Направления обеспечения безопасности Банка России

 Введение

      Одной из важнейших  проблем функционирования банка  как такового является проблема  его безопасности. Данная проблема  очень многообразна, крупнейшими  сферами банковской безопасности  являются: обеспечение безопасности  банковской информации (банковской  тайны) и обеспечение безопасности  банка как такового, то есть  личной безопасности сотрудников  и сохранности материальных и  финансовых активов (имущества). Именно  эту часть проблемы безопасности  осуществляет, в первую очередь, служба безопасности банка.

      Таким образом, важнейшим  элементом банковской безопасности  является оберегание, сохранение "банковской  тайны". Понятие "банковской тайны" традиционно трактуется в двух  основных значениях:

1) в широком смысле банковская  тайна понимается как разновидность  коммерческой тайны, то есть конфиденциальные  сведения, принадлежащие самому  банку;

2) в узком смысле под ней  подразумевают обязанность сохранять  тайну по операциям клиентов, их вкладам и счетам.

      Таким образом, видно, что банковская тайна по сущности является разновидностью тайны профессиональной, ибо она отличается от коммерческой тем, что ее носитель не имеет личной заинтересованности в ее конфиденциальности при производном характере его прав на эти сведения. Например, банку безразлично, станет ли известно об операциях по счетам его клиентов их конкурентам и т.д., в силу чего, такую заинтересованность устанавливает законодатель, налагая на банковских служащих обязанность соблюдения банковской тайны и превращая банки в гарантов исполнения этих обязанностей. Понимание действительной сущности "банковской тайны" служащими банка позволяет последним сохранять ее на уровне внутренне морального убеждения в действительной (а не мнимой, по принуждению) ее сохранности для поддержания репутации банка как надежного и ответственного учреждения.

С бурным развитием банковской системы России, развитием Банка России большое значение уделяется правовой (законодательной) охране банковских клиентов. В силу специфических особенностей деятельности банков этому вопросу огромное внимание уделяется не только в России, но и за рубежом.

Понятие и содержание банковской тайны было закреплено в Федеральном законе

"О банках и банковской  деятельности в РСФСР". В главе III, ст. 26 "Банковская тайна" определено, что: кредитная организация, Банк  России гарантирует тайну об  операциях, о счетах и вкладах  своих клиентов и корреспондентов. Все служащие обязаны хранить  тайну об операциях, счетах и  вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией. Передача сведений, составляющих  банковскую тайну возможна, согласно  данной статье Закона, строго  определенному кругу государственных  организаций в основном для  проведения проверок, связанных  с нарушением установленного  Законодательства. Особо оговаривается  роль и место Центрального  Банка России в сохранении  банковской тайны: он не вправе  разглашать сведения не только  о счетах, вкладах а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных Федеральными Законами.

Аудиторские организации не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученных в ходе проводимых ими проверок, за исключением случаев, предусмотренных Федеральным Законом. Четко в законе сформулирована и ответственность: за разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном Федеральным Законом. Таким образом, являясь центральным пунктом, в системе банковской безопасности, банковская тайна является предметом постоянной защиты со стороны государства, банков, с одной стороны и постоянных попыток ее незаконного раскрытия в целях корысти, хищений, подрыва конкурентов и т.д.

1. Направления  обеспечения безопасности Банка России

      В Банке России  интенсивно развиваются системы  информатизации и телекоммуникаций. К сожалению, этот процесс проходит  на фоне обострения криминогенной ситуации в сфере банковской деятельности, и поэтому большое значение приобретают проблемы развития и совершенствования системы обеспечения информационной безопасности.

Преступные посягательства в сфере банковской деятельности приобретают все более интеллектуальный характер. Большой ценностью для преступных элементов становится информация о системах организации банковских платежных и информационных технологий, а также о системах обеспечения их безопасности. Поэтому служба безопасности и защиты информации использует комплекс мер защиты по целому ряду направлений:

- техническая защита информации;

- защита платежных документов;

- внутренняя безопасность;

- личная безопасность и т.д.

2. Банковский  шпионаж

      Защита банковской  информации становится все более  актуальной, выдвинувшись на первое  место относительно физической  охраны и средств технической  защиты помещения банков. Одним  из главных методов овладения  банковской информацией, является  банковский шпионаж.

      Под банковским  шпионажем понимается незаконное, скрытое, тайное добывание банковской  информации с целью ее противозаконного  использования. Основными каналами  утечки информации являются:

      Перехват электроакустических  преобразований в аппаратуре, имеющей  линии связи, путем подключения  к этим линиям аппаратуры.

      Перехват информативных  побочных электромагнитных излучений  и наводок, возникающих при работе  технических средств.

      Перехват разговоров, ведущихся в служебных помещениях  с помощью чувствительных микрофонов, лазерных систем, реагирующих на  колебание стекол окон (где ведется  разговор).

      Перехват визуальной  информации из распечаток, полученных  с использованием ЭВМ и других  служебных документов путем использования  высокочувствительных оптических  и фотосредств.

      Кроме данных паразитных (побочных) технических каналов утечки  могут создаваться и утечки  информации с помощью миниатюрных  закладных устройств-приборов для  несанкционированного сбора и  передачи информации на расстояния  до нескольких сот метров, "клопы" на одежде, "жучки" в остальных  случаях. К техническим каналам  утечки информации относится  также непосредственный перехват  информационных сигналов, передаваемых  по линиям связи, путем гальванического  и бесконтактного подключения  к этим линиям специальной аппаратуры. Банком России, другими банками проводятся работы по блокировке систем на договорной основе со специализированными организациями.

      В настоящее время  создается и в некоторых сферах  уже реально существует рынок  сертифицированных средств защиты  информации и банки, в том числе  Банк России, заинтересованы в  его дальнейшем развитии.

      Защитные меры  от утечки информации по техническим  каналам носят различный характер  в зависимости от сложности, стоимости  и времени их реализации, которые  определяются при создании конкретной  вычислительной системы или программы.        Такими мерами могут быть: доработка  аппаратуры с целью уменьшения  уровня сигналов, установка специальных  фильтров, параллельно работающих  аппаратных генераторов шума, специальных  экранов и другие меры.

       Выбор спецсредств  очень широк - это приемники, сканеры, устройства для контроля телефонных  линий, переносные автомобильные  радиостанции, устройства акустического  контроля, блокираторы "жучков", устройства  для обнаружения радио-закладок  и защиты от прослушивания, системы  видео-наблюдения, видео-домофоны и т.д., всего более 300 устройств. Например, шумогенератор, размером с пачку сигарет, обеспечивает конфиденциальность переговоров в помещении. Включенный шумогенератор с выдвинутой антенной оставляет на внешних подслушивающих устройствах только сплошной шум.

      В числе мер защиты большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей, которые обладают следующими преимуществами: отсутствием электромагнитного излучения во внешнюю среду, устойчивостью к внешним электромагнитным излучениям, большой помехозащищенностью, скрытностью передачи, малыми габаритами (что позволяет прокладывать их рядом с уже существующими кабельными линиями), устойчивостью к воздействиям агрессивной среды.

      С точки зрения  защиты информации волоконно-оптические  кабели имеют еще одно преимущество: подключение к ним с целью  перехвата передаваемых данных  представляет собой значительно  более сложную задачу, чем подключение  к обычному проводу или кабелю  с помощью индуктивных датчиков  и прямого подключения.

3. Утечка информации из компьютерных сетей

      Распространенными  способами незаконного использования  банковской информации стали  многочисленные способы организации  утечки информации из компьютерных  сетей. Истории с фальшивыми авизо, мемориальными ордерами, ложными  телетайпами являются следствием  отсутствия надежной защиты каналов  передачи банковской информации, программных и аппаратных средств  вычислительной техники. Основными  источниками угроз безопасности  информации в компьютерных системах  являются - мошенничество, саботаж персонала, действия профессиональных хакеров (взломщиков), ошибки в деятельности  человека и сбои самого оборудования. Перехватывание паролей, ключей, информации  с магнитных носителей - все это  современные виды компьютерной  преступности.

     В качестве основных  факторов, способствующих расширению  масштабов компьютерной преступности, можно назвать следующие: использование  компьютеров без тщательного  анализа с позиций защищенности  информации; недостаточное выделение  средств на меры защиты; отсутствие  плана мероприятий по защите  компьютерных сетей; отсутствие  взаимосвязанности принимаемых  мер (программного, организационно-технического, законодательного характера). Международный  банковский опыт показывает, что  отдельные, разрозненные усилия  банков по защите информации  оказываются малоэффективными перед  лицом преступных группировок  и лиц, активно использующих объединенный  опыт технического компьютерного  прогресса и достижений электроники. Понимая это, крупные американские  и европейские банки решали  вопросы информационной безопасности  сообща, наряду со стандартизацией  систем кодирования банковских  операций и финансовых сообщений. В 1973 году они создали общество SWIFT, члены которого перешли на  международные стандарты использования  ЭВМ и средств телекоммуникаций  в банковском деле, обеспечив  тем самым надежную, стандартизированную, шифрованную передачу информации. Организация программных средств  банков общества SWIFT контролируют  процедуры подключения терминалов  к сети, обеспечивают регистрацию  и шифрование сообщений, контролируют  достоверность сообщений и источник  информации. Западные банки защищают  свои главные ЭВМ, их сети специальными  устройствами. Они выполняют, как  правило, роль сетевых контролеров, управляют модемами, проверяют номера  телефонов абонентов, подключающихся  к сети, регистрируют успешные  и безуспешные попытки соединиться  с центральной ЭВМ. Все эти меры, в совокупности, во-первых, ускоряют оборот информации и, во-вторых, надежно защищают его от несанкционированного проникновения.

По мнению специалистов, службам обеспечения защиты информации особое внимание сегодня следует уделять тем видам компьютерных манипуляций в банковской сфере, которые трудно обнаружить, используя традиционные методы.

К этим видам пресечения компьютерных преступлений следует отнести:

борьбу с мошенничеством в области электронного перевода вкладов;

выявление махинаций с предоставлением займов;

меры безопасности по обеспечению сохранности вкладов.

По данным экспертов по вопросам безопасности банковских операций, в зависимости от видов банковских счетов и способов передачи указаний о переводах вкладов, можно выделить, по крайней мере, 18 разновидностей противозаконных операций.

Методы первичной обработки данных.

Команды пользователя на перевод вклада банк может получать по телефону, телексу, в записи на дискете, компакт-диске или другом носителе. Поэтому в случае обнаружения факта мошенничества лицо, производящее расследование, должно в первую очередь и незамедлительно выяснить, от кого поступила команда.

Анализируются все ранее поступившие команды от владельца банковского счета, их формат и язык. Особое внимание следует обращать на отсутствие или частичное изменение в файлах данных пользователя при сравнении с аналогичными записями в массиве данных банка. Проводится сверка ключевых слов и кода.

Кроме того, подвергается проверке и личность самого вкладчика. В случае сомнений, возникающих в подлинности его команд, необходимо выяснить, почему для мошенничества был выбран именно этот счет, какое лицо имело информацию о его существовании, денежных суммах, находящихся на нем, и т. д.

Важно также установить способ передачи ложных команд и введения в заблуждение средств идентификации пользователя. При расследовании должны получить объяснение все факты задержек выплат по чекам клиента. Необходимо также проверить аппаратуру, по которой его указания поступают в банки и передается обратная информация, а также носители, с которых команда поступает к оператору, и все пометки на них.

Аналитические методы выявления мошенничества с использованием электронных средств связи.

После первоначальной обработки оператор вводит в компьютер команду клиента для учета и подготовки дальнейших команд банку-получателю. На этой стадии важно внимательно изучать способ подготовки данных и ввода их в компьютер, обращая особое внимание при этом на возможность замены оригинала фальшивкой.

Большинство систем содержит комплекс программных и аппаратных средств, позволяющих идентифицировать пользователя. При расследовании изучаются и фиксируются также все изменения, отклонения, пометки к имеющимся на носителях и введенным в ЭВМ ключевым словам и другим частям программы.