Защита банковской информации

Правовая защита персонала  банков, материальных и экономических  интересов банков и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального  кодексов, законов Российской Федерации  о прокуратуре, о федеральной  службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.

Правовую основу безопасности кредитных отношений банков с  клиентами составляют законодательные  акты, регулирующие возможность применения различных способов обеспечения  исполнения обязательств. Гражданский  кодекс РФ позволяет применять удержание, залог, поручительство и банковскую гарантию. Наиболее надежным способом обеспечения выполнения кредитных  обязательств является залог. Правовое регулирование залоговых отношений  осуществляется при помощи ряда законодательных  актов и норм, их которых наиболее важными являются ГК РФ (ст.334-358), Закон  РФ "О залоге" от 29.05.92 N 2872-1, Гражданский  процессуальный кодекс РФ (ст.399-405), Временное  положение о согласовании залоговых  сделок (утверждено распоряжением Госкомимущества  РФ от 21.04.94 N 890-р), Основные положения  о залоге недвижимого имущества - ипотеке (одобрено распоряжением заместителя  Председателя СМ РФ от 22.12.93 N 96-рз).

Обеспечение информационной безопасности в банковской системе  регулируется законами Российской Федерации: "О банках и банковской деятельности", "О государственной тайне", "Об информации, информатизации и  защите информации".

Важное значение в этом деле имеют указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 N 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 N 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 N 9.

При практическом решении  задач обеспечения безопасности банковской деятельности необходимо опираться  также и на следующие правовые нормативные акты:

Постановление Правительства  РСФСР от 05.12.91 N 35 "О перечне  сведений, которые не могут составлять коммерческую тайну";

"Положение о сертификации  средств защиты информации", утвержденное  постановлением Правительства Российской  Федерации от 26.06.95 N 608 "О сертификации  средств защиты информации";

"Положение о государственной  системе защиты информации от  ИТР и от утечки по техническим  каналам", утвержденное постановлением  Правительства РФ от 15.09.93 N 912-51;

"Положение о государственном  лицензировании деятельности в  области защиты информации", утвержденное  совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 N 10.

Успешное и эффективное  решение задач обеспечения безопасности конкретного банка достигается  формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том  числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого банка и кончая функциональными обязанностями  каждого сотрудника. Необходимым  условием обеспечения безопасности банка является совокупность правил входа (выхода) лиц в помещения  банка, вноса (выноса) документов, денежных средств и материальных ценностей.

Под внешними понимаются регуляторы, формирующиеся за пределами банка  и воздействующие на его деятельность извне, предупреждающие рискованную  кредитную политику, слабый контроль за заемщиками и, наконец, банкротство  и ликвидацию. Основными инструментами  этого предупреждения являются: лицензирование коммерческих банков, организация банковского  аудита, организация банковского  надзора, выявление проблемных банков и работа по предупреждению их банкротств. Большинство из этих регуляторов  исходят от центрального банка Российской федерации.

Внутренние финансовые регуляторы формируются в самом банке, так  как главное условие прибыльной и надежной его работы - качественное управление, уровень финансового  менеджмента, организация внутреннего  контроля и аудита, что во многом зависит от добросовестности и компетенции  кадров.

В отличии от внешних финансовых регуляторов стабильного функционирования банков, воздействие которых осуществляется на банк извне, внутренние регуляторы формируются непосредственно в  банке. Система этих регуляторов  подчинена задаче удовлетворения запросов клиентов банка, обеспечение его  высокой рентабельности и эффективности  функционирования, создания условий  для безопасной деятельности. Основу таких регуляторов составляет стратегия  каждого банка. От того, насколько  четко поставлена задача банка и  сформированы механизмы ее реализации, во многом зависит его успех на рынке банковских услуг.

Таким образом, финансовые регуляторы безопасности и функционирования банковских технологий призваны обеспечить устойчивость и эффективность работы коммерческих банков, способствовать проведению ряда мер по стабилизации и повышению  безопасности банковской деятельности, которые можно сформулировать следующим  образом:

ѕ мобилизация интеллектуального потенциала руководства и сотрудников банка на поиск путей преодоления финансовых трудностей;

ѕ выработка и реализация стратегии и контроля, обеспечивающих устранение финансово-экономических нарушений, устойчивую платежеспособность и безопасность;

ѕ устранение нарушений законодательства, нормативов, бухгалтерских отчетов, проведение аудиторских проверок, эффективная работа отделов внутреннего контроля и аудита;

ѕ укрепление службы безопасности, осуществление специальных программ защиты банковских технологий Жукова Е.Ф., "Банковский менеджмент: учебник для студентов вузов, обучающихся по экономическим специальностям" - М.: Юнити-Дана, 2009г. .

3. Управление безопасностью  банка

Подобные меры способствуют активизации взаимодействия проблемных банков с Банком России при условии  ведения ими "открытой политики" и отсутствии криминализации и злоупотреблений  в руководстве банка.

Помимо финансовых регуляторов  безопасности банковской деятельности большое значение должно придаваться  анализу контрольной среды банка, так как эффективный контроль является неотъемлемой его частью. Таким образом, необходимо проводить  оценку контрольной среды по нескольким направлениям (Рис.2).

Политика руководства  в области контроля имеет едва ли не решающее значение для деятельности кредитных учреждений не только потому, что она является составляющей ее контрольной среды, но и потому, что  руководство банка несет зачастую юридически оговоренную ответственность  перед собственниками (акционерами) и депозиторами (вкладчиками), предоставившими  для управления свои активы. Риски, возникающие при проведении финансовых операций, привели к необходимости  наличия жесткого контроля и руководство  коммерческого банка должно учитывать  это при формировании и внедрении  систем внутреннего контроля, создании отдела внутреннего аудита, продуманности  и разработанности внутренних положений  и инструкций, а также в эффективности  существующей системы управления банком и принятия решений по его деятельности.

Коммерческие банки преследуют те же экономические цели, что и  промышленные и торговые предприятия. Однако в условиях поощрения и  ориентации персонала на достижение этих целей коммерческие банки вовлечены  в операции, содержащие больший риск, чем тот, который руководство  банка в состоянии контролировать. Кроме того, полномочия на совершение многих сделок и операций передаются на более низкий уровень иерархической  структуры управления банком. Менеджеры  этого уровня в силу своей неопытности  или исходя из желания быстрого продвижения  по службе испытывают обычно искушение  достичь поставленных целей любой  ценой, что зачастую приводит к несанкционированным сделкам и выдаче кредитов, проведению высокоспекулятивных операций и фальсификациям с целью скрыть стоящие за этими операциями риски от руководства.

управление безопасность коммерческий банк

Рис.2 - Оценка контрольной  среды коммерческого банка Жукова Е.Ф., "Банковский менеджмент: учебник  для студентов вузов, обучающихся  по экономическим специальностям" - М.: Юнити-Дана, 2009г. .

Вышеприведенные соображения  показывают важность и необходимость  проведения разумной политики в области  контроля, должного отношения руководства  к системам внутреннего контроля и факторов, определяющих это отношение (наличие в структуре коммерческого  банка отдела внутреннего контроля и т.д.)

Неотъемлемой составляющей комплекса мер по обеспечению  безопасности банковской деятельности является система страхования депозитов, которая обеспечивает защиту депозиторов  от риска потери вложенных средств  или минимизацию данного риска  в случае банкротства коммерческих банков.

4.Политика государства  относительно безопасности банковской  информации 
 
Ни основные регуляторы в лице ЦБ РФ, ФСБ России, ФСТЭК России, ни основной документ, которым руководствуется в своей деятельности служба информационной безопасности банков (Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»), не в силах разрешить все проблемы в сфере защиты банковской информации. 
 
Более того, являясь частью единой финансовой системы государства и подчиняясь жестким требованиям безопасности, банки вынуждены решать возникающие в этой области проблемы самостоятельно. 
 
Многие программно-аппаратные средства защиты информационной безопасности до сих пор используются в банках незаконно. Олег Казакевич, ведущий специалист департамента по взаимодействию с органами государственной власти Ассоциации российских банков (АРБ) отмечает: «Так как Россия не подписала Международное соглашение о взаимном признании сертификатов, хорошо зарекомендовавшее себя программно-аппаратное обеспечение оказалось нелегитимным». 
 
Не менее сложная ситуация складывается с использованием криптографических средств защиты информации - банки имеют право использовать лишь криптографические средства российского производства, а иностранные только по специальному разрешению ФСБ. А между тем, если банк будет ожидать окончания процесса сертификации той или иной системы комплексной защиты информации, используя устаревшую, но сертифицированную систему - угрозы информационной безопасности приобретут еще больший масштаб. 
 
Возможно, решение этой проблемы вскоре будет найдено на государственном уровне, и банки получат долгожданную свободу в выборе IT, технических и программных средств, что же касается усилий регуляторов, то они успешно могут быть направлены в другую область - организационную. 
 
Проблема, кроме того, кроется и в несовершенстве уголовного законодательства. Согласно российским законам расследование преступления происходит по месту его совершения. Но, в том случае, когда похищенные средства переводятся на разные счета в разных регионах России и за рубежом, определить точное место совершения преступления невозможно. И эта правовая коллизия весьма затрудняет расследование. 
 
Техника без процедуры бессильна 
 
«В действительности лишь 20% всех задач, связанных с обеспечением безопасности, могут быть решены с помощью техники. Оставшиеся 80% решаются организационными, процедурными и административными средствами», - отмечает Андрей Курило (ГУ безопасности и защиты информации ЦБ РФ). 
 
Сама по себе техника без процедуры беспомощна, тем более что информационная система постоянно претерпевает изменения: новые настройки, серверы и т. п. Параметры безопасности системы в этом случае ослабевают. Только если системный администратор регулярно на протяжении всего года отслеживает настройку функций безопасности при выполнении своей повседневной работы, можно говорить об эффективности работы IT-подразделения. 
 
Очередной парадокс заключается в следующем: чем мощнее техника, тем заметнее тенденция к ослабеванию системы информационной безопасности в целом. Со временем сотрудники IT-отдела перекладывают свои обязанности на технику и начинают всецело полагаться на «железо», поэтому для обеспечения эффективной защиты информации в банках надлежит регулярно производить IT-аудит. 
 
Если обратиться к статистике, то становится очевиден тот факт, что в общих IT-затратах российской экономики доля банковского сектора превышает долю многих отраслей российской экономки - 11,5% против 3% (доля торговли), 5% (доля добывающей промышленности и электроэнергетики). 
 
IT и работа с сотрудниками 
 
Добиться должного уровня информационной безопасности в банках, конечно же, невозможно без соответствующей работы с сотрудниками. Не случайно все чаще встречается понятие «инсайдер», подразумевающее нарушение конфиденциальности информации со стороны персонала. 
 
В данном вопросе особое место занимает как подбор специалистов, так и дальнейшая работа по их мотивации и удержанию. Вячеслав Петренко, руководитель IT-отдела ОАО «Курскпромбанк»: «IT-специалисты ответственны, прежде всего, за разграничение прав доступа к разного рода модулям автоматизированной банковской системы, таким образом, каждый сотрудник имеет возможность использовать лишь тот объем информации, который необходим ему в соответствии с уровнем его ответственности». 
 
В качестве важного момента выступает отслеживание регистрации вкупе с фильтрацией поступающих системных сообщений, таким образом, становится возможным определить перечень программ, работающих в определенный период времени. Эта работа позволяет предупреждать о возможных действиях относительно перехвата паролей пользователей с целью дальнейшего взлома системы защиты… 
 
Подводя итоги 
 
Итак, можно сделать вывод, что основной проблемой IT-безопасности служит отсутствие комплексной системы защиты. Часто в банке имеется лишь минимальный набор средств: межсетевой экран наряду с антивирусом и средством криптографической защиты данных. Конечно, данные элементы недостаточны для решения всего комплекса проблем, упомянутых выше. Следует применять как системы обнаружения и предотвращения атак, так и системы мониторинга событий безопасности совокупно со средствами анализа защищенности. Определенные трудности возникают в случае неправильной конфигурации используемых средств защиты. 
 
Зачастую складывается ситуация, когда максимально защищенная информационная система крайне неудобна для работы. В результате пользователями проводится умышленное или непреднамеренное ослабление настроек средств защиты, которое приводит к снижению общего уровня защищенности банка. К основным нерешенным вопросам можно причислить и отсутствие необходимых формализованных процессов по защите информации, а также отсутствие полноценной программы повышения осведомленности персонала компании. Ведь мало просто разработать те или иные документы, следует довести их в доступной форме до сотрудников банка. Это напрямую указывает на необходимость проведения регулярных обучающих семинаров и курсов, результаты которых должны отражаться в последующей аттестации. 
 
Лишь решение всех вышеуказанных проблем в комплексе позволит говорить о существенном повышении общего уровня информационной безопасности банков, в данном случае следует учитывать как правовые, так и технические, кадровые и организационные аспекты. Кроме того, речь идет и о более широкой интеграции службы IT в структуру управления банком: централизация, виртуализация в данном случае становятся во главе системы. В идеале каждое приложение автоматизированной банковской системы должно интегрироваться общей информационной системой и централизованно исполняться на серверах головного офиса. 
 
Что же касается сотрудников банка, то они получают доступ к АБС со своих рабочих мест за счет средств виртуализации десктопов. В этом смысле лучшие условия для банков предлагает тандем Citrix и Microsoft - работа сотрудников ведется в защищенной среде с единой версией приложений и данных прямо на серверах ЦОД банка, таким образом налицо значительное сужение периметра информационной защиты, поскольку локальные компьютеры работников не содержат важных данных и риск утечки информации значительно снижается. Известно, что подобного рода IT-инфраструктура со средствами виртуализации рабочих мест за счет использования программных продуктов Citrix функционирует в Сбербанке, МДМ Банке и ряде других крупных финансовых учреждений. 
 
В последнее время прослеживается и иная тенденция, а именно: многие банки переходят на IT-аутсорсинг, перекладывая проблемы, связанные с обеспечением защиты банковской информации, на плечи сторонних организаций, имеющих в своем распоряжении достаточные технические и кадровые возможности для решения всего спектра вопросов в рамках данного направления. 
 
Как снизить банковские риски. Пути решения 
 
Итак, можно выделить несколько основных правил, следование которым позволит минимизировать утечку банковской информации и сделать работу IT-сотрудников более продуктивной: 
• Непрерывный контроль за персоналом банка: прием на работу сотрудников, мотивация персонала, обучающие курсы, аттестации и т. п.; 
• Наличие развитой технологической площадки: специализированные технические средства, оборудование; 
• Постоянный мониторинг и всесторонний контроль над аппаратно-программным комплексом; 
• Обеспечение информационной безопасности: многоуровневая система защиты информации, контроль входящего трафика, DDoS-устойчивость; 
• Круглосуточная техническая поддержка для обеспечения бесперебойной работы дата-центра. 
 
Каковы прогнозы на будущее в рамках такого вопроса как защита банковской информации? Прежде всего, речь идет об усложнении IT-систем, а также о всеобщей виртуализации и мобилизации. Подобного рода тренды, безусловно, будут самым непосредственным образом влиять на системы защиты централизованного хранения данных. А значит, основные требования к решениям по защите таковы: они должны стать более масштабируемыми и гибкими, управляемыми, лишь в этом случае IT-подразделения банков смогут противостоять угрозам XXI века! 
 
P.S. Нельзя ни на секунду забывать, что информационная безопасность, каким бы высоким не был ее уровень - это не готовый продукт, который можно купить, внедрить и забыть. Это система, требующая непрерывной работы… 
5.Анализ проблем и пути развития банковской системы