СодержаниеВведение 3
Глава 1. Основы обеспечения безопасности акционерного коммерческого банка 13
1.1. Понятие безопасности коммерческого банка 13
1.2. Основные группы и виды противоправных посягательств на безопасность банка и возможные меры защиты от них 19
1.3. Виды конфиденциальной информации, накапливаемой и используемой в деятельности коммерческого банка 25
Глава 2. Разработка и использование системы организационных мер защиты конфиденциальной банковской информации от противоправных посягательств 32
2.1. Организационные меры защиты информации в банковской сфере деятельности 32
2.2. Разработка и использование системы доступа персонала банка и иных лиц к конфиденциальной информации 35
2.3. Создание собственной базы организационно-распорядительных документов банка, как необходимая часть организационных мер защиты информации 43
2.3.1. Разработка проекта договора об оформлении допуска работника ООО «Фининфор» к сведениям, относящимся к банковской или коммерческой тайне 52
Глава 3. Разработка и использование организационных мер защиты информации в банковских компьютерных системах 56
3.1. Организационные меры защиты информации в средствах компьютерной техники корпоративной сети банка 58
3.2. Создание административной службы защиты компьютерной информации в корпоративной сети банка как основная организационная мера защиты этой информации 62
Заключение 72
Список источников и литературы 75
Приложение 1 78
Приложение 2 81ВведениеПоявление в России акционерных коммерческих банков было связано с переходом отечественной экономики от жесткого централизованного управления к свободным рыночным отношениям. Привлекая денежные ресурсы и осуществляя кредитную политику на коммерческой основе, банки столкнулись с необходимостью обеспечения собственной безопасности от противоправных посягательств. Число таких посягательств в настоящее время остается достаточно высоким и имеет тенденцию к росту.1
Особенность проблемы заключается в том, что основную работу по организации защиты от криминальных действий законодатель возложил на сами банки, т.е. на созданные в них службы безопасности. Однако, во многих случаях предупредить действия злоумышленников и обеспечить безопасность деятельности банка в полном объеме не удается из-за просчетов в работе служб его безопасности. Не последней причиной этого является приоритетное внимание этих служб к физическим «силовым» и инженерно-техническим методам охраны банка и защиты его материальных ценностей при недостаточном внимании к посягательствам с использованием высоких технологий. Реально, как показывает практика, наиболее опасными для коммерческого банка по экономическим последствиям являются приемы интеллектуального и материального подлога с использованием возможностей несанкционированного доступа в банковские компьютерные сети и системы. Это привело к необходимости организовать защиту банковских структур от противоправных посягательств, прежде всего, на конфиденциальную информацию. Эта информация накапливается и обрабатывается в различных подразделениях и службах любого коммерческого банка в виде информационных ресурсов – отдельных финансовых и иных документов и массивов таких документов, содержащих сведения, относимые к коммерческой или банковской видам тайн. Создавая такие информационные ресурсы, банк использует их для выбора эффективных управленческих решений, создания баз данных, освоения новых технологий и т.п.
Информационные ресурсы банка формируются путем создания, сбора, обработки, хранения и использования документированной информации, имеющей отношение к кредитно-финансовой сфере деятельности.
Очевидно, что в работе любого коммерческого банка образуется большое количество, как открытой информации, так и информации ограниченного доступа (конфиденциальной), которая в соответствии с Федеральным Законом РФ «Об информации, информатизации и защите информации»2 подлежит защите собственником информационных ресурсов, т.е. самим банком.
В настоящее время любой коммерческий банк способен предложить клиентам большое число услуг и выполнить в их интересах также ряд операций. Основными банковскими услугами, при выполнении которых создается, накапливается и используется конфиденциальная информация, являются:
• предоставление кредитов и посредничество в кредите. Эти операции осуществляются путем перераспределения временно высвобождающихся в процессе оборота денежных фондов юридических лиц и денежных вкладов физических лиц в процессе осуществления банковской деятельности. Эти денежные средства в этом случае перемещаются от кредиторов к заемщикам, в соответствии с их потребностями при посредничестве банка, который получает процент от займа, а также уменьшается степень риска и неопределенности в кредитной системе государства;
• сберегательные вклады. Предоставление займов оказалось настолько выгодным делом, что банки принялись изыскивать способы привлечения дополнительных средств, в частности в виде сберегательных вкладов, которые банки принимают под процент;
• расчетно-кассовое обслуживание. Банк принимает на себя инкассацию платежей и осуществление выплат по операциям клиентов (физических и юридических лиц), а также осуществляет инвестирование избытков наличности в краткосрочные, ценные бумаги и кредиты.
К банковским операциям, при выполнении которых также создается и используется конфиденциальная информация, относятся:
- привлечение во вклады денежных средств физических и юридических лиц;
- размещение указанных средств от своего имени и за свой счет;
- открытие и ведение банковских счетов физических и юридических лиц;
- осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
- инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;
- оказание консультационных и информационных услуг.
Таким образом, российские коммерческие банки действуют как уникальные кредитные учреждения, совершающие широкий круг операций на финансовом рынке.
Для создания оптимальных условий работы своих структурных подразделений и удовлетворения информационных потребностей клиентов банк приобретает и использует информационные системы, информационные технологии и средства их обеспечения, защита информации, накапливаемой и обрабатываемой которыми, осуществляется с помощью организационно-правовых мер, а также инженерно-технических и программных методов и средств защиты информации.
Естественно, что обработка больших массивов информации, связанной с перечисленными услугами, оказываемыми банком, приводит к необходимости использования в банках автоматизированных информационных систем (АИС) и корпоративных компьютерных сетей, основой которых являются средства вычислительной техники (СВТ) – персональные ЭВМ. С внедрением персональных ЭВМ (далее компьютеров) в повседневную практику преступления, связанные с их противоправным использованием, не заставили себя долго ждать. Если первый компьютер на интегральных схемах был выпущен в 1968 году, то уже в 1969 году перед американским судом за совершение компьютерного преступления – налоговой махинации на сумму 620 тыс. долларов - предстал некий Альфонсе Конфессори3. Дальнейшая история компьютерных преступлений, в частности, в банковской сфере РФ была отмечена такими основными событиями:
- в 1991 году произошло похищение 125,5 тыс. долларов во Внешэкономбанке4. Преступники из числа сотрудников вычислительного центра Банка открыли несколько личных счетов по поддельным паспортам и начали перевод денег, но были пойманы;
- в сентябре 1993г. была осуществлена попытка «электронного мошенничества» на сумму более 68 млрд. неденоминированных рублей5;
- в 1994г. из Сбербанка РФ по фальшивым авизо была сделана попытка перевода 115 млрд. неденоминированных рублей6;
- 28 августа 1995г. в городе Ростов возбуждено уголовное дело по факту хищения денежных средств по межбанковским расчетным электронным платежам7. Похищенная сумма была разбита на две части и несанкционированно переведена на счета подставных лиц и впоследствии обналичена;
- 28 сентября 1995г. в г. Санкт-Петербурге возбуждено уголовное дело в отношении группы лиц, совершивших хищение денежных средств из Сити-банка на сумму свыше 10,5 млн. долларов.8 Проникновение в компьютерную сеть банка и подача команд для осуществления перевода денег на корреспондентские счета в банки России и других стран производились из г.Санкт-Петербурга под видом законного пользователя Сити-банка;
- весной 1996г. преступники пытались внедрить в банковскую компьютерную систему Москвы поддельные векселя с реквизитами Московского Сберегательного Банка с тем, чтобы похитить 375млрд. неденоминированных рублей и 80 млн. долларов9.
Этот список можно было бы продолжить, хотя по оценкам отечественных и зарубежных источников уровень латентности (скрытности) компьютерных преступлений в банковской сфере составляет с конца 90-х годов около 90%, а из оставшихся известными 10% выявленных преступлений раскрывается только 1%10. Это обстоятельство можно объяснить тем, что, как правило, подвергнувшийся нападению злоумышленников в любой сфере своей деятельности банк неохотно сообщает, или не сообщает вообще, в правоохранительные органы о факте совершения преступления. На принятие банком такого решения влияют следующие факторы:11
• неверие в компетентность сотрудников правоохранительных органов в вопросе установления, прежде всего, самого факта совершения преступления, не говоря уже о возможностях его раскрытия и расследования;
• боязнь подрыва собственного авторитета среди клиентов и, как результат этого, возможная потеря их значительного числа;
• неминуемое раскрытие в ходе расследования и последующего судебного разбирательства системы обеспечения безопасности банка, а реставрация этой системы или создание её заново часто сопряжено с существенно большими затратами, чем величина ущерба, нанесённого преступлением.
В связи с изложенным многие банки предпочитают решать любой конфликт своими силами, что нередко завершается принятием мер, не исключающих рецидив. Это усугубляется тем, что на практике многие банки продолжают совершенствовать «силовые» методы охраны материальных ценностей банка и системы инженерно-технической и программной защиты конфиденциальной информации, составляющую в основном сведения, относящиеся к коммерческой тайне банка и коммерческой тайне его клиентов – юридических лиц, а также сведения о персональных данных его клиентов – физических лиц. При этом уделяется недостаточно внимания использованию и совершенствованию организационных мер ЗИ, в частности, проведению работы по созданию совокупности организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих аналитическую работу по выявлению внешних и внутренних угроз информационным ресурсам банка и обеспечивающих планирование организационных мер ЗИ и контроль их выполнения.
К сожалению, большинство научных и научно-практических изданий, выпущенных в последние годы, в основном касаются только общих вопросов инженерно-технических, программных и криптографических методов ЗИ зачастую без привязки к конкретной организации, в частности, к кредитно-финансовому учреждению, которым является банк. Этим же отличается большинство статей в таких периодических изданиях как «Банковские технологии», «Безопасность информационных технологий», информационном бюллетене «Jet Info», «Конфидент», «Системы безопасности связи и телекоммуникаций» и в ряде других. Даже в материалах научно-практических конференций по информационной безопасности, проводимых ежегодно Таганрогским государственным радиотехническим университетом12,13, практически отсутствуют работы по использованию организационных мер ЗИ в информационных структурах различных предприятий и организаций, в том числе и банков.
В связи с изложенным, попытка определить в настоящей дипломной работе основные направления использования в сфере банковской деятельности организационных мер и средств ЗИ, представляется своевременной, а тема работы – актуальной. Исходя из цели дипломной работы необходимо решить следующие задачи:
1. Выделить основные группы противоправных посягательств на безопасность коммерческого банка, в том числе на его информационную безопасность, и определить конкретные меры защиты от этих действий.
2. Определить перечень и содержание организационных мер защиты конфиденциальной банковской информации, которая образуется, накапливается и является необходимой для осуществления его деятельности.
3. Разработать организационные меры разрешительного доступа персонала банка к конфиденциальной информации.
4. Определить состав службы безопасности банка и базовый перечень нормативных и организационно-распорядительных документов, создаваемых самим банком и необходимых для эффективной деятельности всех структурных подразделений этой службы.
5. Определить организационные меры защиты конфиденциальной информации в средствах вычислительной техники корпоративной сети банка.
6. Рассмотреть роль и задачи службы (группы) защиты компьютерной информации в корпоративной сети банка, в частности, роль и задачи администратора системы защиты компьютерной информации в корпоративной сети банка как основную организационную меру защиты.
Структура дипломной работы определена ее целями и задачами, и включает введение, три главы, заключение, список используемых источников и литературы, а также два специальных приложения.
Во введении обосновывается актуальность выбранной темы, определяется цель и задачи дипломной работы, излагается выбранная структура изложения материала, раскрывается содержание глав и приводится краткий обзор используемых источников и литературы.
В первой главе рассмотрены основные группы противоправных посягательств на безопасность коммерческого банка, в том числе на его информационную безопасность и возможные меры защиты от этих действий.
Вторая глава касается выбора перечня организационных мер, необходимых для осуществления защиты конфиденциальной информации в коммерческом банке, структуры службы безопасности коммерческого банка, а также перечня и содержания требуемых для целей ЗИ организационно-распорядительных документов, разработанных банком.
В третьей главе рассмотрены принципы, в соответствии с которыми должна быть организована система защиты компьютерной информации в корпоративной сети банка и контроль функционирования этой системы, а также роль и основные организационные задачи администратора такой системы.
В заключении отражены общие итоги исследования данной темы, обобщены результаты и сделаны выводы.
В приложениях 1 и 2 приведены тексты разработанных в рамках выполнения дипломной работы проектов:
- примерного договора с работником обслуживающей банк организации при оформлении его допуска для обслуживания средств компьютерной техники и средств защиты информации в корпоративной сети банка как приложение к трудовому договору по основному месту работы;
- должностной инструкции по организации работы администратора в системе защиты компьютерной информации в корпоративной сети банка (администратора безопасности).
При выполнении дипломной работы был использован ряд источников, в том числе:
1. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».
2. Федеральный закон РФ «Об информации, информатизации и защите информации».
3. Гражданский кодекс РФ.
4. Федеральный закон РФ «О банках и банковской деятельности».
5. Трудовой кодекс РФ.
6. Федеральный закон РФ «О безопасности».
В числе основной литературы, использованной при выполнении дипломной работы, можно выделить:
- книгу «Безопасность коммерческого банка» (авторы Гамза В.А. и Ткачук И.Б.), в которой рассматриваются необходимые правовые и организационные условия защиты интересов банка, в том числе защиты от посягательств на сведения конфиденциального характера и компьютерную информацию банка;
- работу «Юридический справочник руководителя. Тайна» (автор Котов Б.А.), предметом изложения которой являются вопросы обеспечения большинства видов тайн и ответственность за их разглашение;
- книгу «Основы банковского права» (автор Олейник О.М.), в которой анализируются понятия, содержание и возможности банковского права, проблемы правового статуса коммерческих банков, вопросы банковской информации и банковской тайны;
- книгу «Банковское право РФ» (авторы Тосунян Г.А., Викулин А.Ю., Экмалян А.М.), в которой подробно исследованы предмет, принципы и методы правового регулирования сферы банковской деятельности, структура и источники банковского права, в том числе банковская тайна;
- монографию «Тайна и право (основные системы ограничений на доступ к информации в российском праве)» (автор Фатьянов А.А.) в которой рассмотрены виды тайн (государственная, служебная, коммерческая, профессиональная, институт персональных данных и т.д.), а также раскрывается их правовая природа и даётся анализ современного уровня их правового регулирования;
- работу «Защита информации: проблемы теории и практики» (автор Шиверский А.А), в которой рассматриваются вопросы защиты конфиденциальной информации и ряда видов тайн.
Полный список использованных источников, литературы и статей из периодических изданий будет приведен в конце работы.ЛитератураИсточники:
• ФЗ РФ «Об информации, информатизации и защите информации» // СЗ РФ, 1995, № 8, ст.609.
• ФЗ РФ «О банках и банковской деятельности в РФ» // ВСНД и ВС РСФСР, 1990, № 27, ст.357.
• Гражданский кодекс РФ, ч.1 // СЗ РФ, 1994, № 32, ст.3301.
• Указ Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ, 1997, № 10, ст.1127.
• ФЗ РФ «О безопасности» // ВСНД и ВС РФ, 1992, № 15, ст.769.
• ФЗ РФ «О частной детективной и охранной деятельности» // ВСНД и ВС РФ, 1992, № 17, ст.888.
• Трудовой кодекс РФ // СЗ РФ, № 1, ч.1, 07.01.2002.
• Кодекс РФ об административных правонарушениях // СЗ РФ, № 1, ч.1, 07.01.2002.
• Уголовно-процессуальный кодекс РФ // СЗ РФ, № 52, ч.1, 24.12.2001.
• ФЗ РФ «О лицензировании отдельных видов деятельности» // СЗ РФ, 2001, № 33, ч.1, ст.3430.
• «Положение об организации внутреннего контроля в банках» // Приказ Банка России от 28.08.97, № 02-372.
Литература:
1. Аглицкий И. «Компьютерная» преступность // Человек и компьютер. – 1994. № 2. с. 2 – 8.
2. Батурин Ю.М., Жодзишский А.М. Компьютерные преступления: криминализация, квалификация, раскрытие // Советское государство и право. – 1990. № 12. с.85-88.
3. Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебно-практическое пособие. – М.: издатель Шумилова И.И., 2000. – 216 с.
4. Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: МИФИ, 1997. – 537 с.
5. Давыдовский А.И., Ставицкий С.И. Значение администрирования при обеспечении защиты информации в автоматизированной системе // Безопасность информационных технологий. 2001. № 2. с.87-90.
6. Концепция безопасности коммерческого банка. http//daily. See. ru.
7. Кочубей А. Скажи мне, какой у тебя банк // Сегодня. № 163 (768). 07.09.1996.
8. Крылов В.В. Информационные компьютерные преступления. – М.: Издательская группа ИНФРА?М – НОРМА, 1997. – 285 с.
9. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций. – М.: МИФИ, 2000. – 356 с.
10. Лопатин В.Н. Правовая охрана и защита информации с ограниченным доступом: Учебное пособие. – Калининград: КЮИ МВД России, 2000. – 100 с.
11. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / СПб университет МВД России. – СПб.: Фонд «Университет», 2000. – 428 с.
12. Олейник О.М. Основы банковского права: Курс лекций. – М.: Юристъ, 1997. – 424 с.
13. Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. – М.: Право и закон, 2001. – 416 с.
14. Сергеев Н., Максимов И. В ваш карман залезут через компьютер, но вы этого не заметите // Компьютер и право. – 1994. № 5. с. 7-10.
15. Тосунян Г.А., Викулин А.Ю., Экмалян А.М. Банковское право РФ. Общая часть: Учебник / Под общ. ред. акад. Б.Н.Топорнина. – М.: Юристъ, 1999. – 448 с.
16. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. – М.: МИФИ, 1999. – 288с.
17. Чумарин И.Г. Тайна предприятия: что и как защищать. – СПб.: ООО «Издательство ДНК», 2001. – 160 с.
18. Шиверский А.А. Защита информации: проблемы теории и практики. – М.: Юристъ, 1996. – 112 с.
19. Ярочкин В.И. Служба безопасности коммерческого предприятия. – М.: «Ось-89», 1995. – 144 с.
|
|
