень
причастности к ним персонала банков (71% случаев). Размеры ущерба от преступлений с участием
персонала банков в среднем более чем в 14 раз превосходят средний ущерб от преступлений,
совершенных посторонними лицами.
Согласно результатам исследования, проведенного в 2010 г. по заказу Правительства РФ
сотрудниками Финансового университета при Правительстве РФ4, расчетно-кассовое обслуживание
является одной из наиболее уязвимых в криминальном плане сфер банковской деятельности и
занимает второе (после сферы кредитования) место по количеству преступных посягательств.
Правовая характеристика преступлений в сфере обслуживания банковских счетов
Объектами преступных посягательств в сфере расчетно-кассового обслуживания (РКО)
являются денежные средства на счетах клиентов банка - юридических и физических лиц.
Преступления совершаются как в секторе традиционных расчетных технологий, так и в системе
удаленного управления счетом.
С точки зрения уголовного законодательства преступные посягательства на денежные
средства клиентов банка в указанной сфере совершаются преимущественно способами,
предусмотренными ст. 158 (кража, т.е. тайное хищение чужого имущества), ст. 159 (мошенничество,
т.е. хищение чужого имущества или приобретение права на чужое имущество путем обмана или
4
См. также: Управление в кредитной организации. 2010. N 6. С. 84-97; 2011. N 1. С. 98-112.
26
злоупотребления доверием) и ст. 160 УК РФ.
По показателям организованности преступных посягательств сфера обслуживания банковских
счетов существенно уступает сфере кредитования. В процессе исследования установлено, что в
форме соучастия (с участием двух и более лиц) совершено 34% всех преступных посягательств
указанного вида (в сфере кредитования - 93%).
Специфической особенностью преступлений в сфере обслуживания банковских счетов
является самый высокий уровень причастности к ним (по сравнению со всеми другими сферами
банковской деятельности) персонала банков (71% случаев). Размеры ущерба от преступлений с
участием персонала банков в среднем более чем в 14 раз превосходят средний ущерб от
преступлений, совершенных без участия персонала.
Наибольшую привлекательность для преступников представляют денежные средства на
счетах юридических лиц. Хищения с этих счетов составили 68% от общего числа преступлений в
указанной сфере.
Хищения денежных средств в сфере расчетно-кассового обслуживания юридических лиц
совершаются как с использованием традиционных ("бумажных") технологий, так и посредством
технологий удаленного управления счетом.
Основные способы хищения в сфере обслуживания счетов юридических лиц с
использованием "бумажных" технологий
Хищения в указанной сфере совершаются в два этапа. На первом этапе банку представляются
фиктивные документы, содержащие не соответствующее действительности поручение о переводе
денежных средств со счета потерпевшего на счет соучастника преступления или о выдаче наличных
денежных средств со счета потерпевшего. В указанных случаях банку представляются следующие
виды поддельных и подложных документов:
а) поддельное платежное поручение от имени владельца счета о переводе денежных средств
на счет организации или подставного физического лица, подконтрольных преступникам;
б) поддельная доверенность на право распоряжения счетом и получения денежных средств;
в) поддельное поручение об открытии счетов физических лиц (пенсионных и др.) с
последующим перечислением на них денежных средств бюджетных организаций и выдачей
наличных денег лицам, подконтрольным преступникам;
г) поддельное судебное решение и поддельный исполнительный лист, предписывающие
списать денежные средства со счета потерпевшего (юридического лица) и перевести их на счет
соучастника преступления;
д) поддельный аккредитив с поручением владельца денежных средств перевести
определенную сумму на счет подставной организации в уплату выполненных работ или
поставленных товаров;
е) поддельные расходные кассовые ордера.
Второй этап заключается в получении наличных денежных средств подставными лицами, как
правило, по поддельному паспорту со счета фирмы-однодневки, со специально открытого счета
физического лица или непосредственно из кассы банка.
Особенности подготовки к совершению преступлений в сфере обслуживания счетов
юридических лиц с использованием "бумажных" технологий
Характерные
подготовительные
действия
27
к
совершению
мошенничества
в
сфере
обслуживания счетов юридических лиц:
- подыскание соучастников и распределение ролей в совершении преступления;
- разработка планов совершения и маскировки преступлений;
- создание лжепредпринимательской организации (фирмы-однодневки), от имени которой
совершаются обманные действия и на счет которой перечисляются похищенные деньги;
- незаконное получение и использование составляющих банковскую тайну сведений о счетах,
с которых преступники намерены похитить денежные средства;
- изготовление поддельных личных документов для лиц, участвующих в совершении
преступления;
- изготовление поддельных платежных документов;
- изготовление поддельной доверенности на право распоряжения счетом клиента;
- изготовление поддельных банковских карточек с образцами подписей лиц, уполномоченных
распоряжаться операциями по счету, и оттиска печати;
- изготовление поддельного судебного решения и поддельного исполнительного листа,
предписывающих списать денежные средства со счета потерпевшего (юридического лица) и
перевести их на счет соучастника преступления;
- организация доставки платежных документов в банк или РКЦ соучастником преступления
или курьером, не осведомленным о сути выполняемого поручения;
- изготовление поддельного платежного поручения на перечисление денежных средств (с
поддельной печатью, подписью руководителя организации и другими реквизитами);
- изготовление поддельного аккредитива;
- создание лжекоммерческой организации и открытие ее банковского счета, на который
планируется перевести похищенные денежные средства;
- открытие счета на собственное имя или на доверенных лиц с целью последующего перевода
похищенных денежных средств;
- открытие счета на имя подставного физического лица с целью последующего перевода
похищенных денежных средств.
Основные способы хищения денежных средств с использованием систем удаленного
управления счетом
Типичными способами противоправных действий при совершении хищений с
использованием систем удаленного управления счетом являются:
- создание и авторизация платежной информации (платежного документа), проведение с
использованием систем удаленного доступа несанкционированных операций по списанию денежных
средств с банковских счетов;
- списание денежных средств со счета клиента банка на счет соучастника преступления путем
фальсификации (изготовления несуществующих) электронных платежных сообщений;
- списание денежных средств со счета клиента банка на счет соучастника преступления путем
искажения реально существующих электронных платежных сообщений;
- списание денежных средств со счета клиента банка на счет соучастника преступления путем
переадресации реально существующих электронных платежных сообщений;
- перевод денежных средств с корсчета клиента на личный счет, открытый ранее в другом
банке, с использованием санкционированного доступа к обслуживаемой системе;
- несанкционированное пополнение счета банковской карты, выданной на имя соучастника
преступления.
28
Особенности подготовки к совершению преступлений с использованием систем
удаленного управления счетом
Для совершения хищений со счетов юридических лиц преступные группы с участием
персонала банка, как правило, выполняют следующие подготовительные действия:
- незаконное завладение паролем-ключом к электронной системе "банк-клиент" работником
организации;
- незаконное завладение паролем-ключом к электронной системе "банк-клиент" посторонним
(в том числе через соучастников из числа работников организации или путем физического
проникновения в помещение организации в нерабочее время);
- создание и использование вредоносных программ для банковских ЭВМ с целью незаконного
получения информации о ключах и паролях банковских систем управления счетами;
- создание и использование вредоносных программ для банковских ЭВМ с целью их
внедрения в компьютеры клиентов для незаконного получения информации о ключах и паролях
доступа к системе дистанционного обслуживания счета;
- незаконное получение информации о паролях клиентов систем "интернет-банкинг" от так
называемых информационных брокеров (путем личного контакта либо безличного общения через
Интернет);
- неправомерный доступ к охраняемой законом компьютерной информации, обеспечивающей
платежный технологический процесс;
- неправомерный доступ к охраняемой законом компьютерной информации клиента банка,
обеспечивающей платежный технологический процесс;
- создание лжекоммерческой организации и открытие ее банковского счета, на который
планируется перевести похищенные денежные средства;
- открытие счета на собственное имя или на родственников с целью последующего перевода
похищенных денежных средств;
- открытие счета на имя подставного физического лица с целью последующего перевода
похищенных денежных средств;
- оформление зарплатных карт на мнимых работников фиктивных организаций с целью
получения наличных денег.
Основные способы хищения денежных средств со счетов физических лиц с
использованием "бумажных" технологий
Способы хищения денежных средств со счетов физических лиц (при использовании
"бумажных" технологий) имеют некоторые специфические особенности, обусловленные
причастностью (или непричастностью) к совершению преступления персонала банка.
Основными способами совершения преступлений с участием персонала банка являются:
- хищение денежных средств со счета по поддельному заявлению вкладчика об их переводе на
счет соучастника преступления;
- хищение денежных средств вкладчика путем подделки расходного кассового ордера с
завышением фактически выданной вкладчику денежной суммы и присвоением образовавшейся
разницы;
- хищение денежных средств вкладчика путем подделки приходного кассового ордера с
занижением фактически принятой у вкладчика денежной суммы и последующим присвоением
29
образовавшейся разницы;
- хищение денежных средств вкладчика путем выдачи неучтенных (фиктивных) сберкнижек и
присвоения внесенных вкладчиком денежных средств;
- хищение денежных средств вкладчика с использованием нотариально удостоверенной
доверенности на право распоряжения счетом с получением наличных денежных средств
(зафиксированная в процессе исследования предельная сумма денежных средств, похищенных
указанным способом организованной преступной группой из трех человек, составила более
45 млн. руб.);
- хищение денежных средств с накопительных счетов несовершеннолетних (например,
воспитанников детского дома) путем использования поддельных заявлений владельцев;
- хищение денежных средств с так называемых "неподвижных" счетов вкладов до
востребования, в том числе со счетов лиц, не обратившихся за получением компенсации по вкладам,
внесенным до 20 июня 1991 г., и др.;
- хищение денежных средств со счетов умерших вкладчиков путем подделки расходных
кассовых ордеров;
- открытие счетов на умерших граждан, которым согласно Федеральному закону от
10.05.1995 N 73-ФЗ "О восстановлении и защите сбережений граждан Российской Федерации"
начисляли компенсацию, и последующее хищение денежных средств с этих счетов с использованием
поддельных расходных кассовых ордеров.
Основными способами совершения преступлений без участия персонала банка являются:
- хищение денежных средств вкладчика путем снятия их со счета преступником под видом
владельца счета;
- хищение денежных средств вкладчика с использованием поддельной доверенности на право
распоряжения счетом с получением наличных денежных средств;
- хищение денежных средств со счетов умерших вкладчиков путем использования
поддельных документов о праве наследования;
- хищение денежных средств со счетов умерших вкладчиков путем использования
поддельных документов о праве наследования (зафиксированная в процессе исследования
предельная сумма денежных средств, похищенных указанным способом организованной преступной
группой из пяти человек, составила более 1 млн. руб.).
Особенности подготовки к совершению преступлений в сфере обслуживания счетов
физических лиц с использованием "бумажных" технологий
В число подготовительных действий преступников из числа персонала банка в этой сфере
входят:
- незаконное получение и использование составляющих банковскую тайну сведений о счетах
вкладчиков (наличие счета и его реквизиты, отделение банка, операции по счету, остаток денежных
средств на счете);
- незаконное получение персональных данных владельца счета (полные паспортные данные и
образец подписи);
- сбор информации о "неподвижных" счетах;
- сбор информации об умерших вкладчиках (в т.ч. при помощи соучастников в органах ЗАГС,
подразделениях Единого расчетного центра и др.);
- подделка заявлений о переводе, выдаче наличных, подделка доверенностей на право
распоряжения счетом или получения наследства;
30
- подделка кассовых документов о приеме или выдаче наличных денег;
- открытие счетов на подставных физических лиц по поддельным или подлинным
документам.
Лица, не являющиеся сотрудниками банка, как правило, используют следующие
подготовительные действия:
а) для получения денег под видом владельца счета:
- незаконно собирают информацию о наличии счетов физических лиц и находящихся на них
денежных средствах;
- похищают либо используют утраченный паспорт (и сберегательную книжку, если счет
открыт в Сбербанке) владельца счета;
- подбирают соучастника, имеющего внешнее сходство с владельцем счета;
- отрабатывают навыки подражания подписи владельца счета (наибольшая сумма
похищенных таким способом денежных средств, зафиксированная в процессе исследования,
составила 700 тыс. руб.);
б) для получения денег по доверенности:
- незаконно собирают информацию о наличии счетов физических лиц и находящихся на них
денежных средствах;
- изготавливают поддельный паспорт для подтверждения личности получателя денежных
средств;
- изготавливают поддельную доверенность на право распоряжения счетом;
- изготавливают поддельные документы о праве наследования денежных средств на счете.
Основные способы хищения денежных средств со счетов держателей банковских карт
Использование поддельных банковских карт для расчета за товар или получения наличных
денег является с позиций уголовного права хищением чужого имущества путем мошенничества
(п. 14 постановления Пленума Верховного суда РФ от 27.12.2007 N 51 "О судебной практике по
делам о мошенничестве, присвоении и растрате").
Способы хищения денежных средств в сфере обслуживания держателей банковских карт
имеют специфические различия, которые определяются причастностью (либо непричастностью)
персонала банка к совершению преступления.
В число основных способов хищения персоналом банков денежных средств в сфере
обслуживания держателей банковских карт входят:
- оформление кредитных карт на имя не осведомленных об этом клиентов банка и снятие
наличных денег через банкоматы;
- изготовление дубликатов карт, находящихся в пользовании держателя, и снятие наличных
денег через банкоматы;
- присвоение списанных карт под видом испорченных, зачисление на них денежных средств с
последующим снятием наличных денег через банкоматы;
- неправомерный доступ в компьютерную систему банка и последующая корректировка счета
держателя карты в сторону уменьшения суммы снятых наличных денег;
- внесение изменений в компьютерную программу банкомата с последующим снятием
наличных денег по многократно завышенному обменному курсу рубля.
Основными способами хищения денежных средств со счетов держателей банковских карт без
участия персонала банков являются:
- хищение денежных средств с использованием подлинных карты и кода идентификации,
31
похищенных у держателя;
- хищение товаров в интернет-магазинах без предъявления подлинной карты, но с
использованием сведений о ее реквизитах, незаконно полученных от держателя карты;
- хищение денежных средств с использованием поддельной карты, имитирующей внешний
вид подлинной карты, с нанесенными на ее магнитный носитель реквизитами подлинной карты;
- хищение денежных средств с использованием карты банка, выданной банком, однако
подделанной путем перекодирования информации, содержащейся на магнитном носителе;
- хищение денежных средств с использованием кредитной карты, выданной мошеннику по
поддельному паспорту и документу, подтверждающему его кредитоспособность;
- хищение денежных средств с использованием поддельной карты, не имеющей внешнего
сходства с подлинной (так называемый "белый пластик"), однако снабженной магнитным носителем,
содержащим реквизиты реального карточного счета.
Условия, способствующие совершению преступлений в сфере обслуживания банковских
счетов
В числе типичных условий, способствующих совершению преступлений в сфере
обслуживания банковских счетов, исследованием зафиксированы:
1. Просчеты банков в сфере создания системы предупреждения и выявления хищений мерами
финансового, организационного, сыскного и криминалистического характера:
- недостатки организации и планирования мероприятий финансового контроля, не
позволяющие своевременно выявить факт хищения денежных средств. Например, бухгалтер одного
из банков систематически похищала денежные средства со счетов клиентов. Общая сумма
похищенного составила 12,5 млн. руб., а недостача была обнаружена лишь на девятом году
преступной деятельности. В другом случае 137 поддельных переводов на общую сумму 56 млн. руб.
были выявлены службой внутреннего контроля лишь через три года после совершения первого
хищения;
- недостатки в организации системы конфиденциального делопроизводства, позволяющие
мошенникам незаконно получать и использовать сведения, составляющие банковскую тайну и
персональные данные, для подготовки и совершения преступлений;
- неспособность сотрудников банка выявить признаки материальной подделки паспортов и
иных документов (так, два поддельных платежных поручения на общую сумму в 1,25 млрд. руб.
содержали поддельные подписи сотрудников Пенсионного фонда и печати, а также не используемые
ПФР коды бюджетной классификации. В другом случае поддельная печать на платежном
поручении отличалась от подлинной наличием орфографической ошибки в тексте).
2. Типичные просчеты банков, способствующие хищениям в сфере обслуживания счетов
юридических лиц при использовании "бумажных" технологий:
- нарушение порядка приема банковских карточек, установленного типовым договором
банковского счета, в соответствии с которым банк должен получить извещение об обстоятельствах,
послуживших основанием для замены карточки, однако банк игнорировал это условие в связи "со
сложившейся практикой делового оборота";
- неосведомленность сотрудников банка о процедуре обращения взыскания на денежные
средства клиентов, предусмотренной п. 7 ст. 70 Федерального закона от 02.10.2007 N 229-ФЗ "Об
исполнительном производстве" (ред. от 27.09.2009), согласно которому "в случае получения банком
или иной кредитной организацией исполнительного документа от судебного пристава-исполнителя
исполнение содержащихся в исполнительном документе требований о взыскании денежных средств
32
осуществляется путем их перечисления на депозитный счет подразделения судебных приставов".
3. Типичные просчеты банков, способствующие хищениям в сфере обслуживания счетов
физических лиц при использовании "бумажных" технологий:
- недостатки организации технологических процедур выдачи денежных средств вкладчикам;
- неспособность операционных работников выявить внешние признаки подделки подписи
вкладчика, нарушение операционными работниками порядка работы с личным счетом вкладчика.
Так, в одном из случаев все денежные средства вкладчика в размере 3 тыс. долларов США,
находившиеся на его лицевом счете в одном из отделений Сбербанка, были выданы мошеннику,
который воспользовался похищенным паспортом и сберегательной книжкой потерпевшего.
Одновременно был закрыт лицевой счет. Суд удовлетворил исковое заявление потерпевшего к банку
о возмещении убытков, причиненных вследствие нарушений его работником условий договора
счета. В частности, счет был закрыт без представления в банк подлинника договора счета или
заявления о закрытии счета (это предусматривалось условиями договора). Кроме того, поддельная
подпись на расходно-кассовом ордере, выполненная мошенником, имела явные признаки
несоответствия образцу подписи владельца счета, имевшемуся в лицевой карточке банка;
- недостатки организации системы безопасности, отсутствие структурных единиц,
предназначенных для выявления и предупреждения преступных посягательств методами и
средствами криминалистики и защиты информации;
- неспособность сотрудников банка выявить признаки материальной подделки паспортов и
иных документов.
4. Типичные просчеты банков, способствующие хищениям в сфере обслуживания счетов
юридических лиц с использованием систем удаленного управления счетом ("банк-клиент" и
"интернет-банкинг"):
- недостатки в организации системы защиты сведений о ключах и паролях банковских систем
управления счетом, а также о коде настройки компьютерной системы банкомата, позволяющей
мошенникам произвольно завышать обменный курс одной из валют;
- недостатки физической защиты компьютера банка от неправомерного доступа;
- отсутствие автоматизированных средств контроля за деятельностью системного
администратора банка (наличие такой системы, объединяющей средства финансового и
программного контроля, позволяет выявить незаконные операции со стороны администратора в
течение операционного дня банка);
- недостатки в сфере организации системы информационной защиты процессингового центра
от несанкционированного доступа к операциям по счету.
5. Типичные просчеты клиентов банка:
- недостатки в организации защиты ключевой и парольной информации от систем "банкклиент" и "интернет-банкинг", позволяющие преступникам совершать операции по счету от имени
клиента. Указанная информация похищается работниками организации или посторонними. В одном
случае преступник, осведомленный о небрежном хранении указанных сведений, проник в офисы
двух компаний в нерабочее время и скопировал информацию о паролях, сертификатах и
электронных ключах платежных систем. Впоследствии, получив доступ к расчетному счету одной из
компаний, он похитил 4,5 млн. руб.
6. Типичные просчеты банков в организации защиты системы обслуживания карточных
счетов от преступных посягательств со стороны персонала:
- недостатки мер организационного и технологического характера, призванных
предотвращать несанкционированный выпуск карт;
- нарушения порядка хранения и уничтожения невостребованных и бракованных карт;
33
- несоблюдение требований разграничения уровней доступа к различным этапам изготовления
карт с целью предельного ограничения числа лиц, осведомленных о вносимой в карту ключевой
информации;
- недостатки средств информационной защиты процессинговых центров, обрабатывающих
операции с картами;
- неспособность охватить автоматизированными средствами контроля деятельность
сотрудников, обладающих максимальными возможностями доступа к информационным ресурсам и
средствам их обработки (программисты, администраторы);
- просчеты в организации деятельности подсистем сбора и обработки информации из
банкоматов и процессингового центра в соответствии с п. 2.9 Положения Банка России от 24.12.2004
N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных
карт", в том числе в сопоставлении записей и идентификации транзакций;
- отстраненность службы безопасности от участия в контроле за безопасностью аппаратнопрограммного сегмента информационной системы банка5.
Заключение
Вероятность совершения преступных посягательств на сферу обслуживания счетов и тяжесть
их негативных последствий могут быть существенно снижены путем устранения описанных выше
типичных недостатков системы безопасности банка.
В этих целях кредитным организациям, не сумевшим выявить и предотвратить совершенные
против них преступления, следует провести тщательную проверку надежности функционирования
всех структурных уровней и элементов организации, причастных к обеспечению защиты интересов
банка.
Ведущая роль в построении и организации функционирования системы безопасности
отведена законом органам управления кредитной организации, их внутренним нормативным и
организационным решениям.
Основным рубежом защиты интересов банка должна служить деятельность функциональных
подразделений кредитных организаций, подразделений и сотрудников, обеспечивающих
безопасность банковских операций посредством неукоснительного выполнения задач финансового
контроля, кадрового обеспечения, тщательного соблюдения технологических норм, не позволяющих
преступникам использовать известные практике способы совершения преступлений, и технических
регламентов.
Структурой, призванной решать задачи обеспечения безопасности кредитной организации в
экстремальных ситуациях, является служба безопасности банка.
Практика свидетельствует, что все перечисленные элементы структуры банка являются
элементами единой системы, а сбой в любом из них неизбежно влечет снижение уровня
защищенности кредитной организации в целом.
Гамза В.А. Особенности преступных посягательств на банковскую безопасность в сфере
обслуживания счетов клиентов [Текст] / В.А.Гамза, И.Б.Ткачук // Управление в кредитной
организации.-2011.-№ 2.
См. также: Гамза В.А., Ткачук И.Б. Особенности преступных посягательств на безопасность информационного
обеспечения банковской деятельности // Управление в кредитной организации. 2011. N 1. С. 98-112.
5
34
Организация защиты банковской тайны
Д.А.Евстратов, А.И. Кириченко,
Казанская банковская школа (колледж) ЦБ РФ
В современных условиях научно-технического прогресса, внедрения новейших
информационных технологий в финансовый сектор, а также конкуренции на рынке банковских
услуг, повышенного внимания к банкам со стороны криминальных структур деятельность по защите
банковской тайны является одним из важнейший направлений кредитной организации.
Разработка и реализация практических мер по организации защиты банковской тайны
возлагаются на ее обладателя. Обладатель информации должен выполнить мероприятия по
установлению режима банковской тайны, выявлению и предупреждению нарушений этого режима, а
также противоправных посягательств на охраняемую информацию.
Информационная безопасность банка основана на противопоставлении собственника
охраняемой информации и злоумышленника, неправомерно посягающего на информацию, за
контроль над информационными активами.
Изучение отечественного и зарубежного опыта свидетельствует о том, что наибольшими
возможностями для нанесения ущерба банку обладает его собственный персонал. «Внешние»
злоумышленники достигают своих целей лишь при условии наличия сообщников внутри банка.
Большинству противоправных посягательств на информацию предшествует изучение
преступником объекта нападения и системы его защиты, а также пробные попытки преодоления
отдельных защитных элементов. Готовя посягательство на информационные активы банка,
преступник всегда имеет преимущество внезапности перед собственником информации. Упредить
готовящееся в тайне посягательство призвана система предупредительных мер нормативного,
организационного и организационно-технического характера, а также целенаправленная работа по
выявлению следов подозрительной активности неустановленных лиц в сфере информационных
активов банка.
К предупредительным мерам относится создание службы обеспечения информационной
безопасности. Одной из первых ее задач является составление моделей информационных угроз и
нарушителей. Чем точнее они составлены, тем меньше риск нарушения информационной
безопасности при минимальных ресурсных затратах. Политику банка следует разрабатывать на
основе моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков и
с учетом особенностей и интересов собственника.
Надежность защиты информации определяется морально-нравственным климатом в
коллективе. Речь идет об отношениях между членами коллектива, коллективом и собственником
информации, а также коллективом менеджмента организации. Личные и групповые конфликты
любого уровня создают потенциальную угрозу ослабления системы информационной защиты. По
этой причине обеспечение безопасности информационных ресурсов связано с управлением
отношениями внутри коллектива, как и применение программных, технических и других мер
защиты.
Стратегия обеспечения информационной безопасности организации заключается в разработке
и использовании заранее предусмотренных мер, разработанных с учетом опыта ведущих
специалистов банковской системы России, сформулированного в Стандарте Банка России
«Обеспечение информационной безопасности организаций банковской системы Российской
Федерации. Общие положения».
Согласно стандарту управление информационной безопасностью банка должно включать в
35
себя:
разработку политики информационной безопасности;

разработку технических, организационных и административных планов обеспечения
реализации политики информационной безопасности;

разработку нормативно-методических документов обеспечения информационной
безопасности;

создание административного и кадрового обеспечения комплекса средств управления
информационной безопасности организации;

обеспечение штатного функционирования комплекса средств информационной
безопасности организации;

осуществление контроля (мониторинга) функционирования системы управления
информационной безопасности организации;

обучение с целью поддержки (повышения) квалификации персонала организации;

оценку рисков, связанных с нарушениями информационной безопасности.
Для реализации этих задач рекомендуется иметь в составе организации службу
(уполномоченное лицо) по информационной безопасности.
Уполномоченное лицо или службу рекомендуется наделить следующими полномочиями:

управлять всеми планами по обеспечению информационной безопасности
организации;

разрабатывать и вносить предложения по изменению политики информационной
безопасности организации;

изменять существующие и принимать новые нормативно-методические документы по
обеспечению информационной безопасности организации;

выбирать средства управления и обеспечения информационной безопасности
организации;

контролировать пользователей, особенно имеющих максимальные полномочия;

контролировать активность, связанную с доступом и использованием средств
антивирусной защиты, а также с применением других средств обеспечения информационной
безопасности;

вести мониторинг событий, связанных с информационной безопасностью;

расследовать события, связанные с нарушениями информационной безопасности, и в
случае необходимости выходить с предложениями по применению санкций в отношении лиц,
совершивших противоправные действия либо нарушивших требования инструкций, руководств и пр.
по обеспечению информационной безопасности организации.
Цель создания и функционирования системы защиты информации — обеспечить
оптимальный режим работы банка с таким расчетом, чтобы сделать информацию и сведения
конфиденциального характера не доступными для посторонних лиц и создать необходимые условия
работы сотрудникам, имеющим к ним доступ. Для этого устанавливается единый порядок работы с
защищаемой информацией. Основная особенность порядка заключается в организации
конфиденциального делопроизводства, принятии работниками обязательства строгого исполнения
его правил и индивидуальной ответственности за обеспечение сохранности доверенных
конфиденциальных сведений и их носителей.
Для реализации системы защиты информации осуществляются следующие мероприятия:

организуется обучение работников правилам соблюдения банковской и иной
охраняемой законом тайны;

36
осуществляется систематический контроль над исполнением организационнораспорядительных документов и инструкций по защите конфиденциальной информации;

разрабатываются типовая процедура анализа и разбирательства по фактам нарушения
порядка работы со сведениями, составляющими коммерческую тайну, и выработка предложений по
совершенствованию защиты информации.
Осуществление защитных мероприятий начинается с подготовки организационнораспорядительных и нормативных документов, наделяющих специально выделенных работников
банка (комиссию) правом относить информацию к числу сведений, составляющих банковскую
тайну.
Нормативной основой работы комиссии должно служить специально разработанное
положение о банковской тайне в соответствии с законодательством РФ и Стандартом Банка России
«Обеспечение информационной безопасности организаций банковской системы Российской
Федерации».
Положение о банковской тайне должно включать в себя:

описание объектов информационной защиты, источников угроз, способов совершения
посягательств на охраняемые объекты, а также потенциального ущерба;

модель нарушителя информационной безопасности, в том числе описание опыта,
знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их
действий;

основные направления и механизм защиты этих сведений.
При значительном разнообразии либо постоянном обновлении информации, подлежащей
оценке, разрабатывается проект перечня категорий сведений, которые следует относить к
банковской тайне. Он также утверждается руководителем банка. Перечень доводится до сведения
сотрудников, уполномоченных относить информацию к категории «банковская тайна» (в полном
объеме либо в части, их касающейся). Использование перечня позволяет определять степень
конфиденциальности сведений, содержащихся в подготавливаемой рабочей документации, с целью
присвоения ей соответствующего грифа без привлечения комиссии. Перечень изменяется и
дополняется по мере целесообразности (устаревания сведений, отнесенных к банковской тайне).
Следующим пунктом системы защиты должна быть организация защиты сведений,
отнесенных к банковской тайне, от незаконного получения, разглашения, утраты и использования.
Для этого устанавливается ограничение доступа к носителям информации, содержащей банковскую
тайну. Сотрудник должен иметь минимально необходимый доступ только к тем ресурсам, которые
ему нужны для исполнения служебных обязанностей и реализации прав, предусмотренных
технологией обработки информации.
Основанием для доступа к сведениям, составляющим банковскую тайну, является
соответствующее решение обладателя информации (руководителя). Для сотрудников банка, которым
доступ к банковской тайне необходим по характеру выполняемой ими работы, оно оформляется
приказом о допуске либо иным документом произвольной формы. В приказе должно ясно
усматриваться, к работе с какими конкретно сведениями допускается работник, какого рода работа с
информацией ему разрешается (ознакомление, хранение). Документ должен иметь подпись
руководителя организации либо иного специально уполномоченного лица.
Согласно предписаниям Стандарта Банка России «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Общие положения», лица,
получившие доступ к банковской тайне, должны подвергаться специальной проверке на
идентичность, точность и полноту биографических фактов. Рекомендуется выполнять контрольные
проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их

37
нештатного поведения, или участия в инцидентах, или подозрений в таком поведении или участии.
Весь персонал должен давать письменное обязательство о соблюдении конфиденциальности,
приверженности правилам корпоративной этики, включая требования по недопущению конфликта
интересов. Обязательство может быть включено в договор или контракт либо оформлено в виде
отдельной подписки.
Условие о соблюдении конфиденциальности должно распространяться на всю защищаемую
информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих
служебных обязанностей.
Положение о конфиденциальном делопроизводстве должно содержать указание на то, что
допуск граждан к банковской тайне осуществляется в добровольном порядке и предусматривает:

принятие на себя обязательств о нераспространении доверенных им сведений,
составляющих коммерческую тайну;

согласие на частичные временные ограничения их прав в соответствии с условиями
трудового договора;

письменное согласие на проведение в отношении их проверочных мероприятий
соответствующими службами организации либо иной частной коммерческой службой по договору с
банком (выяснение биографических и других характеризующих личность данных в пределах,
установленных ст. 3 Закона РФ «О частной детективной и охранной деятельности в Российской
Федерации»);

обязательство гражданина представлять кадровому аппарату сведения о возникновении
оснований для отказа в допуске к банковской тайне;

виды, размер и порядок предоставления льгот в качестве компенсации за исполнение
принятых обязательств и ограничение прав (взаимные обязательства организации и лица,
получающего допуск, фиксируются в трудовом договоре или контракте).
В этот документ включается исчерпывающий перечень оснований для отказа гражданину в
допуске к банковской тайне, а именно:

признание его судом недееспособным, ограниченно дееспособным, нахождение его под
судом и следствием за тяжкие и особо тяжкие преступления, наличие не снятой судимости за
совершение преступления;

наличие медицинских противопоказаний для работы с использованием сведений,
составляющих банковскую тайну;

выявление в результате проверочных мероприятий таких данных, которые
свидетельствуют о деятельности оформляемого лица или об обстоятельствах, создающих угрозу
разглашения сведений, составляющих банковскую тайну;

уклонение от проверочных мероприятий и/или сообщение заведомо ложных анкетных
данных.
В Положение включается указание на то, что допуск к банковской тайне может быть
прекращен по решению руководителя организации в случае нарушения предусмотренных трудовым
договором или контрактом обязательств гражданина, связанных с сохранением банковской тайны
или возникновением обстоятельств, являющихся основанием для отказа ему в допуске к банковской
тайне.
Прекращение допуска работника к банковской тайне может стать основанием для
расторжения трудового договора с ним, если такое условие предусмотрено в самом договоре.
Прекращение допуска работника к информации не освобождает его от взятых обязательств по
неразглашению сведений, составляющих банковскую тайну.
В Положение целесообразно включить разделы, посвященные организации работы с
38
конфиденциальными сведениями, участию сотрудников в защите сведений, составляющих
банковскую тайну.
Важным звеном системы защиты информации является организация конфиденциального
делопроизводства.
Защищенность информации при работе с ней обеспечивается соблюдением требований
инструкции, которая разрабатывается в развитие соответствующего раздела положения о защите
банковской тайны:

защита носителей информации независимо от их вида (письменная, графическая,
электронная, память человека) на всех стадиях работы;

установление единого порядка работы со всеми видами носителей конфиденциальной
информации;

введение личной ответственности работников за защиту информации на всех этапах
работы;

установление единого порядка доступа к носителям информации всех категорий
сотрудников, получивших право работать с ними;

строгий контроль над соответствием выдаваемой в пользование информации с видом и
объемом полномочий субъекта;

ведение обязательного учета всех фактов разрешенного доступа к информации
(носителю), а также попыток неправомерного завладения информацией.
Важным требованием Положения о конфиденциальном делопроизводстве является
установление персональной ответственности лиц, работающих с материалами, за сохранность
доверенных им документов и сведений.
К обязательствам относятся: обязательство нести персональную ответственность за
сохранность доверенных конфиденциальных сведений, твердо и неукоснительно выполнять правила
конфиденциального делопроизводства, обеспечивать надежное хранение конфиденциальных
документов, незамедлительно сообщать уполномоченным лицам об утрате конфиденциальных
документов, ключа кода аутентификации электронного сообщения, ключа от хранилища документов,
личных печатей, а также о признаках утечки конфиденциальных сведений и давать устные и
письменные пояснения по фактам нарушения правил обращения с конфиденциальными
документами.
В число ограничений входят запреты на совершение определенных действий, которые могут
повлечь за собой утрату документов или разглашение конфиденциальных сведений, - передачу
содержания конфиденциальных сведений посторонним, вынос документов из рабочего помещения
без производственной необходимости и оставление их в неохраняемых местах, уничтожение
документов с нарушением установленного порядка. При проведении разбирательств по фактам
нарушения инструкции об организации конфиденциального делопроизводства сотрудники
организации обязаны давать письменные объяснения об известных им обстоятельствах.
Особенности организации защиты информации, составляющей банковскую тайну, от
утечки по техническим каналам. Главная задача этой деятельности — создание системы защиты
конфиденциальной информации, циркулирующей в технических средствах и помещениях, от утечки
и умышленного перехвата с противоправными целями. Такая система должна состоять из двух
блоков: технического и функционального. По техническому блоку защиты обеспечиваются:

помещения, предназначенные для ведения конфиденциальных переговоров;

средства и системы информатизации (средства вычислительной техники,
автоматизированные системы различного уровня и назначения на базе средств вычислительной
техники; средства и системы связи и передачи данных; технические средства приема, передачи и
39
обработки информации — телефонии, звукозаписи, звукоусиления, звуковоспроизведения,
переговорные и телевизионные устройства; средства изготовления, тиражирования документов и
другие технические средства обработки речевой, графической, видеосмысловой и буквенноцифровой информации; программные средства - операционные системы, системы управления базами
данных; другое общесистемное и прикладное программное обеспечение), используемые для
обработки конфиденциальной информации;

технические средства и системы, не обрабатывающие непосредственно
конфиденциальную информацию, но размещенные в помещениях, где обрабатывается (циркулирует)
конфиденциальная информация (с целью предупредить незаконное ее получение путем перехвата
акустического, электрического, электромагнитного, вибрационного и других видов излучений,
возникающих при обработке информации техническими средствами);

последствия радиоизлучений или электрических сигналов от внедренных в
технические средства и помещения специальных электронных устройств перехвата информации
(«закладок»);

радиоизлучений или электрических сигналов от устройств перехвата информации,
подключенных к каналам связи, а также к отдельным носителям информации.
Технические средства защиты информации от утечки должны препятствовать
непреднамеренному попаданию конфиденциальных сведений к лицам, не допущенным к ней, но
находящимся в пределах контролируемой зоны. Например: вследствие прослушивания разговоров,
ведущихся в выделенном помещении, из-за недостаточной звукоизоляции стен, систем вентиляции и
кондиционирования воздуха; случайного прослушивания телефонных переговоров при проведении
профилактических работ на АТС; просмотра информации с экранов дисплеев и других средств ее
отображения через двери и окна.
Второй блок - организация функционирования технических и программных средств в
определенном режиме. Для этого необходимо принять пакет организационно-распорядительных и
рабочих документов, в частности издать приказ о создании соответствующих подразделений по
защите информации и назначить лиц, ответственных за эксплуатацию технологического
оборудования и электронных банков данных. Созданные подразделения готовят совместно с
разработчиками средств технической защиты инструкции с описанием требований по защите
информации, которые должны выполнять в процессе ее обработки (передачи) лица, ответственные за
эксплуатацию технологического оборудования и электронных баз данных, пользователи
конфиденциальной информации и сотрудники подразделений по защите информации.
Программа обеспечения функционирования системы защиты конфиденциальной информации
должна включать в себя выполнение специальной проверки технических средств и служебных
помещений на предмет отсутствия в них возможно внедренных электронных устройств перехвата
информации («закладок»); организацию охраны и физической защиты объекта информатизации и
отдельных технических средств, исключающих несанкционированный доступ к ним, а также
контроль состояния и эффективности защиты информации.
С целью предупреждения внедрения «закладок» в технические средства и интерьер
подразделение по защите информации составляет технический паспорт на каждое защищаемое
помещение. Этот документ должен содержать план размещения оборудования и схему его
кабельных соединений. В паспорт включается перечень оборудования и мебели, установленных в
помещении, с указанием типа, учетного или инвентарного номера и даты установки и замены. Кроме
того, в нем отражаются перечень реализованных мероприятий по защите информации, даты и
результаты периодических проверок системы защиты.
Детальные описания порядка осуществления работ, основные требования и рекомендации,
40
способы и средства защиты информации, циркулирующей в технических средствах и помещениях,
изложены в Специальных требованиях и рекомендациях по защите информации, составляющей
государственную тайну, от утечки по техническим каналам, разработанных и утвержденных
Гостехкомиссией России в 1996 г.
Задача обеспечения защиты информации от утечки по техническим каналам возлагается на
руководителей организаций и подразделений, которые разрабатывают и эксплуатируют объекты
информатизации, организуют и осуществляют защиту информации (службы безопасности). Однако
при необходимости руководитель организации может привлечь на договорной основе для разработки
средств защиты информации и осуществления мероприятий по ее защите специализированные
учреждения и предприятия, имеющие лицензию ФСБ России на право осуществления этих видов
деятельности. Контроль над соблюдением правил эксплуатации системы защиты информации, ее
состоянием и эффективностью защиты информации осуществляется подразделениями по защите
информации предприятия-заказчика.
Создание и организацию работы систему защиты информации (СЗИ) следует начинать с
разработки и принятия документов, служащих правовой, организационно-распорядительной и
нормативной основой деятельности по защите информации.
Основные направления защиты информации реализуются путем осуществления мер
правового, организационного, программно-технического характера, в том числе применения
криптографических средств защиты.
Меры правовой и организационной защиты компьютерной информации заключаются в
разработке и принятии банком специальных правовых и нормативных актов, предписывающих
выполнение соответствующих правил и процедур, обеспечивающих защиту информации на
правовой основе. Эти документы представляют собой систему положений, инструкций, руководств,
призванную четко регламентировать права и обязанности пользователей информации, правовой
статус органов, технических средств и способов ее защиты. На этой основе устанавливаются
полномочия руководителей банка по отнесению информации к сведениям ограниченного доступа.
На администратора СЗИ возлагается задача оперативного контроля целостности
программного и технического обеспечения, контроля над ходом технологического процесса
обработки информации.
Администратор СЗИ должен вести учет, хранение и выдачу пользователям носителей
конфиденциальной информации, учтенной бумаги для распечаток (в случае отсутствия программной
реализации печати учетных реквизитов и контроля над выдачей распечаток), паролей и ключей для
средств защиты информации, осуществлять ежедневный контроль над СЗИ с целью выявления
любых изменений в сетевых компонентах, произошедших в нерабочее время, периодически
тестировать СЗИ с целью выявления уязвимых мест.
Кроме того, администратор обязан вести оперативный контроль над действиями
пользователей информационной системы банка, организацией физической защиты помещений, в
которых производится автоматизированная обработка конфиденциальной информации.
В число организационных задач по защите следует включить мероприятия по обучению
пользователей правилам безопасной работы с защищаемой информацией и ознакомления с
признаками противоправных посягательств на нее. Повышению надежности информационной
системы банка способствует такая мера, как изготовление резервных копий данных с ключевых
систем и других важных данных. Копии следует хранить в условиях, исключающих доступ к ним
посторонних.
Информационная система банка снабжается механизмами идентификации и аутентификации
(проверки подлинности пользователей) на основе использования паролей, ключей, ЭЦП, а также
41
биометрических характеристик личности пользователя. Устанавливается мандатный порядок
доступа, при котором пользователь наделяется правом получать доступ лишь к специально
поименованным объектам (файлам, папкам, программам, томам) и только в тех пределах, которые
являются санкционированными конкретно для него или группы работников (читать объект, файл,
вносить в него запись, копировать). С этой целью каждому пользователю и каждому документу
присваиваются классификационные метки, отражающие их место в соответствующей иерархии,
служащие основой мандатного принципа разграничения доступа к информации.
Важным элементом программно-технических средств защиты информации является
автоматическая регистрация (протоколирование) информационной системой событий, имеющих
отношение к защищенности информации. Это учет фактов разрешенного (и попыток
несанкционированного) доступа к защищаемой информации (например, открытие файла, запуск
программы), а также создания и уничтожения документа.
Для каждого из них регистрируются:

дата и время;

конкретный пользователь;

тип события (если регистрируется запрос на доступ, отмечается объект и тип доступа);

обслужен запрос на доступ или нет.
К программным методам защиты СЗИ следует отнести применение устойчивого к «вирусам»
программного обеспечения, защищенного от возможности несанкционированной модификации за
счет специальных зашифрованных вставок, снабженных механизмами самоконтроля и
самовосстановления;
установку
специальных
программ-анализаторов,
осуществляющих
периодическую проверку наличия возможных следов вирусной активности (например, обнаружение
нарушений целостности программного обеспечения), а также жесткий «входной» контроль новых
программ перед их введением в вычислительную систему по характерным признакам наличия в их
телевирусных образований.
Надежная защита компьютерной информации предполагает комплексное использование всех
средств и методов. По мнению специалистов в области защиты информации, самая совершенная
технология, правильная стратегия развития не смогут гарантировать от упущений в управлении.
Наряду с администратором СЗИ субъектами защиты информации банка являются служба
внутреннего контроля и служба безопасности. Обязанности и полномочия службы внутреннего
контроля в сфере контроля над управлением информационными потоками сформулированы в
Положении Банка России «Об организации внутреннего контроля в кредитных организациях и
банковских группах».
Участие службы внутреннего контроля банка в защите компьютерной (и другой защищаемой)
информации должно начинаться с контроля над соблюдением установленных в банке критериев
подбора и расстановки кадров (такие критерии устанавливаются с целью исключить возможность
заключения трудовых договоров или контрактов с лицами, обладающими сомнительной деловой и
общественной репутацией, а также недостаточно компетентными). Кроме того, проверяется наличие
в заключенных с работниками трудовых соглашениях или контрактах соответствующих обязательств
обеспечивать сохранность защищаемой информации. Устанавливается, ознакомлен ли вновь
принятый или назначенный на соответствующую должность работник с инструкцией,
регламентирующей его обязанности.
В процессе текущего контроля проверяются эффективность и работоспособность систем,
контролирующих соблюдение работником установленных правил совершения соответствующих
банковских и иных операций. Под эффективностью и работоспособностью систем контроля
понимается наличие процедур и механизмов, исключающих выход работника за пределы
42
установленных полномочий. Контролируются, в частности, процедуры защиты конфиденциальной
банковской информации, организации доступа работников к имеющейся в банке информации в
зависимости от их компетенции, установленной и внутренними регламентирующими документами.
Контрольные мероприятия должны охватывать проверку наличия пакета документов,
регулирующих деятельность банка, включая положение о распределении доступа пользователей к
осуществлению операций в программном обеспечении, а также к базам данных в компьютерных
системах и наличие должностных инструкций для всех штатных должностей в банке. Кроме того,
должны быть зафиксированы наличие (или отсутствие) контроля над состоянием информационной
системы банка и ее безопасностью, а также периодичность оценки уровня безопасности
информационной системы банка.
Служба безопасности банка принимает меры к предупреждению, выявлению и пресечению
попыток противоправных действий в сфере компьютерной информации банка в пределах
полномочий, установленных законодательством РФ и внутренними нормативными правовыми
актами банка. В отличие от службы внутреннего контроля, решающей свои задачи
административными методами, служба безопасности банка использует методы частного сыска и
криминалистики.
Выявление, предупреждение и пресечение попыток неправомерного посягательства на
защищаемую информацию банка. Задача общего предупреждения попыток неправомерного
посягательства на защищаемую информацию банка возлагается на службы защиты информации,
внутреннего контроля и безопасности банка. Эти структуры в пределах своей компетенции
контролируют функционирование системы конфиденциального делопроизводства и систему защиты
компьютерной информации.
Администратор СЗИ ведет постоянный мониторинг информационной безопасности с целью
обнаружения и регистрации отклонений защитных мер от требований информационной
безопасности. Основными целями мониторинга являются оперативное и постоянное наблюдение,
сбор, анализ и обработка данных под заданные цели, определяемые системой управления
информационной безопасности в организации. Такими целями анализа могут быть:

контроль над реализацией положений нормативных актов по обеспечению
информационной безопасности в организации;

выявление нештатных (или злоумышленных) действий в организации;

выявление потенциальных нарушений информационной безопасности.
В случаях
выявления нарушений
требований
должностных инструкций по
конфиденциальному делопроизводству и защите компьютерной информации, которые могут
привести к вредным последствиям, сотрудники контролирующих подразделений принимают меры к
устранению нарушений. При необходимости они обращаются к руководству организации с
предложением о наложении взысканий на виновных.
Сотрудники подразделений принимают меры к предупреждению и пресечению случаев
похищения и утраты документов, содержащих банковскую тайну, незаконного получения,
разглашения и использования этих сведений, неправомерного доступа к компьютерной информации,
нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети.
О выявленных фактах противоправных действий или нарушений порядка обращения с
защищаемой информацией они докладывают руководителю банка, который принимает решение о
проведении соответствующей проверки (разбирательства). В ходе ее проведения устанавливаются
обстоятельства происшедшего, виновность конкретных лиц, размер причиненного ущерба,
выявляются причины и условия, способствовавшие совершению посягательства. Фактические
данные, имеющие отношение к событию, документируются в установленном порядке и могут
43
служить основанием для принятия решения о наказании работника организации в дисциплинарном
порядке либо решения вопроса о его увольнении (прекращении трудового соглашения, контракта).
Фактические данные, полученные в результате проведенного разбирательства, используются в
случае необходимости в качестве доказательств в суде, арбитражном суде либо третейском суде.
Рассмотрение вопросов, связанных с нарушениями порядка защиты банковской,
коммерческой или служебной тайны, защиты компьютерной информации, является прерогативой
внутренней деятельности банка - обладателя конфиденциальной информации. Оно проводится для
выяснения обстоятельств происшествий, а также для выявления и изучения грубых нарушений
Положения по конфиденциальному делопроизводству либо защите компьютерной информации,
допущенных сотрудниками организации. Задачей разбирательства являются установление
виновности конкретных лиц, размера причиненного ущерба, выявление причин и условий,
способствовавших совершению противоправных действий и нарушений порядка защиты
коммерческой тайны. Материалы разбирательства могут быть переданы в правоохранительные
органы или в суд в целях пресечения выявленных неправомерных действий, восстановления
нарушенных прав и возмещения причиненного ущерба.
Разбирательство назначается руководителем организации и проводится группой сотрудников
организации (комиссией) на основании соответствующего приказа. Разбирательство представляет
собой процесс гласного сбора и документирования информации, относящейся к событию,
получаемой путем опроса работников организации, а также других лиц (с их согласия). Члены
комиссии наделяются правом производить осмотр рабочих помещений, территории организации,
сейфов, столов, шкафов, других мест, где могут находиться представляющие интерес документы и
иные носители информации. Они проверяют полистно конфиденциальную документацию, журналы
и карточки регистрации документов, отражающие их поступление и прохождение, опрашивают
работников организации и отбирают у них письменные объяснения.
Организационной основой для действий лиц, осуществляющих разбирательство, является
инструкция о порядке проведения служебных расследований (внутренних разбирательств). Она
разрабатывается сотрудниками организации и утверждается приказом ее руководителя. В
содержание инструкции включаются разделы, посвященные поводам, основаниям и задачам
проведения разбирательства, процедуре его назначения, срокам проведения, способам собирания и
фиксации информации и полномочиям участвующих в разбирательстве лиц, использованию
полученной в результате разбирательства информации.
Нередко в результате разбирательства удается получить сведения о причастности к
противоправным посягательствам на банковскую тайну граждан, не являющихся сотрудниками
организации. Дальнейшая проверка существа события (факта) в таких случаях выходит за пределы
полномочий (и возможностей) комиссии и требует проведения сыскной деятельности. На этот
случай в число членов комиссии наряду с сотрудниками секретариата целесообразно включать
сотрудников службы безопасности (охранно-сыскного подразделения организации), наделенных
правом сыска. Договор об участии в разбирательстве обладатель банковской тайны может заключить
также с любым частным детективом, детективным агентством, не входящим в структуру
организации.
Таким образом, организация защиты банковской тайны в кредитной организации, где четко и
грамотно организована работа всех служб и где руководство кредитной организации не жалеет
средств на содержание и развитие данного направления деятельности, является фундаментом для
успешной работы любого банка.
Евстратов Д.А. Организация защиты банковской тайны [Текст] / Д.А.Евстратов,
44
А.И.Кириченко // Вестник ТИСБИ.- 2010.- Вып. № 2.
10 правил для мобильного банкинга
И. Костылев,
обозреватель "БО"
Хотя многие утверждают, что клиенты банков еще не готовы к использованию мобильного
телефона для оплаты и управления своими счетами, игнорировать возрастающую "мобильность"
клиентов продолжают лишь немногие российские банки. При этом на Западе говорят уже о втором
поколении мобильного банкинга.
О возросшей популярности мобильных платежей красноречиво говорит статистика
онлайнового магазина EBay, который получил платежей через мобильные телефоны в 2010 году на
2 млрд. долларов, что в три раза больше, чем годом ранее.
В России первые банковские приложения для мобильных телефонов появились лишь в начале
2010 года и были информационными - предоставляли данные о расположении банкоматов, о курсах
валют и т.д. С тех пор их функциональность росла, появлялись приложения для разных мобильных
платформ. Уже к концу 2010 года многие банки предоставили возможность своим клиентам
совершать операции по переводу денег через мобильные приложения. Одними из пионеров
российского мобильного банкинга стали Альфа-Банк, Банк24.ру, СИАБ. Сейчас список мобильных
приложений российских банков на Android Market и Apple Арр Store насчитывает десятки позиций.
Многие из них на Android Market клиенты оценивают достаточно высоко - 4,5 балла из 5 возможных.
Уже летом 2011 года о начале разработки полноценных приложений, которые "смогут работать на
95% мобильных телефонов", заявил Сбербанк.
В США опыт использования мобильного банкинга более обширен - некоторые банки
предложили его клиентам еще в 2007 году. Портал Bank Systems & Technology опубликовал статью
по итогам интервью с яркими представителями таких банков - SunTrust и IBC Bank, выделив 10
ключей к успеху мобильного банкинга. Российская специфика накладывает некоторые ограничения
на использование этого опыта, но в целом он может быть полезен банкам, которые разрабатывают
свою "мобильную" стратегию.
1. Используйте "тройной" подход
В то время как основной шум сконцентрирован вокруг смартфонов и приложений для них,
далеко не все клиенты банков ими пользуются, и аналитики советуют банкам использовать три типа
решений для мобильных платежей - загружаемые приложения, приложения для мобильных
браузеров и SMS-платежи. Опыт банка SunTrust показывает, что количество клиентов,
пользующихся мобильным браузером (назовем их "веб-клиенты"), начинает превосходить число тех,
кто пользуется загружаемыми приложениями ("пользователей приложений"), примерно через три
месяца с момента запуска платформы. Сейчас веб-клиентов у SunTrust вдвое больше, чем
пользователей приложений.
IBC Bank, расположенный в Техасе, выпустил свое приложение для iPhone еще в 2008 году. С
тех пор, по словам представителей банка, использование мобильного банкинга клиентами
постепенно росло. Но когда банк выпустил приложение для мобильного браузера, количество
операций, совершаемых с помощью мобильного телефона, резко пошло вверх.
45
В то время как многие американские банки сразу начинали со смартфонов, в России, где
проникновение этих устройств ниже, долгое время было более целесообразно использовать
управление счетом посредством SMS. Загружаемые приложения стали появляться позже. А вот
приложений, адаптированных под мобильный браузер, пока не наблюдается вовсе.
2. Планируйте на вырост
Необходима уверенность, что вендор, разрабатывающий для банка мобильные приложения,
может быстро реагировать на изменения и нужды бизнеса. Аналитики отмечают, что подрядчик
должен расти вместе с банком - у него должно быть достаточно компетенций и специалистов. Кроме
того, необходимо убедиться, что стратегия развития мобильных приложений вендора совпадает с
видением банка.
Представитель IBC Bank, например, отметил, что они считают важным преимуществом своего
вендора фокусировку только на мобильном банкинге.
3. Используйте гибкий подход в разработке
Чтобы быть уверенным, что мобильные предложения развиваются достаточно быстро и
соответствуют требованиям рынка, банку стоит использовать гибкие методы разработки. Так,
например, если используется каскадная модель разработки, переход к итеративной модели уже
может дать существенное преимущество.
Российские банки, как правило, заказывают разработку ПО для мобильного банкинга
сторонним разработчикам. Но есть и банки, которые разрабатывают мобильные приложения и
интернет-банк самостоятельно - такие как, например, Смоленский Банк. Одной из основных причин
выбора в пользу собственной разработки указывается, в частности, гибкость и скорость внесения
необходимых изменений.
4. Тестируйте и еще раз тестируйте
Как отметил генеральный директор одного из западных мобильных разработчиков, в сфере
мобильного банкинга нет такого понятия, как "избыточное тестирование". Мобильное - по
определению динамичное, находящееся в движении. Каждый разрабатывает ПО на свой страх и
риск. В то же время банки, привыкшие тестировать решения внутри собственных IT-департаментов,
в случае с мобильными устройствами не могут обеспечить полноценного тестирования, поскольку
просто не обладают достаточным количеством устройств. В США существуют независимые
провайдеры проверки качества мобильных решений и банки пользуются их услугами.
5. Обеспечьте безопасность
Это один из важнейших факторов, потому что клиенты боятся за сохранность своих денег при
проведении операций через такое, казалось бы, ненадежное средство, как мобильный телефон. Очень
важно не только защитить систему со стороны банка, но и проводить работу с пользователями,
объясняя им принципы мобильной безопасности и давая возможность самостоятельно за ней
следить.
Как говорят аналитики, хорошая новость в том, что уже существующие системы безопасности
можно расширить и на мобильный банкинг.
46
"Зачастую пользователи сами довольно халатно относятся к защите своих мобильных
устройств, провоцируя мошеннические действия, - рассказывает Ирина Момчилович, генеральный
директор Rainbow Security. - Они случайно могут загрузить приложение, содержащее вредоносный
код или шпионское ПО, которое при первой удобной возможности отправит хакеру всю
конфиденциальную информацию по пользовательскому счету. Под распространенные операционные
системы сегодня создаются опасные вирусы, трояны, черви. Защитить смартфон от таких программ
можно абсолютно так же, как и обычный компьютер - с помощью специальных антивирусов для
мобильных устройств".
Еще недавно считалось, что вирусов для мобильных телефонов нет. Сейчас ситуация
изменилась. "Наиболее яркий пример мошеннического ПО в мобильном банкинге - троянец ZeuS-inthe-Mobile, - рассказывает Денис Масленников, ведущий антивирусный эксперт "Лаборатории
Касперского". - Данная вредоносная программа работает в связке с обычным ZeuS для Windows.
Обычный ZeuS крадет логин и пароль от онлайн-банкинга, а ZitMo ответственен за кражу mTAN'oB,
кодов авторизации банковских операций, присылаемых на мобильное устройство клиента онлайнбанкинга самим банком. Почти за год своего существования были обнаружены версии ZitMo почти
для всех популярных мобильных платформ: Symbian, Windows Mobile, Blackberry, Android".
Денис Масленников считает важным донести до пользователя следующие принципы
соблюдения безопасности: использовать антивирусное ПО и регулярно обновлять базы; никому и
никогда не сообщать свои пароли, не хранить их в явном виде на смартфоне; не вводить платежный
пароль на посторонних сайтах; игнорировать письма с уведомлениями о том, что счет в той или иной
системе заблокирован, и предложениями перейти по ссылке для его активации (а также любые
другие подобные письма, в которых от вас требуют перейти по ссылке и ввести свои данные) - это
фишинг.
Кроме того, эксперты советуют предостеречь пользователей не использовать стороннее ПО
(разработанное не банком) для работы с банковскими счетами, применять протокол с шифрованием
https, а также требовать обязательного подтверждения транзакций с помощью платежных паролей
или одноразовых кодов аутентификации.
Как видно, рекомендации мало чем отличаются от принципов защиты интернет-банкинга.
Разве что полезным будет также шифровать все данные на телефоне и обеспечить возможность
удаленно заблокировать его.
6. Внедрите удаленную оплату чеков
Вряд ли стоит ожидать скорого исчезновения бумажных чеков. В США крупнейшие банки
собираются предоставить пользователям возможность оплачивать их удаленно в течение
ближайшего года. Remote deposit capture, или RDC, позволяет отправлять в банк вместо физического
чека его изображение. Как сообщается, в некоторых случаях это позволяет сократить затраты на
обработку чеков до 97%. Однако есть и опасности - чек может быть перехвачен при передаче через
незащищенные каналы или, например, один и тот же чек могут попытаться обналичить дважды - в
цифровом и в бумажном виде. Поэтому эксперты советуют использовать шифрование при передаче,
а также ограничивать возможные объемы транзакций клиента.
7. Создайте приложения для планшетов
Хотя многие все еще называют планшеты мимолетным увлечением, нельзя отрицать, что у
активного населения, которое представляет собой особую ценность для банков, эти устройства в
47
руках можно увидеть все чаще. Больший, чем у смартфонов, экран дает дополнительные
возможности - факт, который банк может либо игнорировать, либо использовать для предоставления
клиенту более удобного интерфейса. Пока в России банковские приложения, как правило,
разделяются на приложения для iOS и для Android. Нет отдельных приложений для iPhone и для
iPad, для Andraid-смартфонов и Android-планшетов.
8. Задействуйте HTML5
Это новый стандарт веб-разработки, который пока только начинает использоваться, но
существенно расширяет возможности веб-приложений. Ранее медиаконтент воспроизводился с
помощью сторонних дополнений к браузеру, вроде Flash и Silverlight, которые, например, не
поддерживаются устройствами Apple. Вопрос полноценной поддержки HTML5 мобильными
браузерами тоже пока спорен, но по крайней мере большинство их производителей заявляют о
поддержке этого стандарта. Если то, что говорят эксперты, правда, и веб-приложения в итоге
вытеснят загружаемые приложения с мобильных устройств, HTML5 использовать стоит - ведь
стоимость разработки и поддержки web-приложений ниже, чем загружаемых.
9. Повысьте осведомленность мобильных устройств
Банк обладает большим количеством информации о клиенте, а если клиент использует еще и
мобильное приложение, к ней добавляются и данные о его местоположении - их определяет
мобильный оператор. Если клиент согласен на использование этой информации банком, можно
использовать ее для целевого маркетинга - например, специальных предложений от партнеров банка,
находящихся неподалеку.
10. Не забывайте о социальных сетях
Как показало последнее исследование компании Fiserv, пользователи мобильного банкинга еще и активные пользователи социальных сетей. Это означает, что если банки хотят привить
привычку пользоваться мобильным банкингом пользователям социальных сетей, им нужно сделать
больше, чем просто отвечать на замечания, размещенные на "стене". Например, можно встроить в
мобильный банкинг возможность размещать отзывы о качестве ПО и услуг банка прямо на странице
банка в социальной сети.
Мнение эксперта
Елена Захарова, директор по работе с клиентами процессингового центра Faktura.ru ГК ЦФТ
Мобильный банкинг находится на стыке даже не двух, а трех отраслей: информационные
технологии, телекоммуникации и финансы. Экономика развивающихся стран следует за более
развитыми рынками Европы и США. При этом в телекоме временной лаг, с которым новые решения
приходят в Россию, значительно короче, чем в финансовом секторе. А вот развитие банковского ПО
следует за финансовым рынком.
Поэтому ранее в России сложилась ситуация, когда операторы связи технически уже были
готовы к внедрению подобных побочных сервисов, а игроки банковского рынка уделяли внимание
более насущным на тот период времени вопросам - например, внедрению интернет-банкинга.
Вероятно, по этой причине рынок мобильного банкинга изначально начал формироваться по
инициативе игроков отрасли связи, в результате чего появилось множество разработчиков
48
соответствующих приложений.
ЦФТ еще в 2003 году был запущен сервис мобильных платежей SimMP позволяющий
абоненту оператора сотовой связи совершать платежи с банковского счета при помощи мобильного
телефона. Технологически это решение представляет из себя SIM-карту с двумя приложениями операторским и банковским. Сейчас оно используется в Бурятии и Челябинске, а также в Польше и
на Украине. Рынок разработки ПО для мобильного банкинга сейчас находится на стадии
формирования и, более того - на распутье. В последние пять лет мобильные технологии шагнули
вперед - многие мобильные устройства уже функционально приближены к компьютерам, а
инфраструктура операторов связи позволяет абонентам с легкостью получить качественный доступ в
Интернет. Поэтому мы считаем, что в будущем необходимость создания отдельных программных
приложений (которые пользователю необходимо загружать, поддерживать и обновлять) сойдет на
нет. Вопрос доступа к системе ДБО замкнется на адаптации версии под каждый конкретный тип
мобильного устройства и интеграции с операционной средой, управляющей данным устройством.
Костылев И. 10 правил для мобильного банкинга [Текст] / И.Костылев // Банковское
обозрение.-2011.-№11.
Трактовка банковской безопасности и надежности в США:
технологический аспект
Л.В. Лямин,
Банк России,
Департамент банковского регулирования и надзора,
начальник отдела электронных банковских технологий
Обеспечение надежности банковской деятельности в США считается важнейшей задачей не
только коммерческих банков и других финансовых учреждений, но и самого государства. В связи с
этим многие понятия, имеющие отношение к данному процессу, закреплены в федеральном
законодательстве этой страны. В статье проводится краткий анализ соответствующих нормативноправовых документов с позиций их возможного практического использования в российском
банковском секторе6.
Практика изучения организации и содержания мероприятий по обеспечению надежности
банковской деятельности в российском банковском секторе, равно как и многочисленные
негативные события, связанные с потерями финансовых средств, как самими банками, так и их
клиентами, свидетельствует о том, что с указанным обеспечением пока еще не все в порядке.
Суммарные потери клиентов, пострадавших от разных видов компьютерного мошенничества, а
также подвергшихся сетевым, хакерским, вирусным, фишинговым и другим атакам, исчисляются
миллиардами рублей в год, а судебные издержки самих банков - сотнями тысяч и миллионами
долларов. Отчасти данная ситуация объясняется "молодостью и неопытностью" российского
банковского сектора, но многие проблемы, связанные с недостаточной надежностью отечественной
банковской деятельности, вызваны многочисленными пробелами в банковском законодательстве
нашей страны.
Чтобы убедиться в этом, достаточно всего лишь внимательно прочесть хотя бы Федеральный
закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", в тексте которого отсутствует то,
6
Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.
49
что имеется в его названии, а именно определение банковской деятельности как таковой. Вместо
этого в ст. 5 указанного законодательного акта приведены в виде перечня "банковские операции и
другие сделки", хотя совершенно очевидно, что понятие "деятельность" существенно шире и сводить
ее только к выполнению операций нецелесообразно, поскольку все банки выполняют примерно одни
и те же операции, а результаты их деятельности, как известно, могут оказаться совершенно разными.
Следствием такого узкого взгляда на проблематику банковского дела стало отсутствие многих
ориентиров, необходимых банкам в их непростой работе.
В особенности сказанное относится к тем не регулируемым до настоящего времени
предметным областям деятельности коммерческих банков, которые не имеют прямого отношения к
непосредственному выполнению банковских операций "и иных сделок", но служат для их
обеспечения. В число таких направлений входят информатизация банковской деятельности,
обеспечение информационной безопасности, внутренний контроль, финансовый мониторинг,
управление банковскими рисками и т.п. С учетом этого становится очевидно, что в современном
мире надежность банковской деятельности при прочих равных условиях определяется не только
стратегическими, тактическими и финансовыми решениями ее руководства, но и теми способами,
которыми она осуществляется, а также условиями ее осуществления. В связи с этим, учитывая
многочисленные недостатки отечественного финансового законодательства, уместно рассмотреть
некоторые базовые положения, закрепленные в федеральном законодательстве США, которые, на
взгляд автора, могут быть использованы и в практике работы российских коммерческих банков, как,
впрочем, и небанковских кредитных организаций.
Ниже речь пойдет о сборнике нормативных актов федерального уровня США, называемом
Code of Federal Regulations, точнее о части 30 раздела 12, посвященной так называемым "Стандартам
безопасности и надежности"7. С учетом того, что как способы, так и условия банковской
деятельности в каждом случае определяются решениями руководства коммерческого банка,
касающимися в первую очередь ее технологических аспектов, акцент будет сделан на таких
подразделах рассматриваемого документа, как: 1) "Рекомендации по стандартам функционирования
и управления"; 2) "Рекомендации по стандартам защиты клиентской информации"; 3) "Разработка и
реализация Программы информационной безопасности"8.
Стандарты функционирования и управления
Это может показаться странным, но начинается данный подраздел с параграфа,
озаглавленного "Внутренний контроль и информационные системы" (параграф А). Надо отметить,
что в американском законодательстве вопросам внутреннего контроля и аудита за последние 10 лет
стали уделять предельно серьезное внимание. Причиной этому послужили такие скандалы, какие
произошли с компаниями Enron и Arthur Andersen, а также события 11 сентября 2001 г. По существу
все основные законодательные акты, принятые в той или иной связи с этими событиями, такие как
Gramm-Leach-Bliley Act, Sarbanes-Oxly Act и Patriot Act, в той или иной степени затрагивают
проблемы контроля и безопасности деятельности финансовых учреждений, включая защиту
интересов их клиентов.
Поэтому уже в самом начале рассматриваемого подраздела сказано о том, что:
"Учреждению следует иметь средства внутреннего контроля и информационные системы,
адекватные размеру этого учреждения, характеру, масштабам и рискам его деятельности, которые
7
12 CFR, Pt. 30 - SAFETY & SOUNDNESS STANDARDS.
В отечественной практике такие внутрибанковские документы называются, как правило, "Политика
обеспечения информационной безопасности", "Меморандум по информационной безопасности" и т.п.
8
50
обеспечивают:
1. Такую организационную структуру, в которой установлено четкое и связанное
распределение полномочий и ответственности в интересах мониторинга соответствия установленной
политике.
2. Эффективное оценивание риска.
3. Своевременность и полноту финансовых, функциональных и управленческих отчетов.
4. Адекватные процедуры обеспечения безопасности и управления активами.
5. Соответствие действующему законодательству и инструкциям".
Не все из приведенных положений требуют комментария в силу своей самоочевидности, но
здесь важно, прежде всего, подчеркнуть прямо обозначенную связь между применением банковских
автоматизированных систем и внутрибанковским процессом внутреннего контроля (ВК). К
сожалению, в отечественных коммерческих банках о необходимости такой связи нередко забывают,
не говоря уже о том, что часто приходится наблюдать формальное отношение к организации и
содержанию этого процесса. Мало того, из-за такого формального отношения данный процесс
отстает от информатизации банковской деятельности как таковой, что подтверждается отсутствием
его адаптации в зависимости от наращивания банками своих "технологических мускулов", то есть
выпуска новых редакций положений об осуществлении ВК, о системе и службе ВК и т.п. Сказанное
в полной мере относится и к процессу управления банковскими рисками: регламентирующие его
документы часто составляются формально, "для галочки", содержат такие определения банковских
рисков, которые лишь в небольшой степени имеют отношение к деятельности банков и
используемым ими информационным технологиям, да и внедрение новых информационных
технологий и технологий электронного банкинга зачастую не сопровождается пересмотром
содержания таких документов и соответствующего внутрибанковского процесса и т.п. Следствием
становится возникновение новых причин для реализации компонентов целого ряда банковских
рисков (в частности, как минимум стратегического, операционного, правового, репутационного и
ликвидности) с соответствующими негативными последствиями для коммерческих банков и их
клиентов (в части каждого из перечисленных рисков).
Важно подчеркнуть, что причиной этого является отсутствие осознания усложнения
структуры банковских рисков за счет возникновения их новых компонентов. Как следствие,
происходит неконтролируемое смещение профиля риска кредитной организации, что завершается
внезапной реализацией того или иного компонента и в итоге финансовыми потерями.
До настоящего времени еще, по-видимому, не сформировалось и осознание того, что
современный банк - это прежде всего банковская автоматизированная система (БАС) и хранилище
данных, то есть так называемый "бэк-офис", в котором и реализуются все риски
высокотехнологичных кредитных организаций. Поэтому развитие информатизации в любом банке и
автоматизации банковской деятельности в целом должно, по идее, сопровождаться аналогичным
развитием и совершенствованием внутрибанковского процесса ВК, а также системы ВК в целом и
работы соответствующей службы как "ядра" этой системы. В противном случае не гарантируются
обеспечение и поддержание управляемости и контролируемости банковской деятельности в
условиях ее существенной автоматизации и защита от связанных с нею рисков кредитных
организаций и их клиентов.
Продолжает тематику контроля в рассматриваемом документе параграф В "Система
внутреннего аудита", в котором сказано, что:
"Учреждению следует иметь систему внутреннего аудита, соответствующую размерам,
характеру и масштабам деятельности, обеспечивающую:
1. Адекватный мониторинг системы внутреннего контроля за счет реализации функции
51
внутреннего аудита (для тех учреждений, размер, сложность или масштаб операций которых не
оправдывают наличие полномасштабной функции внутреннего аудита, может использоваться подход
на основе независимой проверки основных средств внутреннего контроля).
2. Независимость и объективность.
3. Требуемую квалификацию персонала.
4. Адекватное тестирование и проверку информационных систем.
5. Адекватную документацию по тестированию и его результатам, а также по
корректирующим мероприятиям.
6. Подтверждение и описание управленческих действий в отношении значимых недостатков.
7. Наличие составленного аудиторским комитетом или советом директоров учреждения
описания эффективности системы внутреннего аудита".
Здесь интересно указание на косвенно устанавливаемую дополнительную "подчиненность"
системы ВК, то есть определение функции, проверяющей контроль. Надо отметить, что данное
положение до последнего времени остается спорным, особенно в применении к средним и малым
кредитным организациям. В Западной Европе данный вопрос также не нашел пока своего решения,
хотя в некоторых материалах сходные соображения высказывались, например, Базельским
комитетом по банковскому надзору9. В своеобразной философской трактовке этот вопрос выглядит
так: "Кто охраняет часового?", и его решение относится на счет контролирующего органа центрального банка страны или другого федерального уровня. Между прочим, стоит отметить, что
инспектора, проверяющие коммерческие банки в США, начинают свои проверки с изучения
организации и результатов работы служб ВК в этих финансовых учреждениях, после чего
определяются программа и масштаб проверки - они минимизируются в том случае, если у
проверяющих не возникает претензий к организации системы ВК и результатам работы службы ВК.
Здесь важно обратить внимание также на соседство п. 3 и 4, то есть требований к
квалификации персонала и тестированию информационных систем. В российских условиях такая
связь, как показывает практика, - традиционно слабое место: об этом свидетельствуют и изучение
внутрибанковских документов (планов, программ и методик проверок, осуществляемых службой
ВК), и отсутствие стендовых испытаний БАС и систем электронного банкинга в кредитных
организациях, и отмеченное уже устаревание внутрибанковских положений и порядков в сравнении
с уровнем автоматизации банковской деятельности. Исключение составляют лишь немногие
крупные коммерческие банки. В типичной ситуации при проведении проверок работы
подразделений, отвечающих за информационные технологии, равно как и подразделений,
отвечающих за обеспечение информационной безопасности, в части БАС и систем электронного
банкинга (СЭБ), в состав проверяющих - ввиду отсутствия в службах ВК специалистов с
квалификацией уровня хотя бы начальника отдела в департаменте информатизации - включаются
специалисты служб информационных технологий и обеспечения информационной безопасности,
которые тем самым проверяют работу "самих себя". Очевидно, что организуемые таким образом
проверки всегда являются "наиболее эффективными", но руководство таких кредитных организаций
напрасно полагает, что знает о всех реальных и потенциальных проблемах, связанных с
автоматизацией банковской деятельности и сопутствующих компонентах банковских рисков.
Сказанное в полной мере относится и к п. 6 и 7 представленного выше перечня, поскольку во
многих кредитных организациях фактически отсутствуют механизмы доведения негативной
информации до руководства для принятия корректирующих мер. Чаще всего это касается сетевых,
9
См., например: Framework for Internal Control Systems in Banking Organizations / Basel Committee on Banking
Supervision, Bank for International Settlements. Basel, Sept. 1998.
52
вирусных и хакерских атак, случаев несанкционированного доступа к информационнопроцессинговым ресурсам кредитной организации и мошеннических действий. При этом, как
правило, отсутствуют и базовые распорядительные документы, которыми регламентировались бы
организация и функционирование таких механизмов, или же они составлены формально, как бы
заранее предполагая отсутствие практических действий. Стоит ли говорить о том, что при
реализации большинства новых компонентов банковских рисков из-за этого существенно
затрудняются и проведение расследований, и претензионная работа, и отстаивание позиции банка в
судебных инстанциях. Все это, кстати, продолжает иметь место на фоне усиливающегося потока
жалоб, поступающих в Банк России от пострадавших клиентов кредитных организаций.
Рекомендации по стандартам защиты клиентской информации
Эти рекомендации относятся к стандартам10 по разработке и реализации административных,
технических и физических средств защиты, обеспечивающих безопасность, конфиденциальность и
целостность клиентской информации. Тем самым в американском финансовом законодательстве
подчеркивается значимость защиты интересов клиентов финансовых и других организаций, причем в
первую очередь - самими этими организациями. Надо также отметить, что соблюдение приводимых
ниже требований контролируется в американских условиях весьма жестко, вплоть до возбуждения
против неудовлетворительно организующих такую защиту организаций судебного преследования со
стороны федеральных контролирующих органов.
Здесь вводится ряд специфических понятий, прежде всего понятие "клиентская информация" под нею понимается "любая сделанная в банке запись, содержащая непубликуемые сведения о
клиенте на бумажном, электронном или ином носителе". Также вводится понятие "клиентская
информационная система", которая описывается как "любые средства, используемые для доступа к
сведениям о клиенте, их сбора, хранения, использования, передачи, защиты или размещения". Здесь
же определяется понятие "провайдер услуг" - "любое лицо или учреждение, которое в процессе
обслуживания, обработки или других действий имеет возможность доступа к клиентской
информации за счет непосредственного предоставления услуг банку".
Легко заметить принципиальное отличие такого подхода от условий, в которых работают
российские кредитные организации, не имеющие сколько-нибудь подобных ориентиров,
подчеркивающих значимость выполнения ими своих обязательств перед клиентами и
ответственность за это как перед самими клиентами, так и перед государством. К слову сказать,
приведенная терминология в отечественной банковской литературе используется достаточно
широко, но она никак не определена, а определение "провайдера" или "аутсорсинга" в российских
законодательных актах автору найти не удалось, хотя в функционировании российского банковского
сектора принимают участие множество организаций-провайдеров (Интернет, системы, каналы и
линии связи, процессинг и хранение данных и др.). Точно так же распространена и передача многих
технологических функций на аутсорсинг, особенно в ситуациях, когда кредитная организация не
хочет тратить деньги на самостоятельную поддержку и сопровождение функционирования
разнообразных аппаратно-программных комплексов, так что это делают сторонние организации.
К слову сказать, очень часто в ситуациях аутсорсинга и вообще любого привлечения
провайдеров к обеспечению банковской деятельности отсутствует осознание возникновения
зависимости надежности банковской деятельности в целом и выполнения кредитными
Используется принятая за рубежом терминология, в которой используются такие названия внутрибанковских
документов, разрабатываемых для разных направлений банковской деятельности, как "политика", "стандарт",
"программа", "правило" и т.п.
10
53
организациями своих обязательств перед клиентами от таких сторонних компаний. Проявляется это
прежде всего, естественно (к сожалению), в отсутствии указаний во внутрибанковских документах,
регламентирующих управление банковскими рисками, на связь целого ряда компонентов банковских
рисков именно с провайдерами кредитных организаций и качеством предоставляемых ими услуг.
Далее основной акцент в рассматриваемом документе делается на два параграфа, первый из
которых (А "Программа информационной безопасности") гласит:
"Учреждению следует иметь изложенную в письменной форме полноценную Программу
информационной безопасности, включающую административные, технические и физические
средства защиты, соответствующие размеру и сложности конкретного банка, а также характеру и
масштабу его деятельности. Несмотря на то что внедрения однородной политики от всех
подразделений банка не требуется, все компоненты Программы информационной безопасности
должны быть скоординированы".
Важно отметить указания на: а) соответствие мер обеспечения информационной безопасности
характеристикам финансового учреждения и б) координацию компонентов основного документа по
обеспечению
информационной
безопасности.
В
применении
к
практике
работы
высокотехнологичных кредитных организаций, которые часто интегрируют несколько систем
электронного банкинга, это означает проведение комплексного анализа всех каналов доступа
пользователей БАС (операторов, операционистов, администраторов и опосредованно - клиентов) на
предмет их защищенности и устойчивости к воздействию различных угроз надежности банковской
деятельности (в широком смысле, имея в виду обеспечение гарантий выполнения обязательств перед
клиентами и контролирующими банковскую деятельность органами). Это, в свою очередь,
предполагает комплексный и детальный анализ зон концентрации источников компонентов
банковских рисков в их сопоставлении с зонами ответственности кредитной организации. Это
означает определение и описание тех зон концентрации источников компонентов банковских рисков,
на которые кредитная организация может повлиять в плане устранения угроз надежности банковской
деятельности, в отличие от тех, которые ей придется так или иначе хеджировать.
Пока что, как показывает практика, приведенные соображения не полностью осознаются в
российском банковском секторе, о чем свидетельствует нередко безоглядное внедрение новых
информационных технологий, не сопровождаемое превентивным анализом изменений в составе
упомянутых угроз и соответственно в структурах банковских рисков. Особенно важен учет
сказанного в случаях, когда кредитная организация внедряет одну за другой несколько СЭБ,
поскольку возникают новые подмножества зон концентрации источников компонентов банковских
рисков, которые необходимо учитывать в процессе управления банковскими рисками.
В связи с изложенным в рассматриваемом документе фигурирует параграф В "Цели", в
котором сказано следующее:
"Программа информационной безопасности банка должна быть разработана для того, чтобы:
1. Обеспечить безопасность и конфиденциальность клиентской информации.
2. Организовать защиту от любых возможных угроз или опасностей для сохранения или
целостности такой информации.
3. Организовать защиту от несанкционированного доступа к такой информации или ее
использования таким образом, который может привести к значительному ущербу или неприятным
последствиям для клиента".
Как видно, и здесь все назначение основного документа по обеспечению информационной
безопасности в финансовом учреждении увязывается с его ответственностью перед клиентом, и,
надо подчеркнуть еще раз, об этом заявляется на федеральном уровне.
54
Разработка и реализация Программы информационной безопасности
Этот подраздел начинается с параграфа А "Роль Совета директоров", в котором сказано, что:
"Совет директоров или соответствующий комитет такого совета банка обязан:
1. Утвердить Программу информационной безопасности как документ.
2. Осуществлять наблюдение за разработкой, реализацией и обеспечением Программы
информационной безопасности банка, включая распределение конкретной ответственности за ее
реализацию и проверку отчетов от исполнительных органов".
На упоминаемой здесь отчетности исполнительных органов еще будет сделан серьезный
акцент в конце цитируемого раздела.
Назначение основного документа по обеспечению информационной безопасности в
финансовом учреждении увязывается с его ответственностью перед клиентом, и об этом заявляется
на федеральном уровне.
В параграфе В "Оценка риска" сформулированы основания для связи процедур в составе
внутрибанковского процесса управления рисками с требованиями к обеспечению информационной
безопасности, а именно:
"Каждый банк обязан:
1. Обоснованно идентифицировать вероятные внутренние и внешние угрозы, которые могут
привести к несанкционированному раскрытию, неправильному использованию, искажению или
уничтожению клиентской информации или клиентских информационных систем.
2. Оценить вероятность и потенциальный ущерб от реализации угроз с учетом значимости
клиентской информации (чувствительности к угрозам).
3. Оценить достаточность политики, процедур, клиентских информационных систем и
имеющихся в наличии средств управления рисками".
Очевидно, что в банках должны быть разработаны, документированы и внедрены
соответствующие комплексные процедуры (связывающие между собой содержание упомянутых
внутрибанковских процессов). Основное содержание таких процедур раскрывается в параграфе С
"Управление и контроль риска", наиболее объемном в составе анализируемого документа.
"Каждый банк обязан:
1. Разработать индивидуальную Программу информационной безопасности в обеспечение
управления выявленными рисками, соответствующую значимости защищаемой информации, равно
как и сложности и масштабам деятельности банка, при этом необходимо оценить, насколько
подходят банку следующие меры, и реализовать те, которые считаются подходящими:
а) средства контроля доступа к клиентским информационным системам, включая средства
удостоверения личности и разрешения доступа только авторизованным лицам, а также средства
защиты от предоставления персоналом банка клиентской информации неавторизованным лицам,
которые могут пытаться получить к ней доступ в мошеннических целях;
b) средства ограничения физического доступа в места хранения клиентской информации
(помещения, компьютерная техника и средства хранения записей), обеспечивающие доступ только
авторизованных лиц;
с) шифрование клиентской информации, которая в электронной форме передается или
хранится в вычислительных сетях, для предотвращения несанкционированного доступа;
d) процедуры, разработанные в обеспечение соответствия процедур модификации клиентских
информационных систем Программе информационной безопасности банка;
e) процедуры двойного контроля, разделения обязанностей и проверки сотрудников, в
обязанности которых входит доступ к клиентской информации;
55
f) мониторинг систем и процедур обнаружения реальных атак и попыток проникновений в
клиентские информационные системы;
g) программы реагирования, где описаны действия, которые следует предпринимать при
подозрении или обнаружении попыток несанкционированного доступа к клиентским
информационным системам, включая составление требуемых отчетов для органов регулирования и
правоохранительных органов;
h) меры защиты от уничтожения, потери или нанесения ущерба клиентской информации,
обусловленных чрезвычайными событиями типа пожаров, наводнений или технологических
катастроф.
2. Обучить персонал в интересах реализации Программы информационной безопасности
банка.
3. Регулярно тестировать основные средства контроля, системы и процедуры, заложенные в
Программе информационной безопасности, при этом частоту и содержание тестов следует
определять на основе риска, которому подвергается данный банк".
Ниже установлены основные требования к контролю отношений с провайдерами
коммерческих банков в параграфе D "Наблюдение за соглашениями с провайдерами", где сказано,
что:
"Каждый банк обязан:
1. Помнить о должном выполнении обязательств при выборе провайдера.
2. Требовать от провайдера наличия в контрактах мер, принимаемых в обеспечение
достижения целей настоящих рекомендаций.
3. Осуществлять мониторинг выполнения обязательств провайдером в соответствии с
подходом, принятым банком для оценки риска".
Здесь уместно отметить, что не так давно Банком России выпущено письмо, в котором также
сделан акцент на зависимости надежности банковской деятельности от выбора провайдеров 11.
Наконец, в параграфе Е "Адаптация программы информационной безопасности" делается
немаловажное указание на необходимость приведения системы обеспечения информационной
безопасности в соответствие с изменяющимися способами и условиями банковской деятельности.
Данный параграф гласит:
"Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости,
корректировку Программы информационной безопасности в зависимости от затрагивающих
соответствующие вопросы изменений в технологиях, значимости клиентской информации,
внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые
соглашения, таких как слияния и приобретения, совместная и партнерская деятельность,
использование аутсорсинга и внесение изменений в клиентские информационные системы".
Очевидно, что речь идет о регулярном внутрибанковском процессе.
В завершение документа в параграфе F "Отчет для Совета директоров" еще раз
подчеркивается важность внутрибанковской функции управленческого контроля, а именно:
"Каждый банк обязан как минимум ежегодно составлять для своего Совета директоров или
соответствующего комитета такого совета отчет с описанием общего состояния Программы
информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в
этом отчете следует рассмотреть значимые для Программы вопросы, касающиеся: оценки риска,
управления риском и соответствующих решений, отношений с провайдерами, результатов
тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению
11
Письмо Банка России от 26.10.2010 N 141-Т.
56
изменений в Программу".
Выводы
Приведенные положения, безусловно, можно и целесообразно использовать в банках при
организации применения информационных технологий, внедрении и эксплуатации СЭБ,
определении содержания и организации процессов внутреннего контроля и обеспечения
информационной безопасности, включая прямое использование соответствующих положений. Это
будет способствовать предупреждению возникновения новых зон концентрации источников
компонентов банковских рисков, парированию новых потенциальных угроз интересам кредитных
организаций и их клиентов и повышению надежности банковской деятельности в целом.
Лямин Л.В. Трактовка банковской безопасности и надежности в США:
технологический аспект [Текст] / Л.В.Лямин // Управление в кредитной организации.-2011.-№ 5.
Аналитическая деятельность службы информационной безопасности банка
П.В. Ревенков,
Банк России, департамент банковского регулирования и надзора,
заведующий сектором, к.э.н.
Д.А. Пивоваров,
Банк России, департамент банковского регулирования и надзора,
экономист I категории
Аналитические методы обработки информации успешно используются большинством
подразделений, в чьи функции входит защита информационных ресурсов банка. В статье
рассматриваются вопросы организации аналитической работы в кредитных организациях.
Рассмотрены основные направления деятельности аналитического отдела, действующего в
составе службы информационной безопасности банка, порядок обработки поступающей
информации12.
«Советуй не то, что приятнее, а то, что всего лучше.»
Солон из Афин, древнегреческий философ, один из "семи мудрецов"
Информация является наиболее важным компонентом в процессе принятия управленческих
решений, в том числе и при решении вопросов обеспечения информационной безопасности
кредитных организаций.
Аналитические методы обработки информации успешно используются большинством
подразделений, в чьи функции входит защита информационных ресурсов банка.
Аналитическая деятельность службы информационной безопасности (далее - СИБ) кредитной
организации представляет собой системное получение, анализ и накопление информации с
элементами прогнозирования по вопросам, относящимся к тематике информационной безопасности.
На основе этой информации производится подготовка предложений для руководства кредитной
организации о возможных мерах по противодействию возможным угрозам информационной
безопасности.
12
Настоящая статья выражает исключительно мнение авторов и не отражает позицию Банка России.
57
СИБ проводит аналитическую работу не только с целью предотвращения утраты собственной
информации, но и с целью получения информации о конкурентах. Являясь ядром такого понятия, как
"разведка в бизнесе", аналитическая обработка информации позволяет получать, по различным
оценкам, от 80 до 90% необходимой информации при использовании только открытых источников.
Аналитическое направление деятельности службы информационной безопасности
На основе многолетнего опыта работы в этой области как отечественных, так и зарубежных
специалистов сформировалось мнение, что в силу определенных причин наиболее эффективно
аналитический отдел (далее - АО)13 функционирует как ядро СИБ (рисунок). В первую очередь это
объясняется тем, что основным потребителем аналитически обработанных данных является сама
СИБ как подразделение, наиболее нуждающееся в аналитически обработанных данных, работающее
на опережение и прогнозирование событий.
"
Кроме того, в ходе аналитической работы очень часто используются (или могут быть
получены) конфиденциальные сведения, что также подтверждает рациональность размещения АО в
СИБ. Даже не являющиеся конфиденциальными аналитически обработанные данные представляют
собой наиболее ценные сведения кредитной организации.
АО СИБ вполне можно рассматривать как основного поставщика аналитически обработанной
информации для нужд всех подразделений банка, в том числе подразделений СИБ.
Основной задачей АО становится информационно-аналитическое обеспечение процесса
принятия управленческих решений по различным вопросам деятельности кредитной организации.
Сотрудники банка или его подразделений могут заказать аналитический отчет по интересующему их
13
В зависимости от размеров СИБ это могут быть как отдельно выделенные сотрудники, так и самостоятельные
подразделения.
58
вопросу для принятия более рационального и взвешенного решения.
В этой связи очень важной проблемой становится обеспечение информационной безопасности
аналитически обработанных данных, представляющих собой ценный информационный ресурс банка
наряду с другими конфиденциальными сведениями. Процесс заказа аналитического отчета должен
быть четко регламентирован, чтобы только сотрудники определенного уровня имели право давать
задания АО СИБ банка. Все заказы на аналитические исследования должны фиксироваться, причем
темы исследований должны быть четко определены14. Доступ к аналитически обработанным данным
должен быть, строго ограничен.
Защита информации внутри АО представляет собой крайне сложную задачу, так как
специфика аналитической работы в ряде случаев вступает в прямое противоречие с нормами защиты
информации, принятыми в кредитной организации15. Например, обеспечение такого важного
принципа, как дробление информации, в работе АО в большинстве случаев практически
невозможно, так как сотрудники данного подразделения должны иметь полное представление о
состоянии дел в банке (по тематике обеспечения информационной безопасности).
Сокрытие какой-либо информации от сотрудников АО может подтолкнуть их к ошибочным
выводам, а менеджеров банка - к принятию неверных управленческих решений, что в конечном
счете может привести к существенным денежным убыткам.
Аналитический отдел, являясь ядром СИБ банка, не имеет и не должен иметь властных
функций.
Возможные функции АО:
обеспечение своевременного поступления надежной и всесторонней информации по
интересующим сотрудников банка вопросам;
описание сценариев действий конкурентов, которые могут затрагивать текущие задачи
кредитной организации;
формирование структуры и направления своевременного обновления системы защиты
информации банка;
осуществление постоянного мониторинга событий во внешней конкурентной среде и на
рынке, которые могут иметь значение для интересов кредитной организации и системы защиты
информации банка;
обеспечение безопасности корпоративных информационных ресурсов;
обеспечение эффективного сбора, анализа и распространения информации, исключение
дублирования исходных и производственных данных.
Направления аналитической работы определяются каждой СИБ кредитной организации
самостоятельно и отражают области ее интересов. К основным направлениям аналитической работы,
разрабатываемым во многих СИБ, можно отнести: анализ объекта защиты, анализ угроз, анализ
каналов несанкционированного доступа к информации, анализ комплексной безопасности, анализ
нарушений режима конфиденциальности, анализ подозрений утраты конфиденциальной
информации и т.д.
Направления аналитической работы в СИБ кредитной организации могут быть постоянными,
периодическими и разовыми. Постоянные направления аналитической работы являются наиболее
важными.
Речь идет о документальном закреплении ответственности каждого сотрудника, которому предоставлено
право заказывать аналитические отчеты у СИБ.
15
Имеется в виду строгое разграничение доступа сотрудников кредитной организации к сведениям, отнесенным
к коммерческой тайне банка. В данном случае специалистам АО становятся известны достаточно ценные сведения
кредитной организации, на основании которых принимаются стратегически важные управленческие решения.
14
59
Периодические и разовые направления аналитической работы характеризуются жесткой
зависимостью от постоянных направлений. Промежутки времени, через которые проводятся
исследования в области периодических направлений аналитической работы, всецело зависят от
результатов анализа по постоянным направлениям. Разовые направления аналитической работы не
только жестко зависят от постоянной аналитической работы, но и в подавляющем большинстве
случаев являются следствием результатов таких исследований.
В концептуальном отношении аналитическая деятельность должна представлять собой
длинную систему анализа, контроля и прогнозирования внешней и внутренней ситуаций. Все
направления аналитической работы должны быть связаны определенной логикой взаимодействия.
Результаты исследований в одном направлении должны влиять на ход других исследований таким
образом, чтобы результаты постоянных направлений аналитической работы инициировали
проведение периодических и разовых исследований, а результаты последних не выпали из внимания
специалистов по постоянным направлениям. Следовательно, АО должен быть единой и
взаимосвязанной структурой обеспечения руководства кредитной организации достоверной и
аналитически обработанной информацией, направленной на информационную поддержку принятия
эффективных решений по всем направлениям безопасности бизнеса. Каждая кредитная организация
ведет индивидуальные направления аналитической работы и самостоятельно решает, следует ли
разрабатывать их постоянно, периодически или только по мере надобности. Более того, каждый банк
имеет свои специфические области интересов, в рамках которых проводит аналитические
исследования. Управления аналитической работы могут быть различными, но логика
взаимодействия и система связей между направлениями исследований должны сохраняться.
Наиболее сложными для обнаружения угроз информационной безопасности являются
организационные каналы несанкционированного доступа к защищаемой информации банка,
связанные с так называемым человеческим фактором. Например, трудно обнаружить инициативное
сотрудничество злоумышленника с сотрудником банка (секретарем-референтом, экспертом, сетевым
администратором и др.).
Результаты аналитической работы показывают степень безопасности интеллектуальной
собственности, условий функционирования кредитной организации и являются основой для
построения и совершенствования системы защиты традиционных и электронных информационных
ресурсов банка.
Аналитическое исследование позволяет выработать способы минимизации рисков, связанных
с недостатками в обеспечении информационной безопасности, а также определить ее структуру и
стоимость в соответствии с реальными опасностями, угрожающими ценным информационным
ресурсам кредитной организации.
Уязвимым является любой элемент информационных ресурсов и информационных систем.
Обнаружение действующего или предполагаемого канала несанкционированного доступа к
информации, а также предотвращение его появления возможны только при наличии постоянного
контроля над обеспечением защиты информационных ресурсов банка.
Аналитическая работа по защите информации, которую ведет АО СИБ банка, и аналитическая
работа, которую ведет злоумышленник, предполагают изучение единых объектов, имеющих вполне
ясные форму и содержание (например, изучение источников конфиденциальной информации и
каналов ее санкционированного распространения). Результаты аналитической работы
злоумышленника являются тайной, поэтому, зная узкие места в системе защиты информации
кредитной организации, можно сделать обоснованные выводы о его намерениях и своевременно
организовать противодействие его угрозам. Другие пути носят пассивный характер ожидания
случайной ошибки в тайных действиях злоумышленника.
60
Также надо обратить внимание, что обнаружение канала (каналов) несанкционированного
доступа к ценным информационным ресурсам банка входит в число постоянных направлений
аналитической работы и в общем виде включает в себя:
- анализ источников конфиденциальной информации;
- анализ каналов объективного распространения информации;
- аналитическую работу с источником угрозы информации.
Аналитическое исследование источников конфиденциальной информации предусматривает:
- выявление и классификацию существующих и возможных конкурентов банка,
криминальных структур и отдельных преступных элементов, интересующихся деятельностью
кредитной организации;
- выявление и классификацию максимально возможного числа источников конфиденциальной
информации банка;
- выявление, классификацию и ведение перечня реального состава циркулирующей в
кредитной организации конфиденциальной информации16;
- изучение данных учета осведомленности сотрудников банка с конфиденциальной
информацией в разрезе каждого руководителя и сотрудника структурного подразделения кредитной
организации;
- изучение состава конфиденциальной информации в разрезе документов17;
- учет и изучение выявленных внутренних и внешних, потенциальных и реальных (пассивных
и активных) угроз каждому отдельному источнику информации, контроль процесса формирования
канала несанкционированного доступа к информации;
- ведение и анализ полноты перечня защитных мер, предпринятых по каждому источнику, и
защитных мер, которые могут быть использованы при активных действиях злоумышленника,
заблаговременное противодействие злоумышленнику.
Обязательному учету подлежат все санкционированные и несанкционированные обращения
сотрудников банка к конфиденциальной информации, документам, делам и базам данных.
По отношению к каналам объективного распространения защищаемой информации
(управленческие и производственные действия, функциональные связи персонала, документопотоки,
информационные сети, технические каналы излучения информации и т.п.) проводится следующее
аналитическое исследование:
выявление и классификация реального максимального состава каналов объективного
распространения конфиденциальной информации в банке (далее - канал);
изучение составных элементов каждого канала с целью выявления опасных участков, которые
могут быть использованы для несанкционированного доступа к конфиденциальной информации;
исследование и обобщение способов и сферы распространения информации в каждом канале;
изучение (учет) состава конфиденциальной информации, циркулирующей в каждом канале;
изучение (учет) состава конфиденциальной информации, циркулирующей между
источниками;
изучение сферы распространения информации при коммуникативных связях кредитной
организации (по конкурентам, средствам массовой информации, выставкам, рекламным изданиям и
т.п.);
16
Целесообразно составлять данный перечень в разрезе источников, обеспечиваемых функций и видов работы с
указанием носителей информации: бумажных документов, CD, флеш-накопителей и т.д.
Имеется в виду изучение правильности разделения сведений, составляющих коммерческую и служебную
тайну, между документами и определение избыточности ценной информации в документах.
17
61
контроль и перекрывание каналов несанкционированного ознакомления с информацией
ограниченного доступа для третьих лиц;
исследование состава и эффективности методов защиты, предпринятых по каждому каналу, и
дополнительных мер противодействия злоумышленнику при активных угрозах и (или)
экстремальных ситуациях.
Анализ угроз является одним из самых важных разделов аналитической работы и
представляет собой ответ на вопрос, от чего или от кого следует защищать конфиденциальную
информацию. Источники угрозы конфиденциальной информации - объективные и субъективные
события, явления, факторы, действия и обстоятельства, содержащие опасность для ценной
информации.
К объективным источникам можно отнести чрезвычайные ситуации, технические сбои в
работе аппаратно-программного обеспечения банковских информационных систем и др.
Субъективные источники связаны с человеческим фактором и включают действия
злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированного или
безответственного персонала, сотрудников, обиженных руководством банка, и др.
Аналитическая
работа
с
источником
угрозы
конфиденциальной
информации
предусматривает:
- выявление и классификацию максимального состава источников угрозы конфиденциальной
информации;
- учет и изучение каждого отдельного субъективного внутреннего и внешнего источника,
степени его опасности (анализ риска) при реализации угрозы;
- разработку превентивных мероприятий по локализации и ликвидации объективных угроз.
В области внешних источников угрозы аналитическая работа связана с маркетинговыми
исследованиями, которые регулярно ведет любой банк. Анализ внутренних источников угрозы имеет
целью выявление и изучение недобросовестных интересов и злоумышленных устремлений
отдельных сотрудников кредитной организации и деловых партнеров. В процессе анализа
источников выявляются факты получения злоумышленником секретов банка, факты сотрудничества
персонала кредитной организации с конкурентами или наличия в составе сотрудников банка
злоумышленника.
Контрольная и аналитическая работа, как правило, проводится при потенциальных и
пассивных угрозах источникам и каналам распространения информации. При активной угрозе
одновременно осуществляется заранее спланированное, продуманное и решительное
противодействие злоумышленнику.
В ряде случаев более эффективно основывать анализ не на выявлении и рассмотрении всех
объектов защиты и каналов распространения информации, а на выявлении лица, которое
заинтересовано в реализации каких-либо угроз. Этот метод позволяет не только более четко
спрогнозировать дальнейшие действия этого лица, но и оценить границы его действий и
материальные возможности. Сначала нужно выяснить, кто является злоумышленником и что ему
нужно, затем, исходя из имеющихся у него средств и возможностей, будет гораздо легче
спрогнозировать, как именно он попытается достигнуть своей цели. Однако не следует забывать и о
том, что достаточно серьезную угрозу могут представлять и субъекты (объекты), не
заинтересованные в нанесении ущерба кредитной организации18.
Сотрудники АО СИБ банка должны учитывать все каналы несанкционированного доступа к
Анализ таких возможностей злоумышленника очень помогает при составлении "модели угроз" со стороны
возможного нарушителя.
18
62
конфиденциальной информации, выявлять, определять наиболее вероятные из них и контролировать
их. С этой целью сотрудники АО должны принимать непосредственное участие в мероприятиях, в
ходе которых есть вероятность разглашения конфиденциальной информации кредитной
организации.
Сотрудники АО должны быть неплохими психологами и обладать навыками проведения
опросов, анкетирования и различных тестов среди персонала банка.
Аналитически обработанные сведения вносятся в электронную базу данных. Аналитические
отчеты по каждому направлению представляются с определенной периодичностью. В любой момент
времени по требованию руководства СИБ банка АО должен быть в состоянии представить сводный
обзор по всем направлениям. При выявлении каких-либо подозрений или угроз сразу же ставится в
известность руководитель СИБ (при этом аналитический отчет готовится в кратчайшие сроки).
Не менее важными являются и так называемые периодические направления аналитической
работы, которые проводятся через определенные промежутки времени с целью контроля
эффективности и возможности внесения улучшений в действующую в кредитной организации
систему защиты информации. К такому виду направления аналитической работы прежде всего
относится анализ степени безопасности кредитной организации. Очевидно, что постоянная и
каждодневная аналитическая работа по данному направлению не имеет смысла. Вполне достаточно
проводить анализ через определенные, специально установленные промежутки времени. Это
направление аналитической работы находится в прямой зависимости от анализа состава угроз постоянного направления аналитической работы. Именно результаты аналитической работы по
выявлению угроз позволяют установить рациональную периодичность анализа эффективности
структуры действующей системы безопасности банка и его информационных ресурсов. Так, при
появлении дополнительных угроз аналитическую работу (включающую проверки, контрольные
мероприятия и т.п.) следует проводить более часто.
Разовые направления аналитических исследований также являются очень важными в силу
того факта, что чаще всего бывают вызваны чрезвычайными обстоятельствами, происшествиями,
неожиданно появившимися проблемами и т.п. Типичным примером разового направления
аналитической работы является проверка подозрения утраты конфиденциальной информации
кредитной организации.
Все направления аналитической работы независимо от их типа, в том числе имеющие разовый
характер, должны быть связаны в единую систему, позволяющую эффективно принимать решения,
предотвращать угрозы и прогнозировать развитие событий (т.е. "работать на опережение").
Ведение аналитической работы возможно только при наличии необходимой информации,
поэтому в первую очередь нужно определить, какая именно информация будет необходима
аналитикам для работы, где можно ее получить и какие источники использовать. Как правило,
получение информации не относится непосредственно к аналитической работе, тем не менее вопрос
определения круга исходной информации, а также мест и способов ее получения должен решаться
непосредственно сотрудниками АО.
Этапы предварительного анализа информации
Интерпретация информации является первым этапом предварительного анализа. Под
интерпретацией подразумевается выявление истинного значения той или иной информации19.
Язык, используемый для описания информации, может допускать неоднозначность ее
понимания. Это создает определенные трудности при интерпретации вербальной информации, но в
19
В первую очередь это относится к вербальной информации.
63
этом случае истинный смысл можно понять из контекста. Информация, которая хранится в
персональных компьютерах, как правило, лишена контекста, поэтому ошибочная интерпретация
становится гораздо более вероятной. Эксперты определяют цену информации через те действия,
которые могут быть предприняты в результате знания этой информации.
Вся информация подразделяется на факты, личные мнения и аналитически обработанные
данные. Смешивание или неправильное определение этих различных по своей сути видов
информации может приводить к ошибкам в интерпретации и, как следствие, к принятию
неправильных решений. Следовательно, процесс интерпретации требует максимальной
осторожности и тщательности. В каждом конкретном случае необходимо выявить истинный смысл
поступившей информации. Здесь аналитики сталкиваются с такой проблемой, как выделение не
относящейся к делу информации.
Избыток информации, так же как и ее недостаток, представляет собой серьезную проблему и
затрудняет проведение аналитической работы. На этом этапе существует опасность отбросить
важную информацию. Как правило, это может произойти в случае неправильной интерпретации
сведений. Кроме того, аналитики могут стремиться хранить не относящуюся напрямую к делу
информацию в надежде, что она может пригодиться в будущем. Такая информация должна
заноситься в базу данных АО таким образом, чтобы впоследствии ее можно было легко найти. С
созданием такой базы данных и ее постоянным пополнением задача поиска и сбора исходной
информации для анализа будет значительно облегчена20.
Следующий этап - оценка информации. Под оценкой понимается метод ранжирования
источников информации, самой информации и способов ее получения:
а) оценка источника:
- надежный источник;
- обычно надежный источник;
- довольно надежный источник;
- не всегда надежный источник;
- ненадежный источник;
- источник неустановленной надежности;
б) оценка информации:
- подтвержденная другими фактами;
- вероятно правдивая (75%);
- возможно правдивая (50%);
- сомнительная (25%);
- неправдоподобная;
- достоверность не поддается определению;
в) оценка способа получения информации источником:
- получил информацию сам (сам видел, слышал и т.п.);
- получил информацию через постоянный источник (через информатора, открытые источники
и т.п.);
- получил информацию через разовый источник (случайно подслушанный разговор, слухи и
т.п.).
На этапе оценки следует устанавливать, насколько информация соответствует истине. Нельзя
Тем не менее избыток информации представляет собой серьезную проблему, так как значительно замедляет
ведение аналитической работы, старение и обесценивание информации может происходить очень быстро. Кроме того,
избыток не относящейся к делу информации является для руководителя АО сигналом того, что поиск и сбор информации
организованы неэффективно.
20
64
забывать и о дезинформации со стороны враждебно настроенных конкурентов, цель которых максимально исказить истинное положение дел и тем самым привести к неверным управленческим
решениям.
В качестве страховочных мер всегда нужно иметь дублирующие источники, использовать
дублирующие каналы связи и стараться исключать все лишние промежуточные звенья передачи
информации.
Следующим этапом является построение предварительных версий, объясняющих место
основных полученных фактов в цепи событий. Первым шагом является составление списка
сведений, приготовленных для анализа. Полученные сведения должны быть четко
классифицированы по степени достоверности источника, самих сведений и способа их получения.
Самые свежие и полные сведения должны рассматриваться в первую очередь. В перечне сведений,
приготовленных для анализа, наиболее важные сведения специально помечаются. Материалы с
пометками "источник неустановленной надежности" и "достоверность не поддается определению"
откладываются и не участвуют в анализе без крайней необходимости.
На этом этапе возникает одна из самых серьезных проблем аналитической работы противоречия в сведениях. Для ее преодоления необходимо сравнить оценки информации и
источника, даты получения спорных сведений. Решающее значение имеют интуиция, знания и опыт
самого сотрудника, проводящего анализ. Конфликты в информации должны быть устранены в
процессе анализа, для их разрешения собирается дополнительная информация, что соответствует
следующему этапу аналитической работы. Если решение, которое будет принято на основе
аналитически обработанной информации, является очень важным и нет возможности получить
дополнительную информацию для устранения противоречий, то окончательный выбор возлагается
на лиц, ответственных за принятие решения. Тем не менее, общая доля таких ситуаций должна
сводиться к минимуму, так как это свидетельствует о неудовлетворительной работе АО.
Следующим этапом является определение потребности в дополнительной уточняющей
информации, а также выяснение, какая именно информация необходима и почему. На этом этапе
выявляются пробелы в информации. Часть пробелов может быть быстро установлена, так как
является результатом недостаточного исследования, другая же часть пробелов в информации может
и не быть обнаружена аналитиком, потому что упущена на этапе сбора сведений. Очевидно, что
второй вид пробелов в информации является гораздо более опасным.
Необходимо четко различать понятия "неполная информация" и "пробел в информации".
Неполная информация означает отсутствие не имеющих особой важности сведений, что является
естественным, так как никогда нельзя получить абсолютно все сведения. Более того, такая
информация была бы избыточной и осложнила бы анализ. Пробел же в информации подразумевает
отсутствие сведений, являющихся ключевыми в данной ситуации или необходимыми для устранения
противоречий. Такие сведения крайне важны для проведения анализа.
После выполнения предыдущих этапов приступают к подготовке аналитического отчета по
заданным вопросам. Подготовка отчетов является основной обязанностью аналитика, а готовый
отчет представляет собой результат функционирования системы аналитической работы. Отчеты
могут быть представлены как в письменном, так и в устном виде.
В зарубежной литературе выделяют три основных вида аналитических отчетов21.
Первый вид называют тактическим (оперативным) отчетом. К этому типу относятся
экстренные отчеты по какому-либо вопросу небольшого объема, которые необходимы для срочного
принятия решения. При этом аналитика редко знакомят с причиной или целью данного задания.
21
См.: Корнеев И.К., Степанов Е.А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.
65
Такие отчеты составляются по разовым направлениям аналитической работы.
Второй вид составляют стратегические отчеты. Они содержат более полную информацию и в
меньшей степени ограничены по срокам. В них включаются подробная предыстория данной
проблемы и прогноз ее дальнейшего развития, причем для построения реалистичной гипотезы
анализируется вся предшествующая информация по данной теме. Отчеты такого типа соответствуют
постоянным направлениям аналитической работы.
Третий вид представлен периодическими отчетами, основной отличительной особенностью
которых является то, что они готовятся по графику. Интервалы между сроками предоставления
составляют дни, недели или месяцы. Как правило, такой вид отчетов готовится по проблемам,
являющимся объектом постоянного пристального внимания со стороны АО.
Все письменные отчеты должны содержать глубокий анализ и быть представлены в
регламентированной (типовой, унифицированной) форме. Потребителями аналитических отчетов
являются ответственные за планирование и принятие решений лица, которые вправе предъявлять
определенные требования к содержанию и оформлению отчетов. Аналитический отчет должен быть
четко, логично и грамотно составлен.
Используется, как правило, следующая форма изложения данных аналитического отчета:
1. Заключение. В заключении должны содержаться ответы на следующие вопросы: какова
степень важности полученной информации; каково ее значение для принятия конкретных решений;
идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т.п. Факты и
сведения, на основе которых получены результаты анализа, не должны смешиваться с самими
результатами.
2. Рекомендации. Должны быть указаны конкретные направления дальнейших действий
службы безопасности и других структурных подразделений для улучшения системы безопасности,
предотвращения угроз безопасности информации, принятия наиболее эффективных решений и т.п.
3. Обобщение информации. Изложение самой существенной информации без излишней
детализации.
4. Источники и надежность информации. Должны быть указаны предполагаемые оценки
надежности данных и источника на момент написания отчета, так как для принятия решений
необходимо оценить надежность материалов, являющихся их базой.
5. Основные и альтернативные гипотезы. Обязательно должны указываться рассмотренные в
ходе анализа наиболее вероятные гипотезы, что помогает принимать более взвешенные и адекватные
решения, а также позволяет еще раз оценить правильность выбранной гипотезы.
6. Недостающая информация. Четко указывается, какая именно дополнительная информация
необходима для подтверждения окончательной гипотезы и принятия решения.
Описанная структурная схема проведения аналитического исследования позволяет
предоставить в распоряжение пользователя, принимающего решение, структурированный массив
ценной информации, отражающей с определенной степенью достоверности ситуацию с
обеспечением информационной безопасности кредитной организации.
Использование аналитических отчетов
Основным назначением всех аналитических методов являются обработка полученных
сведений, установление взаимосвязи между фактами, выявление значения этих связей и выработка
конкретных предложений на основе достоверной и полной, аналитически обработанной
информации. Существует широкий спектр специальных методов анализа: графические, табличные,
матричные и т.п. - например, диаграммы связи и матрицы участников, схемы потоков данных,
66
временные графики, графики анализа визуальных наблюдений VIA (visual investigative analysis) и
графики оценки результатов PERT (program evaluation review technique). Тем не менее следует
отметить, что у каждого аналитика есть свой собственный метод анализа, который может быть как
комбинацией вышеперечисленных методов, так и сугубо индивидуальным, уникальным методом
аналитической работы.
С помощью диаграмм связей выявляется наличие связи между субъектами, вовлеченными в
конкретную ситуацию, подвергающуюся анализу, а также области общения, соприкосновения этих
субъектов. На диаграмме связей отмечают как наиболее прочные, так и вспомогательные связи
между субъектами. Анализируются все связи без исключения, так как в ходе развития событий и
получения дополнительной информации вспомогательные связи могут выступить на первый план.
Схемы потоков информации позволяют оценить то, каким образом происходят события. С их
помощью можно анализировать пути движения информации среди субъектов анализа, то есть
оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между
субъектами, используя определенную, специально подготовленную информацию как индикатор.
Метод применим для отображения, например, физических процессов, взаимодействия юридических
и физических лиц.
Временные графики используются для регистрации событий. Такая форма представления
данных помогает не только эффективнее анализировать события, но и более рационально
планировать меры противодействия.
Графики анализа визуальных наблюдений VIA являются составной частью графиков оценки
результатов PERT. Оба графика составляются по принципу разбивки сложной операции на
составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных
странах графики VIA и PERT применяются для анализа тяжких преступлений и террористической
деятельности, а также для повышения эффективности работы предприятий.
В последнее время для аналитической работы все чаще применяются так называемые
экспертные системы (expert systems), которые, являясь практическим приложением искусственного
интеллекта, оказывают огромную помощь при анализе, а в ряде случаев могут даже заменить собой
аналитика. Они представляют собой класс компьютерных программ, которые выдают советы,
проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные
системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику
причину той или иной рекомендации и последовательность анализа. Широкое использование таких
систем в зарубежных странах объясняется тем фактом, что аналитические задачи, как и все задачи,
требующие дедуктивных рассуждений, решаются компьютером не хуже, чем человеком, а в ряде
случаев - быстрее и надежнее. В отличие от человека-аналитика у экспертных систем нет
предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов.
Такие системы работают систематизированно, рассматривая все детали, выбирая наилучшую
альтернативу из всех возможных.
Результаты аналитических исследований являются основой построения и регулярной
актуализации комплексной технологической системы защиты информации конкретного банка.
Ревенков П.В. Аналитическая деятельность службы информационной безопасности банка
[Текст] / П.В.Ревенков, Д.А.Пивоваров // Управление в кредитной организации.-2011.-№4.
67
Стандарт информационной безопасности.
Актуальные вопросы использования средств криптографической защиты
информации в банковской деятельности
В. Рыбалов,
заместитель начальника Управления безопасности
и защиты информации Московского ГТУ Банка России
А. Семенов,
начальник отдела ключевых систем
А. Тиньков,
заместитель начальника отдела ключевых систем
Использование современных информационных технологии в банковской сфере вызвало рост
числа задач, требующих повышения уровня защиты информации. Основой для оценки состояния
информационной безопасности в кредитных организациях является Стандарт Банка России,
положения которого определены законодательством Российской Федерации и нормативными
правовыми актами Банка России.
Одной из составных частей деятельности кредитных организаций является представление
отчетности в Банк России и передача сведений в федеральные службы в виде электронных
сообщений (далее - ЭС), представляющих собой совокупность данных, соответствующую
установленному Банком России электронному формату и пригодную для однозначного восприятия
содержания ЭС.
Передача ЭС потребовала повышения уровня информационной безопасности, вызвала
необходимость обеспечения ее целостности, достоверности и конфиденциальности при передаче по
каналам связи.
В настоящее время для решения указанных задач Банком России применяется система
криптографической защиты информации (СКЗИ). Основными областями применения СКЗИ в
кредитных организациях является обмен информационными и платежными электронными
документами по сетям Банка России и собственным системам дистанционного банковского
обслуживания. При этом использование ключей кодов аутентификации СКЗИ обеспечивает
целостность и достоверность ЭС, а использование ключей шифрования - их конфиденциальность.
Порядок представления в Банк России отчетности в виде ЭС, снабженных кодом
аутентификации, определяется Указанием Банка России N 1546-У от 24 января 2005 года. Порядок
представления сведений в федеральные службы установлен следующими Положениями Банка
России:
- N 308-П от 20 июля 2007 года "О порядке передачи уполномоченными банками
информации о нарушениях лицами, осуществляющими валютные операции, актов валютного
законодательства Российской Федерации и актов органов валютного регулирования" - в
Федеральную службу финансово-бюджетного надзора;
- N 311-П от 7 сентября 2007 года "О порядке сообщения банком в электронном виде
налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета" - в
Федеральную налоговую службу;
- N 321-П от 29 августа 2008 года "О порядке представления кредитными организациями в
уполномоченный орган сведений, предусмотренных ФЗ "О противодействии легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма" - в
68
Федеральную службу по финансовому мониторингу;
- N 322-П от 9 октября 2008 года "О порядке направления в банк решения налогового органа
о приостановлении операций по счетам налогоплательщика-организации в банке или решения об
отмене приостановления операций по счетам налогоплательщика-организации в банке в электронном
виде через Банк России" - в Федеральную налоговую службу;
- N 361-П от 15 ноября 2010 года "О порядке сообщения банком в электронном виде органу
контроля за уплатой страховых взносов об открытии или о закрытии счета, об изменении реквизитов
счета" - в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской
Федерации и Федеральную налоговую службу.
С мая этого года вступило в действие Положение Банка России N 364-П от 29 декабря
2010 года "О порядке передачи уполномоченными банками и территориальными учреждениями
Банка России в таможенные органы для выполнения ими функций агентов валютного контроля
информации по паспортам сделок по внешнеторговым договорам (контрактам) в электронном виде".
Таким образом, область решения задач, требующих использования СКЗИ, постоянно расширяется.
По данным на начало 2011 года, в московском регионе передавали отчетность в виде ЭС 525
кредитных организаций и 197 филиалов, из которых 80 филиалов банков московского региона и 117
- филиалов региональных банков (рис. 1).
69
При передаче электронных сообщений в московском регионе используется СКЗИ "ВербаOW". Порядок ее эксплуатации определен Договором между кредитной организацией и Банком
России о приеме-передаче отчетности в виде электронных сообщений (далее - Договор), в
соответствии с которым управление ключевой системой в московском регионе возложено на Центр
управления ключевыми системами (ЦУКС) Московского ГТУ Банка России.
Основные задачи ЦУКС:
- распределение ключевого пространства;
- регистрация ключей КО;
- исключение ключей КО из сети;
- организация плановых и внеплановых смен ключей КО.
Этапы передачи программного обеспечения (ПО) СКЗИ "Верба-OW", разрешения на
использование СКЗИ, лицензионных ключевых документов, а также изготовления и регистрации
ключей кодов аутентификации и шифрования для передачи отчетности в Московское ГТУ Банка
России представлены на схеме.
Ключи шифрования для взаимодействия с федеральными службами кредитные организации
установленным порядком также получают в ЦУКС. Порядок подготовки ЭС и применения ключевой
информации при передаче отчетности в Московское ГТУ Банка России регламентирован Указанием
Банка России N 1546-У от 24 января 2005 года, а при передаче сведений в федеральные службы соответствующими Положениями Банка России.
Практика показывает, что большинство банков, использующих СКЗИ, выполняют требования
нормативных документов Банка России. Вместе с тем выявлен ряд типовых нарушений, на которые
хотелось бы обратить внимание руководителей кредитных организаций.
Так, в соответствии с Договором смена администратора безопасности СКЗИ относится к
фактам безусловной компрометации ключевых документов. О смене (увольнении) администратора
70
руководство кредитной организации обязано своевременно проинформировать ЦУКС Московского
ГТУ Банка России и провести внеплановую смену ключевых документов. Однако в 2010 году восемь
кредитных организаций сменили администраторов СКЗИ с нарушением порядка, установленного
требованиями Договора.
Нередко также возникает ситуация, когда прежний администратор уволен, а новый еще не
назначен. Такое "патовое" положение исключает возможность передачи дел надлежащим образом и
значительно усложняет процесс создания и использования новых ключевых документов.
Несоблюдение требований Договора в части смены ключевой информации при увольнении
администраторов СКЗИ создает угрозы, связанные с несанкционированными действиями со стороны
утративших полномочия администраторов, а также возможности формирования фиктивной
отчетности и блокирования работы кредитной организации по передаче электронных сообщений.
Рис.3.
Сообщения о проведении плановых замен ключевых документов и программного обеспечения
доводятся до кредитных организаций информационными письмами Московского ГТУ Банка России.
Направляются они в электронном виде по Автоматизированной системе электронного
взаимодействия, а также на бумажном носителе. Но до администраторов СКЗИ эта информация
подчас не доводится. В результате возникают задержки в проведении плановой смены ключевой
информации и передаче электронных сообщений в адрес Банка России. В прошлом году такие
нарушения допустила 31 кредитная организация.
Устойчивая работа СКЗИ во многом зависит от уровня подготовки ее администратора: в его
обязанности входит генерация ключевой информации, организация рабочих мест пользователей и
т.д. Но в некоторых кредитных организациях эти обязанности возложены на сотрудников, не
имеющих технического образования и соответствующей квалификации. В результате к эксплуатации
СКЗИ необоснованно привлекаются лица, не имеющие допуска к указанной работе. Это создает
риски компрометации ключевой информации и приостановки приема отчетности.
И еще об одном типичном нарушении. В соответствии с требованиями к эксплуатации СКЗИ
вырабатываемая ключевая информация должна записываться на маркированные учтенные носители,
а после плановой смены вся информация с закрытыми ключами должна быть уничтожена. К
71
сожалению, в ряде кредитных организаций это требование игнорируется, а в итоге при передаче
отчетности используется устаревшая или не предназначенная для этих целей ключевая информация.
Практика показывает, что обеспечение информационной безопасности - работа системная, и
прежде всего она связана с реализацией требований стандартов и безусловным соблюдением правил
применения СКЗИ. Только в этом случае можно предупредить возможные угрозы и уязвимости
информационной безопасности.
Рыбалов В. Стандарт информационной безопасности. Актуальные вопросы использования
средств криптографической защиты информации в банковской деятельности [Текст] / В.Рыбалов,
А.Семенов, А.Тиньков // БДМ. Банки и деловой мир.-2011.-№ 9.
Гроза угроз.
Практические аспекты создания ситуационных центров управления
информационной безопасностью
В. Сердюк,
генеральный директор компании "ДиалогНаука",
к.т.н., CISSP
В настоящее время для комплексной защиты от возможных угроз необходимо использовать
различные средства безопасности, включая межсетевые экраны, антивирусы, системы защиты от
спама, системы обнаружения атак, сканеры безопасности, средства защиты от утечки
конфиденциальной информации и др. Однако вместе с ростом количества средств защиты
существенно увеличивается и объём информации, которую должен обработать администратор
безопасности, с тем, чтобы своевременно выявить инциденты информационной безопасности и
отреагировать на них. Для повышения эффективности управления инцидентами ИБ компании всё
чаще приходят к необходимости внедрения полноценного ситуационного центра управления
информационной безопасностью (ЦУИБ). В данной статье будут рассмотрены некоторые
аспекты создания такого центра.
Понятие ситуационного центра управления ИБ
ЦУИБ предназначены для автоматизации процесса сбора и анализа информации о событиях
безопасности, поступающей из различных источников. Как правило, подобные центры
функционируют круглосуточно и позволяют анализировать данные, поступающие от средств защиты
информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других
источников. ЦУИБ включает в себя следующие компоненты:
- программно-техническую часть - реализуется на основе решений по мониторингу событий
безопасности (SIEM, Security Information and Event Management);
- документационную часть - включает в себя набор документов, описывающих основные
процессы, связанные с выявлением и реагированием на инциденты безопасности;
- кадровую составляющую - подразумевает выделение сотрудников, ответственных за работу
с центром управления ИБ.
Программно-техническая часть ЦУИБ состоит из следующих компонентов:
- агентов мониторинга, предназначенных для сбора информации, поступающей от различных
источников событий, включающих в себя средства защиты, общесистемное и прикладное ПО,
телекоммуникационное обеспечение и др.;
72
- сервера событий, обеспечивающего централизованную обработку информации о событиях
безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами,
которые задаются администратором безопасности;
- хранилища данных, содержащего результаты работы системы, а также данные, полученные
от агентов;
- консоли управления системой, позволяющей в реальном масштабе времени просматривать
результаты работы системы, а также управлять её параметрами.
Типовая структура системы мониторинга информационной безопасности показана на рисунке
1.
Рис 1.Структура системы мониторинга информационной безопасности
В настоящее время наибольшее распространение получили следующие коммерческие
системы мониторинга событий информационной безопасности: ArcSight, Cisco MARS, RSA Envision,
NetForensics, NetIQ, Symantec и др. Необходимо отметить, что, кроме коммерческих, существуют и
бесплатные системы мониторинга с открытым кодом. Примером такой системы является продукт
Prelude Universal SIM.
Документационная часть ЦУИБ предполагает разработку пакета нормативных документов по
управлению инцидентами безопасности. Как правило, для этого формируется политика управления
инцидентами ИБ (рис. 2), которая определяет классификацию инцидентов, общий порядок
реагирования на них, ответственность за реализацию данного документа и др. На основе этой
политики для каждого из видов инцидентов безопасности разрабатывается отдельный регламент,
описывающий детальный порядок реагирования на различные виды инцидентов. Необходимо
отметить, что разрабатываемые документы должны определять процедуры взаимодействия центра
управления информационной безопасностью с другими подразделениями, например с центром
сетевого управления (Network Operation Center, NOC) и т.д.
Рис. 2.
Структура документационного обеспечения по расследованию инцидентов безопасности
73
Кадровая составляющая ЦУИБ предполагает выделение различных ролей, ответственных за
сопровождение центра. Как правило, в составе ЦУИБ имеются следующие роли:
- системный администратор, отвечающий за поддержку общесистемного аппаратного
обеспечения ЦУИБ;
- администратор безопасности, обеспечивающий управление и настройку параметров
функционирования ЦУИБ;
- оператор, выполняющий задачи просмотра результатов работы ЦУИБ и реализации базовых
функций реагирования на типовые инциденты;
- аналитик, обеспечивающий анализ и реагирование на сложные виды инцидентов.
Основные этапы создания ЦУИБ
Процесс внедрения любой системы мониторинга событий информационной безопасности
включает в себя указанные ниже основные этапы.
1. Обследование автоматизированной системы. В рамках обследования проводится
идентификация основных источников событий безопасности, определяются технологии сбора,
хранения и обработки данных. По результатам обследования формируются требования к архитектуре
и функциональным возможностям системы мониторинга.
2. Разработка технического проекта. В нём описываются конфигурация оборудования и
программного обеспечения, порядок внедрения, схема информационных потоков, требования к
внешнему окружению системы мониторинга и т.д.
3. Обучение сотрудников. Эти сотрудники должны будут отвечать за эксплуатацию системы
мониторинга информационной безопасности.
4. Создание пилотного района для тестового внедрения системы мониторинга. Если
объектом мониторинга является территориально распределённая система, охватывающая несколько
филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное
подразделение, на котором можно апробировать решения, описанные в техническом проекте.
5. Промышленное внедрение системы мониторинга. Внедрение проводится с учётом
результатов, полученных в процессе тестового внедрения системы мониторинга.
6. Техническое сопровождение системы мониторинга.
Рассмотрим некоторые из этапов создания ЦУИБ более подробно.
Процесс создания ЦУИБ начинается с обследования, в процессе которого выполняются
следующие действия:
- проводится сбор информации об источниках, которые необходимо подключить к ЦУИБ;
- для каждого источника определяется и согласовывается список действий и событий,
мониторинг которых будет проводиться;
- определяется перечень соответствующих режимов аудита, которые необходимо включить на
74
уровне источника;
- определяется объём событий, поступающих со всех типов источников, подключённых к
системе мониторинга.
Как правило, на этапе создания ЦУИБ подразделение информационной безопасности
старается подключить систему мониторинга к наибольшему количеству источников и получить от
них максимальный объём данных. Однако необходимо принимать во внимание тот факт, что если
включить все возможные режимы аудита, то это может привести к значительному увеличению
нагрузки на серверы, с которых получается информация, и, как следствие, к нарушению их
работоспособности. Именно поэтому одной из задач на этапе обследования является поиск
компромисса между желанием подразделения ИБ получать и обрабатывать максимальный объём
информации и реальной возможностью подразделения ИТ её предоставить.
Ещё одной важной задачей, которая должна решаться на этапе обследования, является
определение тех инцидентов, которые будут выявляться в процессе работы ЦУИБ. Для этого
осуществляется определение:
- типов основных инцидентов ИБ;
- списка событий, которые ведут к инциденту ИБ;
- источника инцидента ИБ;
- рисков, связанных с инцидентами ИБ (для рисков расставляются приоритеты).
Решение данных задач позволит точно определить цели и задачи обработки данных о
событиях безопасности, которые поступают в систему мониторинга.
На основе результатов, полученных на этапе обследования, производится проектирование
ЦУИБ. На этапе проектирования решаются следующие задачи:
- разрабатывается архитектура системы мониторинга (состав и размещение компонентов) с
учётом требований по отказоустойчивости и обеспечению надёжности;
- определяются функциональные требования к системе мониторинга событий
информационной безопасности;
- разрабатываются общесистемные решения по эксплуатации и управлению системой
мониторинга;
- определяется порядок установки и настройки системы мониторинга.
По результатам проектирования осуществляется закупка программного и аппаратного
обеспечения, необходимого для функционирования ЦУИБ. Далее следуют установка и настройка
компонентов ЦУИБ, включающие в себя:
- установку аппаратной и программной составляющих системы мониторинга;
- контроль установки режимов аудита на всех источниках событий, подключаемых к системе
мониторинга;
- настройку системы мониторинга (группировку источников событий, настройку параметров
архивирования и резервирования базы событий и др.);
- разработку эксплуатационной документации на систему мониторинга (инструкций
оператору, администратору и т.д.).
Необходимо отметить, что внедрение и правильная настройка ЦУИБ позволяют получить
возможность использования показателей KPI для оценки эффективности работы подразделения
информационной безопасности. Ниже приведены примеры таких показателей KPI.
KPI персонала SOC: количество кейсов, открытых аналитиком по категориям; количество
открытых кейсов по отношению к количеству событий и т.д.; количество событий, обработанных
аналитиком.
KPI SOC: общее количество открытых кейсов по приоритету; количество закрытых кейсов и
75
т.д.
KPI инфраструктуры SOC: общее количество собранных событий; объём свободного
дискового пространства и т.д.
Информационные KPI: наиболее опасные угрозы, наиболее атакуемые объекты и т.д.
Далее мы рассмотрим функциональные возможности системы мониторинга на примере
продукта ArcSight ESM. Необходимо отметить, что, согласно исследованиям аналитических
компаний IDC и Gartner, именно ArcSight занимает одну из лидирующих позиций среди компаний производителей систем мониторинга информационной безопасности.
Функциональные возможности ArcSight ESM
Система мониторинга и корреляции событий ArcSight ESM позволяет собирать и
анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных
систем, прикладного программного обеспечения и др. Данная информация собирается в едином
центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке
событий, связанных с информационной безопасностью. Результаты анализа в режиме реального
времени предоставляются администраторам безопасности в виде, удобном для принятия решений по
реагированию на инциденты безопасности.
Технология функционирования ArcSight ESM предусматривает разделение процесса
обработки событий безопасности на пять основных этапов: фильтрацию, нормализацию,
агрегирование, корреляцию и визуализацию.
В процессе фильтрации система удаляет события, которые не имеют прямого отношения к
обеспечению информационной безопасности. На этапе нормализации события приводятся к единому
формату сообщений ArcSight ESM. Агрегирование позволяет удалить повторяющиеся события,
описывающие один и тот же инцидент. Благодаря этой процедуре можно значительно сократить
объём информации, который хранится и обрабатывается в системе мониторинга. Сформированные
сообщения затем обрабатываются при помощи механизмов корреляции, основанных на
статистических методах, а также правилах встроенной экспертной системы. И наконец, ArcSight
ESM выдаёт полученные результаты на централизованную консоль, работающую в режиме
реального времени.
ArcSight ESM позволяет администраторам безопасности сфокусироваться на реальных
угрозах безопасности сети, обеспечивая их средствами, позволяющими оперативно реагировать на
эти угрозы.
Информационные ресурсы интегрируются в систему мониторинга в качестве источников
сообщений о событиях информационной безопасности с помощью так называемых коннекторов
(агентов).
Архитектура ArcSight ESM реализуется на основе трёхуровневой модели, включающей в себя
сервер базы данных, сервер обработки сообщений и консоль управления системой (рис. 3).
76
Для визуализации результатов работы системы используется консоль администратора,
которая в режиме реального времени позволяет проводить разделение событий по категориям,
корреляцию событий как по ресурсам, так и по злоумышленникам, а также осуществлять подробный
анализ. С помощью карты нарушений безопасности можно получить представление об отклонениях
в параметрах безопасности. Кроме того, консоль снабжена интуитивно понятным инструментальным
интерфейсом и предоставляет непревзойдённые возможности для подготовки табличных и
графических отчётов о безопасности. Пример отчёта, сформированного средствами ArcSight ESM,
показан на рисунке 4.
Рис.4. Пример отчёта о результатах работы ArcSight ESM
77
ArcSight ESM позволяет осуществлять мониторинг всех необходимых ресурсов в режиме
реального времени, получая информацию на уровне как средств защиты, так и сетевых ресурсов,
приложений и баз данных, благодаря чему можно построить комплексную систему мониторинга и
управления событиями информационной безопасности.
Ещё одной особенностью системы ArcSight ESM является возможность реализации процесса
управления инцидентами информационной безопасности строго в соответствии со стандартом PCI
DSS.
Заключение
На сегодняшний день всё больше и больше компаний приходят к пониманию того, что
использование ЦУИБ позволяет значительно повысить эффективность обнаружения и реагирования
на инциденты информационной безопасности. Это обеспечивается за счёт автоматизации процесса
сбора и анализа данных, которые регистрируются в информационной системе компании. При этом
внедрение ЦУИБ также позволяет значительно повысить эффективность уже установленных в
организации средств защиты и получить инструмент для оценки эффективности работы
подразделения информационной безопасности.
Сердюк В. Гроза угроз. Практические аспекты создания ситуационных центров управления
информационной безопасностью [Текст] / В.Сердюк // Бухгалтерия и банки.-2011.-№ 8.
Стиль и сервис на службе у клиента
А.В. Сысоева
Оформление офиса является лакмусовой бумажкой при оценке клиентом комфорта и
удобства в сотрудничестве с тем или иным банком. Однако эволюция в организации мест продаж
финансовых продуктов протекает довольно медленно. И, к сожалению, удобство и практичность
78
оборудования помещений банков, которые посещают клиенты, редко входят в число их
преимуществ. И это немаловажно, поскольку западные кредитные организации в порядке
организации помещений продаж в значительной степени превосходят отечественные.
Базовые ценности: надежность и безопасность обслуживания
Открытие дополнительных офисов банков происходит сплошь и рядом. Точки продаж
банковских продуктов постепенно оккупируют квадратные метры в офисах страховых компаний,
аэропортах, бизнес-центрах, торговых моллах и других публичных местах.
Данный факт не может не радовать: банковский бизнес ширится, приобретает черты магазина
финансовых продуктов, чего ранее о кредитных организациях сказать было нельзя. Открытие новых
офисов наглядно демонстрирует поступательное развитие кредитных организаций, расширение
спектра предоставляемых ими услуг, партнерство с другими компаниями из финансовой и торговой
сфер.
Но сама организация мест продаж финансовых продуктов до сих пор является слабым звеном
в деятельности банков.
И прежде всего, необходимо отметить проблему защиты персональных данных и
конфиденциальности. Подавляющее число офисов банковских организаций в России не имеет такого
спланированного пространства, которое позволило бы клиенту не беспокоиться о том, услышат
ли/увидят ли, какую финансовую операцию он совершает, какую сумму денег он желает снять со
счета/положить на счет и т.д.
В какой банк ни зайди, исключений немного, посетители стоят вплотную друг к другу:
никаких разграничителей между теми, кто совершает какую-либо операцию, и теми, кто находится в
ожидании своей очереди, нет. Последние получают отличную возможность фиксировать все
действия, которые совершает тот или иной клиент, прослушать его паспортные данные, номер
телефона и другую приватную информацию. Каких-либо панелей, закрывающих от любопытных
глаз внушительные стопки денег, которые, к примеру, снимает клиент для приобретения автомобиля,
просто нет. В некоторых отделениях банков, которые хоть немного заботятся о безопасности
клиентов, придуман своеобразный выход из ситуации: около окошка положены листочки с ручкой.
Если клиент осторожный и мнительный, он может написать на листочке, к примеру, сумму, которую
он желает снять со вклада. Но, во-первых, такой клиент привлечет к себе еще большее внимание:
"Раз он так боится, значит, сумма там немаленькая!", а, во-вторых, скорее всего, банковский
работник за своим окошечком как будто нарочно уточнит у этого несчастного указанную им сумму,
причем обязательно через усилитель звука. В некоторых же офисах места настолько мало, что можно
обойтись и без микрофона: все равно любой желающий услышит все, что захочет, не напрягая
слухового аппарата. Чаще всего такая ситуация наблюдается в отделениях Сбербанка, владеющего
многими помещениями, в прошлом "сберегательными кассами", размещавшимися в основном на
нижних этажах жилых домов. Конечно, в прежние времена количество проводимых финансовых
операций можно было пересчитать по пальцам, а население соседних домов, численность которого
была гораздо меньше, чем в наши дни, было, пожалуй, единственной клиентской базой того или
иного отделения сберкассы. За последние двадцать лет произошла повсеместная замена
оборудования на новое, была произведена отделка помещений в соответствии с корпоративным
цветом Сбербанка, но, к сожалению, квадратных метров от этого не прибавилось, поэтому
единственным решением проблемы приватности могут стать различные прозрачные перегородки. К
слову, проблема с размером помещений характерна не только для "наследия прошлого" (Сбербанк
мы упомянули как наиболее популярный среди населения), но и многих других банков, сознательно
79
арендующих небольшие отделения.
Подтвердить все вышеперечисленные факты могут не только сверхосторожные пенсионеры,
которые горьким опытом научены, что в период начисления пенсий около отделений банка вполне
могут наблюдаться аферисты и воришки, но и многие другие посетители банков. И проблема
безопасности касается не только снятия наличных, но даже оплаты коммунальных и пр. платежей:
смотри - не хочу данные о квартирах, количестве проживающих в них и тому подобных вещах.
Подобные претензии вызывает и по большей части непродуманное размещение банкоматов в
помещении офисов: большинство из них расположены прямо напротив дверей, так что клиент
оказывается стоящим спиной ко входу, что, безусловно, вызывает психологический дискомфорт.
В итоге клиенты по возможности отдают предпочтение офисам тех банков, где учтены их
пожелания о создании условий, не позволяющих посторонним людям получать приватную
информацию, даже если, например, территориальное расположение - не самое удобное. Главное для
большинства посетителей банка - надежность и безопасность. И банк должен предусмотреть
обеспечивающее их специализированное оборудование. Любая перегородка, пусть небольшая и
прозрачная, позволит посетителю чувствовать себя гораздо более комфортно, а это очень важно для
создания положительного имиджа банка, заботящегося о своем клиенте.
Как сделать комфортным пребывание в банковском офисе
Вторым важным моментом является физический комфорт при нахождении в помещении
банка. Изнурительные очереди, погодные сюрпризы требуют наличия кондиционера: прошлогодняя
летняя жара особенно наглядно продемонстрировала его необходимость. Наличие кулера с водой,
для некоторых банков уже ставшее нормой, также поспособствовало бы созданию благоприятной
атмосферы.
Особой проблемой является скопление большого количества клиентов. Наличие крупных
указателей, сигнализирующих о существовании раздельных зон обслуживания юридических и
физических лиц, - уже немалое подспорье в решении проблемы очередей и заторов. Сидячих мест
должно быть как можно больше, насколько это позволяет площадь помещения. И увеличение
количества посадочных мест должно осуществляться не за счет увеличения количества стульев, а за
счет их конструкции и модели. Сейчас практически во всех банках стоят одинаковые офисные
черные (иногда синие) стулья с широким сиденьем и неприятным синтетическим покрытием. Кроме
того, расположение их ножек таково, что они занимают очень много места. По нашему мнению, для
оптимизации пространства отдельные стулья, возможно, вообще не нужны. Более интересным
решением будет некий модуль, на котором расположены несколько посадочных мест, либо что-то
типа скамейки, без разделений на отдельные сиденья, сделанные из высокопрочного пластика.
Не помешает предусмотреть и пару стульчиков для маленьких посетителей банка, с тем,
чтобы они не отвлекали родителей, занятых решением финансовых вопросов.
Не так уж много места занимает корзина для мусора, о которой при оборудовании офиса
почему-то обычно забывают. По нашим наблюдениям, одним из самых "хозяйственных" в этом
плане банков является Банк Москвы - в его отделениях корзины для мусора находятся около каждого
места проведения операций с клиентами, а также у входных дверей.
Отдельного внимания заслуживает проблема напольного покрытия в офисных помещениях ведь это не просто один из декоративных элементов дизайна помещения. Как оказалось,
проектировщиками офисных помещений не учитывается тот факт, что в России (по крайней мере, в
большей ее части) не менее полугода температура не превышает 5 °С. А поэтому посетители волейневолей оставляют грязные следы. Однако основными цветами напольных покрытий в офисах
80
являются всевозможные оттенки белого, бежевого, серого и т.п., на которых эти следы не
маскируются, более того, смотрятся весьма вызывающе и неэстетично. Персонал не может вытирать
следы обуви за каждым входящим. Да и его весьма частое мелькание со шваброй среди ног клиентов
вряд ли вызовет их восторг. Аккуратность во всем, во всех мелочах - один из основных принципов
банков, которые позиционируют себя как солидные финансовые учреждения.
Но со следами еще полбеды. Наверное, только те банки, которые располагаются в зданиях,
имеющих по крайней мере полувековую историю, могут быть уверены в том, что ни один из их
уважаемых клиентов не поскользнется и не покалечится на скользком полу. Современные же
напольные покрытия для офисных помещений, как правило, изготавливаются из керамической
плитки или другого подобного материала, который сохранность здоровья клиента отнюдь не
гарантирует (опасность возрастает, если используется напольное покрытие с глянцевой
поверхностью). Эту же плитку нередко выносят и за пределы внутренних помещений на улицу: на
ступеньки, пандусы и т.п., в то время как здесь требуется специальный материал, возможно
рельефный либо с вкраплениями каменной, гранитной крошки, причем обязательно должны быть
предусмотрены перила. Банк - учреждение, куда клиенты пришли распоряжаться своим капиталом, а
не заниматься фигурным катанием.
Яркие краски противопоказаны?
Что касается художественного дизайна в оформлении помещений банков, очевидно, что в
создании эксклюзивных, уникальных, эпатажных объектов нет особой необходимости. Все
помещения банка выдерживаются в едином ключе, с одинаковым набором цветовых решений,
специального оборудования для информационных материалов, рекламных стендов. Такова общая
тенденция. Но это - не правило. Возможно, какой-нибудь героической командой PR-менеджеров и
стратегов будет наконец-то разработан подход, в соответствии с которым именно разнообразие,
нестандартность, эксклюзивность способов оформления интерьеров кредитных учреждений
повлияют на увеличение продаж банковских продуктов. При этом затраты на материалы и
оборудование не обязательно должны быть большими. Достаточно выбрать другой оттенок цвета
стен, не наиболее распространенные белый или персиковый, которые, как правило, воспринимаются
как скучные, невыразительные и депрессивные (особенно при офисном освещении от
энергосберегающих ламп), и можно говорить о значительном прогрессе в развитии дизайна
интерьеров.
Возможно, стоит рискнуть и поручить вопрос оформления помещения офиса не внутренним
подразделениям, а молодому поколению архитекторов и дизайнеров, у которых в голове бродит
множество идей и которым пока еще присущ оптимистичный, креативный взгляд на то, как должен
быть устроен мир, и в частности офис банка. В качестве еще одного аргумента в пользу
предлагаемого варианта приведем следующий: многими банками и другими финансовыми
учреждениями учреждаются гранты, стипендии, объявляются различные конкурсы, поддерживаются
инициативы по созданию бизнес-инкубаторов среди технических, экономических, юридических и
других вузов с целью поддержания талантливой молодежи. Так почему не расширить этот список
творческими направлениями? Бизнес должен быть социально ответственным, а банки - важнейший
механизм в этой среде. Можно приобрести работы начинающих фотографов: они оживят безликие
стены помещений, пока что отличающиеся только отупляющей монотонностью однотонных
покрасок. Если клиент в процессе ожидания займется созерцанием прекрасного, это его расслабит,
создаст ему добродушное настроение.
81
Примечание. Клиентские помещения банков, если это, конечно, не VIP-подразделения, к
оборудованию которых предъявляются особые требования, не должны отпугивать своей
пафосностью и недоступностью. Трепет перед финансовым учреждением и ореол его недоступности,
причастности к большим деньгам - не лучшие составляющие имиджа банка.
А около фотографий было бы разумным разместить рекламу: клиент в этом случае не упустит
ее из виду.
Безусловно, клиентские помещения банков, если это, конечно, не VIP-подразделения, к
оборудованию которых предъявляются особые требования, не должны отпугивать своей
пафосностью и недоступностью. Многие не рискуют даже заглянуть в банк, отличающийся особой
пышностью и роскошью в отделке, хотя набор оказываемых им финансовых услуг, порядок и
стоимость их предоставления не особо отличаются от остальных.
Однако и полное игнорирование качественного, опрятного и современного внешнего вида
офиса недопустимо. Обшарпанные стены, дыры в штукатурке заставят усомниться в надежности той
или иной кредитной организации, которая должна всем своим видом демонстрировать успех и
процветание, финансовое благополучие. Подобное недоумение, к примеру, вызывает отделение
одного весьма крупного банка, существующего около 15 лет: при входе в одно из его главных
помещений, расположенное в историческом районе ЦАО, сразу же обращают на себя внимание
обшарпанные колонны. Далее, пройдя через хлипкую вертушку около охранника, клиент по
линолеуму желтого цвета входит в комнату, представляющую собой образец среднестатистического
помещения НИИ советских времен. Клиентов там обслуживают под громкую музыку одной из
попсовых радиостанций, за плечами банковских работников стоят микроволновка и прочие бытовые
принадлежности. Какие складываются впечатления после посещения данного банка, объяснять,
вероятно, не стоит.
Так что, как и везде, "золотая середина" - лучший вариант внешнего позиционирования банка,
демонстрации его кредо, разработанного командой бренд-менеджеров и PR-специалистов.
Возьмем на себя смелость и сравним современный офис банка с рестораном быстрого
обслуживания типа "Макдональдс" - быстро, доступно, качественно, без излишеств. Идеальный
вариант будет выглядеть следующим образом: рабочий персонал всегда находится на виду, под
присмотром менеджера, к которому в случае чего можно обратиться за разъяснением, с жалобой и
другими вопросами. Помещение разбито на зоны для оптимизации пространства и избегания
скопления посетителей. Установлены стойки удобной высоты и ширины, чтобы можно было
разложить свои документы, причем на комфортном расстоянии от других посетителей. Отделочные
материалы качественные, но недорогие, подобранные по цветовой гамме и разбавленные
оригинальными декоративными элементами. В том же "Макдональдсе" можно встретить интересные
картины, постеры, фотографии, подобранные в соответствии с особенностями района, в котором
расположен конкретный ресторан (к примеру, в "Макдональдсе" около спортивного комплекса
"Олимпийский" размещены фотографии с изображениями спортсменов), что делает заурядное
помещение гораздо менее скучным и безликим. Конечно, не надо забывать и о присутствии
корпоративных цветов банка.
Рекламные и информационные буклеты следует размещать около специалиста банка, который
будет обслуживать клиента - тогда клиенты обязательно их заметят. Стенд внушительных размеров,
на котором пытаются уместить всю имеющуюся рекламную продукцию, для этих целей не подходит
- он слишком громоздкий. Оптимальным решением вопроса станет нестандартное локальное
оборудование, вплоть до зажимов, которые используются в офисах для "напоминалок", но
располагаться буклеты должны непременно на стойке. Важно, чтобы посетитель обязательно их
82
увидел и заинтересовался предложением от банковской организации. Ведь после завершения
запланированных банковских операций мало найдется желающих отправиться изучать ассортимент
и условия действующих услуг, акций и новых коммерческих предложений.
И, наконец, о месте расположения самих офисов. Как говорится, лучше меньше, да лучше, и
брать надо не количеством, а качеством. Так что, если есть возможность открыть одно большое и
качественно оборудованное офисное помещение с хорошей транспортной доступностью или
несколько средних и небольших для увеличения продаж финансовой продукции, лучше выбрать
первый вариант. Качество и масштабы, которые присущи первому варианту, подействуют на
клиентов весьма положительно - поскольку внушительность, успех и уважительное,
предусмотрительное отношение к клиентам в этом случае увеличат степень доверия к кредитному
учреждению и расположат к нему клиентуру.
Сысоева А.В. Стиль и сервис на службе у клиента [Текст] / А.В.Сысоева // Банковский
ритейл.-2011.-№ 1.
Методика оценки безопасности банка в рамках плана ОНиВД
Н.А. Тысячникова,
банковский аналитик, к.э.н.
Ключевым вопросом системы обеспечения непрерывности деятельности банка является
обеспечение безопасности его персонала и активов - причем как материальных, так и
нематериальных - при чрезвычайном происшествии. В сущности, на реализацию этих задач и
направлен план обеспечения непрерывности и восстановления деятельности банка.
В каждой инструкции, в каждом плане ОНиВД по отдельным бизнес-процессам
(информационные технологии, безопасность, противодействие отмыванию доходов и
финансированию терроризма и т.д.) и на случай наступления чрезвычайных происшествий (пожар,
террористический акт, наводнение и т.д.), входящих в систему документов по обеспечению
непрерывности деятельности, первым и наиболее значимым мероприятием значится эвакуация
персонала (клиентов) и важнейших документов банка с места происшествия, а также введение
режима охраны объекта и прочие действия, направленные на обеспечение безопасности активов
банка. От качественного набора мероприятий и порядка их проведения зависит успешность
прохождения банком фазы кризиса и перехода к фазам восстановления и нормализации режима
работы. В немалой степени это зависит от наличия регламента взаимодействия служб банка,
несущих непосредственную ответственность за обеспечение безопасности. Очевидно, что разработка
такого регламента, равно как и системы мер обеспечения непрерывности деятельности банка,
возможна только во взаимодействии с этими службами.
Так, подразделение информационных технологий несет ответственность за защиту и
восстановление информационных систем и баз данных, создание соответствующей инфраструктуры
и телекоммуникаций. Административно-хозяйственный департамент ответственен за физическое
состояние банковского оборудования, департамент безопасности - за обеспечение безопасности
банковских активов в целом, охрану персонала и находившихся в банке на момент происшествия
клиентов, банковской территории. Подразделение по работе с персоналом ведет учет кадрового
состава и обеспечивает возможность замещения ключевых позиций при чрезвычайном
происшествии. Руководители бизнес-подразделений - в рамках их компетенции - ответственны за
83
оперативное внедрение операций по направлению деятельности банка.
Задача службы внутреннего контроля в процессе обеспечения безопасности заключается в
том, чтобы, во-первых, дать адекватную оценку качества системы планов ОНиВД с точки зрения
охвата ею всех возможных угроз безопасности активов банка, а во-вторых, оценить возможности
реализации плана ОНиВД и восстановления деятельности банка после наступления чрезвычайной
ситуации. Иными словами, сотрудники службы внутреннего контроля выступают в данном случае в
роли комплаенс-контролеров системы обеспечения непрерывности деятельности банка. Основным
инструментом реализации обозначенных задач внутреннего контроля является проведение аудита и
тестирования документов ОНиВД. Используемая при этом методика - формирование базы
вопросников для оценки эффективности всех мероприятий обеспечения безопасности банка в случае
чрезвычайного происшествия.
Тестирование плана ОНиВД как способ выявления угроз безопасности
Единственным, по сути, способом проверки эффективности мер по обеспечению безопасности
деятельности банка в случае чрезвычайного происшествия является проведение тестирования,
причем в виде полноценных учений.
Необходимо провести хотя бы одну фактическую проверку плана ОНиВД, чтобы
удостовериться, что персонал компании осознает свою роль и понимает порядок своих действий при
возникновении кризисной ситуации, слаженно работают подразделения банка, обеспечивается
безопасность банковских активов и персонала при разработанном порядке мероприятий по
обеспечению непрерывности и восстановлению деятельности банка. При такой проверке у каждого
подразделения - участника реализации плана ОНиВД есть шанс получить наиболее полное
представление о том, что же надо усовершенствовать. Уровень стресса среди участников
тестирования при проведении такой проверки, конечно же, ниже, чем при реальном чрезвычайном
происшествии. Практические проверки способствуют устранению ошибок в разработке плана,
совершенствованию процедур, а также дают возможность оценить взаимодействие компонентов
плана ОНиВД.
Тестирование плана ОНиВД, как правило, координирует подразделение внутреннего
контроля, которое собирает руководителей ответственных подразделений - участников рабочих
групп по обеспечению непрерывности деятельности банка. В группу тестирования плана ОНиВД
входят представители департамента управления рисками, административно-хозяйственного
департамента, департамента безопасности, подразделения по работе с персоналом, подразделения
информационных технологий, собственно службы внутреннего контроля и, при необходимости,
представители других подразделений банка.
Группа тестирования плана ОНиВД разрабатывает программу тестирования, которая
включает сценарии учений и испытаний, распределение обязанностей между представителями
подразделений в части проведения учений и испытаний, шкалу оценки результатов. В программу
тестирования включаются следующие разделы:
- подробное описание всех этапов теста с указанием целей и задач;
- распределение ролей и обязанностей ответственных участников тестирования;
- круг участников тестирования;
- объекты тестирования;
- условия тестирования;
- арбитры тестирования и порядок выставления оценок жизнеспособности плана ОНиВД.
Существует определенная последовательность действий при наступлении того или иного
84
чрезвычайного события. При разработке программы тестирования, а также его реализации
проверяется качество выполнения этих мероприятий и обеспечение при этом безопасности
сотрудников банка, а также оборудования и банковской информации.
К примеру, при пожаре должны быть предприняты следующие действия:
- тушение огнетушителями и с использованием иных специальных средств;
- эвакуация сотрудников, важнейших документов, копирование и передача в хранилище баз
данных;
- вызов службы тушения пожара;
- отключение всех систем и оборудования;
- учет количества сотрудников и поиск пропавших.
За реализацию каждого из обозначенных мероприятий ответственно конкретное
подразделение, которое действует по четко разработанному плану. Так, подразделение безопасности
организует мероприятия по усилению охраны, обеспечению пропускного и внутриобъектового
режимов в зданиях банка, охране ценностей и выносимого имущества в местах его сосредоточения и
массового скопления людей. Административно-хозяйственное подразделение организует
освобождение подъездных и эвакуационных путей к объектам банка, проводит эвакуацию
работников с объекта согласно плану эвакуации, взаимодействует с формированиями МЧС,
прибывающими для тушения пожара, а также с формированиями, которые смогут прибыть с
соседних объектов для оказания помощи в тушении пожара.
Работники банка при поступлении сигнала (команды) об эвакуации должны отключить от
электропитания оргтехнику и другое оборудование, находящееся в рабочих помещениях, взять
личные вещи, закрыть двери и окна рабочего помещения, одновременно с тушением пожара
организовать эвакуацию и защиту документов и материальных ценностей, не пользуясь при этом
лифтами.
После осуществления эвакуационных мероприятий кадровая служба организует вне здания
перекличку персонала по подразделениям, устанавливает работников, оставшихся в помещениях, и
докладывает об этом руководителю подразделения банка, который, в свою очередь, отчитывается
перед руководством банка.
Слаженность работы всех служб банка при выполнении обозначенных действий в случае
пожара должна обеспечить наибольшую степень безопасности сотрудников банка и его
материальных активов.
При наводнении в первую очередь выясняют причины увеличения уровня воды и оценивают
угрозы персоналу и имуществу. Затем передают банковскую информацию в хранилище данных (в
т.ч. резервное). В случае если угроза повышения уровня воды является очевидной, вызывают
спасателей, отключают электроэнергию в офисе, в наибольшей степени подверженном опасности
быть затопленным, выносят ценные документы и эвакуируют персонал банка. Весьма важен также
учет количества сотрудников и последующий поиск пропавших.
Ураган не является частым явлением, но последствия этого природного явления могут оказать
существенное влияние на непрерывность деятельности банка. При возникновении угрозы данного
природного явления отключают оборудование от электрических сетей. В случае поступления
информации о силе урагана и его опасности для жизни людей проводят эвакуацию персонала и
оборудования в безопасное место.
При пожаре, наводнении, урагане и прочих природных и техногенных происшествиях
возникает опасность загрязнения воздуха. При этом мерами первостепенной важности являются
анализ факторов обнаружения опасности и обеспечение людей средствами защиты от загрязнения
воздуха (воздушно-марлевые повязки, респираторы). В этом случае должна быть реализована схема
85
оперативной эвакуации людей.
Одним из наиболее частых чрезвычайных происшествий является отключение
электроэнергии, которое может произойти в результате природных факторов (урагана, пожаров и
т.д.), злонамеренных действий и техногенных катастроф (аварий на подстанциях). Сбои в
энергообеспечении влекут за собой нарушение работы компьютерных систем, возникновение
пожаров, нагревов/переохлаждения банковского оборудования. В этом случае необходимо
отключить от энергосети банковское оборудование (компьютеры на рабочих местах), подключить
резервные источники питания, информировать энергокомпанию и собственника здания (в случае
если банк арендует помещение) о факте отсутствия электроэнергии, подготовить оборудование к
подключению электроэнергии. При аварии на энергоподстанции офис должен быть перенесен в
резервное помещение.
И только после того как приняты первичные меры при наступлении чрезвычайного события и
обеспечена безопасность сотрудников банка, его оборудования и информации, в действие вступают
планы восстановления банковских операций в соответствии с видом события.
Тестирование плана ОНиВД обычно начинается с имитационного моделирования событий, то
есть рассматриваются гипотетические варианты развития событий. Каждую из потенциальных
проблем обсуждают отдельно, а участники решают их путем мозгового штурма. В ходе такой
своеобразной игры участники управляют фиктивным инцидентом, информационными потоками,
принимают решения, протоколируют свои действия, а также учатся решать нетривиальные задачи и
слаженно работать в команде.
После этого план ОНиВД необходимо протестировать в условиях, максимально
приближенных к действительности, что позволяет сотрудникам внутреннего контроля наглядно
убедиться в жизнеспособности планов ОНиВД банка. Такая проверка должна проводиться по
крайней мере ежегодно, желательно в каждом из офисов банка.
По окончании тестирования (причем как с использованием методов имитационного
моделирования, так и при полномасштабных учениях) группа тестирования составляет отчет и дает
рекомендации по корректировке плана ОНиВД.
В отчет включается такая информация, как:
- место, дата и продолжительность испытаний;
- перечень подразделений и список работников банка, участвовавших в испытаниях;
- описание моделируемой чрезвычайной ситуации;
- решения, принятые руководителями банка для ликвидации чрезвычайной ситуации;
- результаты исполнения принятых решений, а именно: полное восстановление
функционирования подразделения банка, частичное восстановление (в какой степени) или
отсутствие результатов;
- причины наступления указанных результатов;
- выявленные в ходе испытаний проблемы (подготовка работников и руководителей банка,
структура и содержание плана ОНиВД, материально-техническое обеспечение);
- краткие выводы и рекомендации по корректировке плана ОНиВД.
Отчет подписывается всеми членами группы тестирования плана ОНиВД и руководителями
подразделений банка, принимавших участие в данных испытаниях, после чего направляется на
рассмотрение совета директоров банка.
Следует отметить, что затраты банка, связанные с организацией процедур тестирования,
несоизмеримы с той экономией, которую получит банк в случае чрезвычайного происшествия. К
сожалению, этот факт не является очевидным для топ-менеджеров и акционеров российских банков,
которые в большинстве своем не учитывают потери от растерянности персонала банка и отсутствия
86
слаженных действий для возобновления банковских операций при внештатных ситуациях. Видимо,
менеджерам банка проще списывать многомиллионные убытки от прерывания операций банковского
подразделения на пожар, ограбление, отключение электричества или другие какие-либо
чрезвычайные события, чем предпринимать конкретные действия по обеспечению непрерывности
деятельности до того, как эти события наступят. К тому же ответственность за халатность и
отсутствие превентивных мер со стороны акционеров банков в российской банковской практике явление чрезвычайно редкое.
Доведение до акционеров и совета директоров банка информации о значимости мер по
разработке и внедрению плана ОНиВД является одной из важнейших задач службы внутреннего
контроля. Тем более что именно совет директоров инициирует проведение тестирования плана
ОНиВД, формирует инициативные группы, утверждает программу тестирования и т.д.
Обеспечение информационной безопасности банка
Одной из наиболее важных угроз для непрерывности деятельности банка при наступлении
чрезвычайного события является потеря банковской информации или несанкционированное
использование ее третьими лицами. Попросту говоря, чрезвычайное происшествие может пробить
брешь в системе информационной безопасности банка. Поэтому важно проводить не только
физическое тестирование возможностей резервирования информационной системы банка при
возникновении чрезвычайного происшествия, но и комплексные проверки системы информационной
безопасности в целом.
Самой большой проблемой при проведении таких проверок является отсутствие у персонала
службы внутреннего контроля навыков и знаний в области информационных технологий.
Соответственно подготовка к такой проверке должна проводиться задолго до ее инициации.
Проверка систем информационной безопасности специалистами службы внутреннего
контроля проводится поэтапно.
На первом этапе осуществляется, собственно, инициирование процедуры проверки, причем
руководством банка, поддержка которого является необходимым условием. В ходе проверки
оказываются задействованными представители большинства структурных подразделений банка.
Действия всех участников этого процесса должны быть скоординированы.
На этапе инициирования процедуры проверок должны быть определены границы проведения
обследования. Одни информационные подсистемы компании не являются достаточно критичными, и
их можно исключить из области проведения обследования. Другие подсистемы могут оказаться
недоступными для проверок из-за соображений конфиденциальности. Безусловной проверке следует
подвергать информационные системы, которые должны быть задействованы в ходе реализации мер
по обеспечению непрерывности деятельности банка.
Сотрудники службы внутреннего контроля должны составить список обследуемых
физических, программных и информационных ресурсов, обозначить основные виды угроз
безопасности, рассматриваемые при проведении проверки, в особенности при прерывании
деятельности банка, а также учесть организационные (законодательные, административные и
процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности и
их приоритеты (т.е. в каком объеме они должны быть учтены).
План и границы проведения проверки обсуждаются на рабочем собрании, в котором
участвуют специалисты службы внутреннего контроля, руководство банка и руководители
структурных подразделений.
На втором этапе необходимо собрать информацию для проверки информационной
87
безопасности, что является наиболее сложным и длительным. Это связано с тем, что в большинстве
российских банков необходимая документация на информационную систему отсутствует, кроме
того, специалист внутреннего контроля должен плотно взаимодействовать со многими
должностными лицами организации.
Получение информации о текущем состоянии информационной системы осуществляется
сотрудником внутреннего контроля в ходе интервью с ответственными лицами, путем изучения
технической и организационно-распорядительной документации, а также исследования
автоматизированной банковской системы с использованием специализированного программного
инструментария.
Обеспечение информационной безопасности организации - это комплексный процесс,
требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и
распределения ответственности среди должностных лиц, занимающихся информационной
безопасностью. Поэтому первый пункт проверки начинается с получения информации об
организационной структуре пользователей информационной системы и обслуживающих ее
подразделений. В связи с этим в пакет информации, запрашиваемой специалистом внутреннего
контроля, как минимум должны входить схема организационной структуры пользователей и схема
организационной структуры обслуживающих подразделений, а также функциональные схемы,
описания автоматизированных функций, основных технических решений, другая проектная и
рабочая документация на информационную систему. Кроме того, необходимо понять, каким образом
будет обеспечена сохранность информации при возникновении различных чрезвычайных
происшествий.
Назначение и принципы функционирования информационной системы во многом определяют
существующие риски и требования безопасности, предъявляемые к системе. Поэтому важно
получить ответы на вопросы: какие услуги и каким образом предоставляются конечным
пользователям, какие основные виды приложений функционируют в автоматизированной
банковской системе (далее - АБС), какими должны быть количество и виды пользователей этих
приложений?
Далее необходимо получить более детальную информацию о структуре АБС. Это позволит
уяснить, каким образом осуществляется распределение механизмов безопасности по структурным
элементам и уровням функционирования системы. Типовые вопросы, на которые должен быть
получен ответ, могут быть следующими:
- из каких компонентов (подсистем) состоит информационная система;
- функциональность отдельных компонентов;
- где проходят границы системы;
- какие точки входа имеются;
- как информационная система взаимодействует с другими системами;
- какие каналы связи используются для взаимодействия с другими информационными
системами;
- какие каналы связи используются для взаимодействия между компонентами системы;
- по каким протоколам осуществляется взаимодействие;
- какие программно-технические платформы используются при построении системы.
Для ответа на эти вопросы необходимо запастись такой документацией, как: структурная
схема информационной системы, схема информационных потоков, описание структуры комплекса
технических средств информационной системы, описание структуры программного обеспечения,
описание структуры информационного обеспечения, схема размещения компонентов
информационной системы.
88
После получения всей необходимой информации переходят к ее анализу. Используемые при
этом методы определяются выбранными подходами к проведению аудита, которые могут
существенно различаться.
Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа
рисков, сотрудник службы внутреннего контроля определяет для обследуемой АБС индивидуальный
набор требований безопасности, в наибольшей степени учитывающий особенности данной
информационной системы, среды ее функционирования и существующие в данной среде угрозы
безопасности, в особенности при реализации различных сценариев возникновения чрезвычайных
происшествий. Данный подход является наиболее трудоемким и требует высокой квалификации
проверяющего. На качество результатов проверки в этом случае сильно влияет используемая
методология анализа и управления рисками и ее применимость к данному типу информационной
системы.
Обследование безопасности АБС должно определить, какие ресурсы и от каких угроз надо
защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Риск определяется
вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационной
системы в случае чрезвычайного происшествия.
Процесс анализа рисков можно разделить на несколько последовательных этапов:
- идентификация ключевых ресурсов информационной системы (информационные ресурсы,
программное обеспечение, технические средства (серверы, рабочие станции, активное сетевое
оборудование и т.п.), людские ресурсы).
Необходимо идентифицировать только те ресурсы, которые определяют функциональность
информационной системы и существенны с точки зрения обеспечения безопасности;
- определение важности тех или иных ресурсов для банка.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае
нарушения конфиденциальности, целостности или доступности этого ресурса. В результате
чрезвычайного происшествия нарушения в непрерывности деятельности банка могут быть
спровоцированы раскрытием, изменением, недоступностью данных, повреждением аппаратуры,
целостности программного обеспечения;
- идентификация существующих угроз безопасности и уязвимостей, делающих возможным
осуществление угроз;
- вычисление рисков, связанных с осуществлением угроз безопасности.
Величина риска определяется на основе стоимости ресурса, вероятности осуществления
угрозы нарушения безопасности информационного контура банка. Задача управления рисками
заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до
приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного
ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна
быть обратно пропорциональна вероятности причинения ущерба.
В ходе проведения аудита системы безопасности обычно решаются следующие задачи:
- анализ достаточности ресурсов АБС, включая информационные ресурсы, программные и
технические средства, а также людские ресурсы, определение их взаимосвязи, расположения и
способов взаимодействия;
- анализ групп задач, решаемых системой, и бизнес-процессов, возможности системы
обеспечивать безопасность информации при возникновении чрезвычайных ситуаций;
- оценка критичности информационных ресурсов, а также программных и технических
средств с учетом вероятности наступления чрезвычайного происшествия;
- определение наиболее вероятных угроз безопасности в отношении ресурсов АБС и
89
уязвимостей защиты, делающих возможным осуществление этих угроз;
- оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого
организации в случае успешного осуществления угроз;
- определение величины рисков для каждой тройки: угроза - группа ресурсов - уязвимость.
Оценка рисков может даваться с использованием различных, как качественных, так и
количественных, шкал. Главное, чтобы существующие риски были правильно идентифицированы и
расставлены по приоритетам в соответствии со степенью их критичности для банка. На основе
такого анализа может быть разработана система первоочередных мероприятий по уменьшению
величины рисков до приемлемого уровня.
Второй подход, самый практичный, опирается на использование действующих стандартов
информационной безопасности, доступ к которым открыт для всех пользователей. Стандарты
определяют базовый набор требований безопасности для широкого класса информационных систем.
Сотрудник службы внутреннего контроля в данном случае должен правильно определить набор
требований стандарта, соответствие которым необходимо для данной информационной системы.
Из-за своей простоты (набор требований для проведения проверки уже заранее определен
стандартом) и надежности (стандарт есть стандарт, и его требования никто не попытается оспорить)
описанный подход наиболее распространен на практике, поскольку позволяет при минимальных
затратах ресурсов делать обоснованные выводы о состоянии информационной системы банка, а
значит - спрогнозировать возможности сохранения данных в рамках реализации плана ОНиВД.
Подразделение внутреннего контроля оценивает применимость требований стандарта к АБС и
ее соответствие этим требованиям. Данные о соответствии различных областей функционирования
АБС требованиям стандарта обычно представляются в табличной форме. Затем делаются
соответствующие выводы и даются рекомендации по реализации в системе механизмов
безопасности.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый
набор требований безопасности, предъявляемых к информационной системе, определяется
стандартами Банка России или международными рекомендациями. Дополнительные требования, в
максимальной степени учитывающие особенности функционирования данной информационной
системы, формируются на основе анализа рисков. Этот подход намного проще первого, так как
большая часть требований безопасности уже определена стандартом, и в то же время он лишен
недостатка второго подхода, заключающегося в том, что требования стандарта могут не учитывать
специфики обследуемой информационной системы.
Рекомендации по результатам анализа состояния АБС определяются используемым подходом,
особенностями обследуемой информационной системы, состоянием дел с информационной
безопасностью и степенью детализации, используемой при проведении проверки.
Отчет о состоянии информационной безопасности банка является основным результатом
проведения проверки. Его качество характеризует качество работы по проведению проверки АБС.
Структура отчета может существенно различаться в зависимости от характера и целей проводимой
проверки. Однако определенные разделы должны обязательно в нем присутствовать. Он должен
содержать описание целей проведения проверки, характеристику обследуемой АБС, указание границ
проведения обследования и используемых методов, результаты анализа данных, выводы,
обобщающие эти результаты и содержащие оценку уровня защищенности автоматизированной
системы или соответствия ее требованиям стандартов, и, конечно, рекомендации по устранению
существующих недостатков и совершенствованию системы защиты.
Отчет о состоянии системы информационной безопасности банка должен быть в
обязательном порядке инкорпорирован в систему ОНиВД банка. Это означает, что все
90
перечисленные методы, приемы, подходы, результаты анализа системы информационной
безопасности должны иметь понятный вектор, направленный на определение способности АБС и ее
ресурсов обеспечить непрерывность деятельности банка, безопасность его информационных
ресурсов в случае чрезвычайного происшествия22.
Что же касается непосредственно плана ОНиВД, то в нем отдельным блоком следует
выделить такие обязательные мероприятия, как:
- резервное копирование данных и наличие резервных серверов;
- процедуры восстановления функционирования и (или) осуществления информационной
поддержки в течение времени использования, разработки, настройки и обслуживания
автоматизированных информационных систем;
- осуществление контроля безопасности и обоснованности доступа к системам, программам,
оборудованию, данным;
- заключение договоров с провайдерами с целью успешной реализации плана ОНиВД,
страхования рисков и компенсации убытков в случае непредвиденных сбоев в информационной
системе.
Кроме того, сотрудники подразделения информационных технологий должны быть готовы к
работе в нештатной ситуации и мероприятиям по восстановлению и возобновлению деятельности. В
этой связи благоразумно включить в программу тестирования планов ОНиВД проверку навыков
работы ИТ-сотрудников в чрезвычайной ситуации.
Составление вопросника для аудита системы безопасности банка в рамках ОНиВД
Очевидно, что оценка уровня обеспечения безопасности банка в случае чрезвычайной
ситуации довольно субъективна, так как является результатом профессионального суждения
сотрудника внутреннего контроля. Снижение фактора субъективизма возможно при проведении
тестирования плана ОНиВД и, так сказать, "полевых" испытаний систем безопасности банка.
Наиболее применимой методикой для оценки безопасности банка в рамках плана ОНиВД
могут быть разработка комплексного вопросника аудита систем безопасности и присвоение баллов
за тот или иной ответ. Шкала значимости ответов разрабатывается самим банком в зависимости от
приближения ответа (соответствия банка) к международным стандартам обеспечения непрерывности
деятельности. Кстати, такая шкала может и не разрабатываться, так как ответ на составленные
вопросы и так будет характеризовать качество мероприятий с точки зрения обеспечения
информационной и физической защищенности банка от внешних воздействий.
Перечень вопросов должен охватывать всю систему мер по обеспечению безопасности банка.
К примеру:
- определены ли лица/подразделения в плане ОНиВД, ответственные за обеспечение
безопасности по конкретным направлениям;
- содержит ли план ОНиВД главные компоненты и мероприятия обеспечения безопасности
банковских активов и персонала;
- определены ли компоненты, механизм и приемлемые методы тестирования и обновления
плана ОНиВД;
- проводятся ли банком процедуры обработки данных системы локальной сети (LAN) и
Юденков Ю.Н., Тысячникова Н.А., Сандалов И.В., Ермаков С.Л. Интернет-технологии в банковском бизнесе:
перспективы и риски: Учебно-практическое пособие. М.: КноРус, 2010.
22
91
интернет-сети, компьютерных сетей, каталога адресов электронной почты сотрудников банка,
программ резервирования данных и их обновления; копирования информации о счетах клиентов,
сохранения ее за пределами основного офиса; обновления базы данных; обнаружения нелегально
установленных программ;
- разработаны ли подробные инструкции поведения сотрудников банка при чрезвычайных
происшествиях; насколько проработан план мероприятий обеспечения безопасности банковских
активов и персонала в этих инструкциях;
- разработаны, соблюдаются и распространяются ли списки лиц и компаний, которые окажут
помощь в ликвидации последствий происшествий для банка;
- может ли банк обеспечить доступ к необходимым ресурсам для обеспечения безопасности
персонала, оборудования, информации;
- имеются ли в банке устройства сигнализации о тревоге, маршруты эвакуации, список
номеров телефонов подразделений, ответственных за ликвидацию последствий чрезвычайного
происшествия, устройства отключения коммунальных услуг;
- разработаны, соблюдаются и периодически пересматриваются ли должностные инструкции,
полномочия и подчиненность по всему персоналу и для аварийных ситуаций;
- подготовлен ли резервный офис на случай прерывания деятельности основного;
предусмотрена ли в нем возможность восстанавливать функции процессинга сервисной компании,
включая сохранение библиотек файлов и соответствующих поставок информации для процессинга,
микрофильмирования и защиты;
- существуют ли аварийные системы подачи продуктов питания, воды, первой помощи,
противопожарных средств;
- разработана ли, соблюдается и проводится ли учебная программа по проверке плана ОНиВД
для сотрудников банка на всех уровнях управления банком; и т.д.
Данный перечень вопросов не является исчерпывающим. Чем детальнее он будет, тем больше
вероятность у подразделения службы внутреннего контроля обнаружить возможную проблему,
связанную с обеспечением безопасности в случае наступления чрезвычайного происшествия.
В проведении самооценки системы безопасности банка главное - это возможность
выставления справедливых оценок без последствий для ответственных подразделений в виде
лишений премий, выговоров и прочих взысканий. В противном случае банк рискует получить
завышенную оценку системы безопасности, не отражающую истинного положения вещей, а в случае
чрезвычайного события он понесет серьезные потери материальных и нематериальных активов.
По итогам аудита оценки плана ОНиВД на предмет обеспечения безопасности для банка
подразделение внутреннего контроля должно разработать рекомендации и требования для
конкретных подразделений банка, а затем провести повторный аудит с целью проверки их
внедрения.
Тысячникова Н.А. Методика оценки безопасности банка в рамках план ОНиВД [Текст] /
Н.А.Тысячникова // Внутренний контроль в кредитной организации.-2011.-№ 2.
Обзор подготовила:
Ямалеева Л.Г., эксперт 1 категории.
92