Классификация способов обеспечения экономической безопасности

Тема 6. Концепция комплексной зпщиты информационных банковских систем и сетей

Цель темы — изучение базовых понятий комплексного обеспечения информационной безопасности банковских сетей.

В результате изучения темы студенты должны освоить:

• основы концепции безопасности банка;
• классификацию угроз информационной безопасности;
• виды обеспечения информационной безопасности;
• подходы к обеспечению безопасности банковских систем.

Оглавление

6.1. Концепция безопасности банка: основные положения

Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.

Под безопасностью банка в целом понимают состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Обеспечение безопасности является неотъемлемой частью деятельности банка. Концепция безопасности определяет цели и задачи системы безопасности; подходы к ее организации; виды угроз безопасности и ресурсы, подлежащие защите; а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.

Главными целями системы безопасности являются:

• обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности;
• защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала;
• недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушений работы технических средств обеспечения производственной деятельности, включая и средства информатизации.

К основным задачам системы безопасности банка следует отнести:

• прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка;
• отнесение информации к категории ограниченного доступа (государственной, служебной, банковской, коммерческой тайне, подлежащей защите от неправомерного использования), а информационных ресурсов – к различным уровням уязвимости и подлежащих защите;
• создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании банка;
• эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности.

Рассмотренные цели и задачи системы безопасности банка определяют и концепцию комплексной защиты информационной банковской сети. А именно, в настоящее время на первый план выходит задача создания комплексной сис темы управления информационной безопасностью, которая охватывает всю инфраструктуру компании и, независимо от сложности и масштаба информационной системы, позволяет:

• централизованно и оперативно оказывать управляющие воздействия на всю информационную инфраструктуру;
• проводить регулярный аудит и всеохватывающий мониторинг, дающие объективную информацию о состоянии информационной безопасности для принятия оперативных решений;
• накапливать статистические данные о работе информационной инфраструк туры для прогнозирования ее развития.

6.2. Объекты банковской безопасности

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

• персонал (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, осведомленные о сведениях, составляющих банковскую и коммерческую тайну, и др.);
• финансовые и материальные средства;
• сведения, составляющие служебную, банковскую и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение;
• средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы).

В рамках данной темы целесообразно подробно рассмотреть такой объект безопасности как информация.

6.2.1. Информация как объект банковской безопасности

Информация по Федеральному закону «Об информации, информатизации и защите информации» определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Согласно этому закону информация бывает как документированная (документ), так и в виде информационных ресурсов — отдельные документы, отдельные массивы документов, документы и массивы документов в информационных системах.

В свою очередь информация бывает открытой и ограниченного использования. Последняя подразделяется на государственную тайну и на конфиденциальную информацию. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Информационные ресурсы являются объектами отношений физических, юридических лиц, государства.

Правовой режим информационных ресурсов определяется нормами права владения, права пользования и права распоряжения, устанавливающими:

• порядок документирования информации;
• право собственности;
• категорию информации по уровню доступа к ней;
• порядок правовой защиты.

При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним.

Конфиденциальная информация в силу закона. Федеральный закон «Об информации, информатизации и защите информации» (ст. 11) напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Гражданский кодекс Российской Федерации (ст. 857) вводит понятие «банковская тайна», а Закон РСФСР «О банках и банковской деятельности в РСФСР» ограничивает доступ к этим сведениям и определяет круг лиц, допущенных к ним (ст. 25). Федеральный закон «О связи» (ст. 32) на основании Конституции Российской Федерации дает понятие «тайна связи» и определяет круг лиц, допущенных к ней и обеспечивающих ее соблюдение.

Конфиденциальная информация по признакам. Не ко всяким сведениям, составляющим тайну, в силу их неопределенности применима прямая норма. Иногда законодательно возможно определить только признаки, которым должны удовлетворять эти сведения. Признаками, определенными законом, можно считать такие неотъемлемые свойства информации, которые непосредственно указаны в законе, присущи сведениям, составляющим тайну, и совокупность которых позволяет однозначно определить объект правовых отношений. Так, Гражданским кодексом Российской Федерации (ст. 139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты. Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:

• соответствующая информация неизвестна третьим лицам;
• к ней нет свободного доступа на законном основании;
• собственник информации принимает меры обеспечения ее конфиденциальности.

Федеральный закон «Об информации, информатизации и защите информации» регулирует взаимоотношения в информационной сфере только при обращении с документированной информацией: «Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

Документирование информации проводится по правилам. Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов», ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники». ГОСТы предполагают 31 реквизит, который делает информацию документом. Наличие всех перечисленных реквизитов необязательно. Главным из них является текст документа. Поэтому любая информация, изложенная в виде связного текста, без каких-либо дополнительных реквизитов уже может рассматриваться как документ. Особый порядок существует только для документов, полученных из автоматизированных информационных систем. Здесь может применяться процедура заверения информации электронной подписью.

Гражданский кодекс Российской Федерации определяет требования конфиденциальности при взаимодействии сторон в предпринимательской деятельности.

Конфиденциальность полученной сторонами информации. Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны. Порядок и условия пользования такой информацией определяются соглашением сторон.

Конфиденциальность сведений, составляющих предмет договор. Если иное не предусмотрено договорами на выполнение, научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.

6.2.2. Содержание банковской тайны

Содержание банковской тайны в действующем законодательстве регулируется нормами двух законодательных актов: ст. 857 Гражданского кодекса РФ и ст. 26 Федерального закона «О банках и банковской деятельности» (далее — Закон о банках).

Согласно п.1 ст. 857 ГК РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. Одновременно с этим ст. 26 Закона о банках предоставляет право кредитной организации включать в состав банковской тайны иные сведения, если это не противоречит федеральному закону.

С одной стороны, банковская тайна защищает интересы клиента и запрещает, по общему правилу, доступ третьих лиц (в том числе государства в лице государственных органов) к конфиденциальной информации клиента банка. С другой стороны, нормы, регулирующие правоотношения, связанные с банковской тайной, закрепляют на законодательном уровне исключительные случаи и порядок такого доступа в интересах государства.

Содержание банковской тайны, закрепленное ст. 857 ГК РФ, предполагает распространение режима банковской тайны на все сведения о клиенте при условии, что такие сведения получены банком в ходе его профессиональной деятельности.

Именно деятельность банка, «осуществляемая профессионально, является критерием для определения характера сведений, составляющих банковскую тайну». Банковскую тайну можно определить как профессиональное обязательство банка держать в строжайшей тайне всю информацию, относящуюся к финансовым и личным аспектам деятельности клиентов и некоторых третьих лиц, при условии, что такая информация почерпнута в результате нормального банковского обслужи вания этих клиентов.

В этом плане банковская тайна соотносится с иными видами профессиональной тайны, такими, как тайна страхования, нотариальная, налоговая, врачебная, аудиторская, таможенная и др.

Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией им самим, судам и арбитражным судам (судьям). Счетной палате Российской Федерации, органам государственной налоговой службы, таможенным органам Российской Федерации в случаях, предусмотренных законодательными актами об их деятельности, а при наличии согласия прокурора — органам предварительного следствия по делам, находящимся в их производстве.

В соответствии с законодательством Российской Федерации справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией органам внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений.

Справки по счетам и вкладам физических лиц выдаются кредитной организацией им самим, судам, а при наличии согласия прокурора — органам предварительного следствия по делам, находящимся в их производстве.

Справки по счетам и вкладам в случае смерти их владельцев выдаются кредитной организацией лицам, указанным владельцем счета или вклада в сделанном кредитной организации завещательном распоряжении, нотариальным конторам по находящимся в их производстве наследственным делам о вкладах умерших вкладчиков, а в отношении счетов иностранных граждан — иностранным консульским учреждениям.

Информация по операциям юридических лиц, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, и физических лиц предоставляется кредитными организациями в уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, в случаях, порядке и объеме, которые предусмотрены Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем

За разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Банк — организация повышенного риска, болезненно реагирующая на любые проблемы с репутацией. Банковский рынок основан на доверии, и здесь очень значима инсайдерская (внутрикорпоративная) информация. Именно на нее опираются игроки и аналитики в процессе принятия решений, стоимость которых подчас имеет цену в десятки и сотни миллионов долларов. В этой связи большая роль отводится мероприятиям по обеспечению информационной безопасности банка. А ведущие действия в этой области организуются службой контрразведки.

В большинстве случаев цель — овладение информацией, желание получить преимущества в конкурентной борьбе. При этом интересующие сведения бывают необходимы для совершенствования производственного процесса, снижения издержек, увеличения оборота, повышения конкурентоспособности и эффективности реализации продукции, разработки наиболее правильной стратегии ведения торговых переговоров.

Другой целью является стремление нанести ущерб предприятию, выражающееся в дезинформации контрагентов предприятия, у которых тайна похищена, либо в распространении действительной информации, способной нанести ущерб взаимоотношениям сторон: разрушение производственных и торговых связей, срыв сделок и т.п.

Овладевают банковской тайной путем хищения (открытого или тайного): завладение документами, оставленными без охраны, либо утерянными документами. Часто сотрудники становятся «переносчиками» коммерческой и банковской тайны с одного предприятия на другое. Это происходит при их увольнении с работы, особенно если такое сопровождалось конфликтной ситуацией. Бывший сотрудник, имеющий «на руках» список партнеров и клиентов банка, пытается открыть свое дело и использовать старые связи и доверительные отношения в своих интересах. В итоге налаженным партнерским отношениям может быть нанесен непоправимый ущерб.

6.2.3. Коммерческая тайна

Информацией этой категории владеют сами банки и поэтому вправе ею распоряжаться, а следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.

Суть этих формальностей, изложенных в ст. 139 Гражданского кодекса Российской Федерации, заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность, и эти сведения не могут быть известны третьим лицам в силу каких-либо других условий, во-вторых, банк принимает определенные усилия, чтобы исключить на законных основаниях свободный доступ к этой информации и обеспечить охрану ее конфиденциальности, и, в-третьих, все сотрудники, знакомые с этими сведениями, официально предупреждены об их конфиденциальности.

Установление правовых основ защиты коммерческой тайны и иной конфиденциальной информации, имеющей коммерческую ценность, является важным элементом юридического обеспечения предпринимательской деятельности. В большинстве экономически развитых зарубежных стран законодательство, регулирующее правовой режим коммерческой тайны и устанавливающее ответственность за неправомерное использование, представляет собой весьма развитый нормативный массивный, формирование которого осуществляется как на основе национальных правовых традиций, так и в соответствии с современными стандартами международной торговли.

Большое количество действующих законов и иных правовых актов РФ содержит разрозненные нормы, касающиеся вопросов коммерческой тайны. В основном эти нормы устанавливают обязанность должностных лиц или государственных органов, органов следствия и дознания и лиц, занимающихся соответствующими видами деятельности, соблюдать права обладателей коммерческой тайны, ставшей им известной. Ответственность за нарушение прав обладателя коммерческой тайны установлена нормами ГК РФ и УК РФ РФ, ТК РФ. Наличие значительного количества принятых декларативных норм и их противоречивость создают возможность различного толкования этих норм в правоприменительной практике. До сих пор не имеют однозначного правового разрешения вопросы, касающиеся законных оснований отнесения информации к коммерческой тайне; определения прав обладателя коммерческой тайной; разумной достаточности мер по охране коммерческой тайны; регулирования отношений работодателя и работника в области охраны конфиденциальности информации, составляющей коммерческую тайну. Эти обстоятельства вызвали необходимость разработки специального законодательного акта, регулирующего вопросы коммерческой тайны. 16.08.2004 г. вступил в силу закон «О коммерческой тайне», который учитывает наличие разрозненных норм в российском законодательстве и по своей концепции играет роль кодифицирующего акта. В статье 8 упоминается, что обладателем коммерческой тайны в отношении информации, созданной работником в связи с выполнением им трудовых обязанностей или конкретного задания работодателя, является работодатель, если договором между ним и работником не предусмотрено иное.

Статья 3 закона «О коммерческой тайне» так определяет коммерческую тайну и информацию, составляющую коммерческую тайну: «Коммерческая тайна – конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тайну, – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны».

Понятие коммерческой тайны введено Гражданским Кодексом РФ, где сказано, что «информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Кодексом также определено, что порядок и условия пользования такой информацией определяется соглашением сторон.

Информационная безопасность хозяйственного объекта базируется на достоверной информации о рынке и конкурентах и надежной защите своей коммерческой информации. Коммерческая тайна – информация, связанная именно с коммерческой деятельностью фирмы.

Коммерческая тайна является ее собственностью. Если коммерчес кая тайна является результатом совместной деятельности с другими предприятиями, основанной на договорных началах, то эта тайна может быть собственностью двух сторон. Это обстоятельство долж но найти отражение в договоре.

В соответствии со статьей 3 закона «О коммерческой тайне» под разглашением коммерческой тайны «понимается действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».

Под открытым опубликованием вышеуказанных сведений имеете в виду публикация материалов в открытой печати, передача по радио и телевидению, оглашение на международных и российских съездах, конференциях, совещаниях, симпозиумах, при публичной за щите диссертаций и других публичных выступлениях, свободная рас сылка, вывоз материалов за границу или передача их в любой форме иностранным организациям или отдельным лицам вне сферы прямых служебных обязанностей.

Необходимость и возможность открытого опубликования этих све дений, а также их объемы, формы и время опубликования, опре деляются директором или его заместителями по направлениям по за ключению постоянно действующей экспертной комиссии.

Меры по ограничению открытых публикаций коммерческой инфор мации не могут быть использованы во вред принципу гласности и для сокрытия от общественности фактов бесхозяйственности, расто чительства, недобросовестной конкуренции и других негативных яв лений.

Использование для открытого опубликования сведений, полученных на договорной или доверительной основе или являющихся результа том совместной производственной деятельности, допускается лишь с общего согласия партнеров.

Передача информации сторонним организациям, не связанным пря мыми служебными контактами, должна регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат на предоставление информации и компенсацию за нарушение договорных обязательств.

Предоставление коммерческой информации представителям слу жебных, ревизионных, фискальных и следственных органов, народ ным депутатам, органам печати, радио и пр. регулируется соответ ствующими положениями.

На документы, которые составляют коммерческую тайну, должен быть нанесен гриф « Коммерческая тайна» с указанием ее обладателя (для юридических лиц – полное наименование и место нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)».

Тиражированные документы и издания с грифом «коммерческая тайна» рассматриваются как материалы, содержащие сведения огра ниченного распространения.

Ответственность за обеспечение режима при работе с материала ми с грифом «коммерческая тайна», своевременную разработку и осуществление не обходимых мероприятий по сохранению коммерческой тайны возла гается на директора, его заместителей по направлениям и руково дителей структурных подразделений. Ответственность за организацию и осуществление работы по защите коммерческой тайны и проведе ние постоянного контроля за её соблюдением возлагается на службу безопасности.

Служба безопасности принимает меры по сохранению коммерчес кой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки ин формации с грифом «коммерческая тайна» на защищенных ЭВМ, внесения требований по конфиденциальности конкретной информации в договоры с внут ренними и внешнеторговыми партнерами и других мер по решению руководства.

Защита коммерческой тайны предусматривает:

• порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
• систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;
• порядок работы с документами с грифом «коммерческая тайна»;
• обеспечение сохранности документов, дел и изданий с грифом «коммерческая тайна»;
• обязанности лиц, допущенных к сведениям, составляющим ком мерческую тайну;
• принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющими коммерческую тайну;
• ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.

Контроль за осуществлением учета, размножения, хранения и ис пользования документов, дел и изданий с грифом «коммерческая тайна» возлагается на уполномоченных службы безопасности.

Контроль за неразглашением сведений, содержащихся в документах, делах и изданиях с грифом «коммерческая тайна», осуществля ется отделами службы безопасности.

Определение необходимости проставления грифа «Коммерческая тайна» производится на основании перечня упомянутого выше: на документе – исполнителем и лицом, подписывающим документ, а на издании – автором (составителем) и руководителем, утверж дающим издание к печати.

Сроки действия коммерческой тайны, содержащейся в документе, определяются в каждом конкретном случае исполнителем или лицом, подписавшим документ, в виде конкретной даты или «до заключения контракта», или «бессрочно».

На документах, делах и изданиях, содержащих сведения, состав ляющие коммерческую тайну, проставляется гриф «Коммерческая тайна», а в документах и изданиях, кроме того, – номер; экземпляров.

Порядок работы на ЭВМ при обработке информации с грифом «коммерческая тайна» осуществляется в соответствии с требованиями инструкции о по рядке работы на ПЭВМ при обработке несекретной информации.

6.3. Угрозы банковской безопасности

Угрозы преступного характера или просто преступление — это общественно опасное деяние (действие или бездействие), посягающее на личность, общество и государство, а также на иные охраняемые законом объекты. Осуществляются, как правило, с применением насилия или угроз: терроризм, взлом, ограбление банка, похищение, вымогательство, угроза взрыва.

Преступления «белых воротничков» совершаются, как правило, с помощью подделок и обмана: чековый обман, подделка и фальсификация, компьютерная преступность, воровство и кража, мошенничество и недобросовестная конкуренция.

Виды преступлений экономической направленности: хищения финансовых и материальных средств. мошенничество в сфере финансовой деятельности, незаконные сделки с валютными ценностями, изготовление поддельных денег и др.

Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг банков в ближайшем будущем сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.

В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:

• нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
• невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
• снижение моральной, психологической и производственно ответственности граждан.

На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.

6.3.1. Классификация угроз информационной безопасности

Угроза – это потенциальные или реальные действия, приводящие к моральному или ма териальному ущербу.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

• ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
• модификация информации в криминальных целях как частичное или значительное изменение соста ва и содержания сведений;
• разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения матери ального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциаль ности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.

Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить его величи ну, в идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда.

Исходя из этого, угрозы могут быть классифициро ваны по следующим причинам:

1. П о величине принесенного ущерба:
   • предельный, после которого организация может стать банкротом;
   • значительный, но не приводящий к банкротству;
   • незначительный, который организация за какое-то вре мя может компенсировать.
2. По вероятности возникновения:
   • весьма вероятная угроза;
   • вероятная угроза;
   • маловероятная угроза.
3. По причинам появления:
   • стихийные бедствия;
   • преднамеренные действия.
4. По отношению к объекту:
   • внутренние;
   • внешние.

Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно- управленческого аппарата.

Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производствен ной и трудовой деятельности.

Соотношение внешних и внутренних угроз на ус редненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками организации при их прямом или опосредованном участии; 17% угроз совершается извне – внешние угрозы; 1% угроз совершается случайными лицами.

Отношение объекта (фирма, организация) и субъек та (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, при водящих к овладению конфиденциальными сведения ми. В этом случае возможны такие ситуации:

1. Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить инте ресующие его сведения.
2. Источник информации строго соблюдает меры ин формационной безопасности, тогда злоумышленни ку приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов не санкционированного проникновения.
3. Промежуточная ситуация – это утечка информа ции по техническим каналам, при которой источ ник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых уси лий может их использовать в своих интересах.

Факт получения охраняемых сведений зло умышленниками или конкурентами называют утечкой. Однако, одновременно с этим в значительной части за конодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла шение сведений и несанкционированный доступ к кон фиденциальной информации.

Разглашение – это умышленные или неосто рожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущен ных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и науч ной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому по добные формы общения: обмен официальными дело выми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают лич ное общение (встречи, переписка), выставки, семина ры, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе ты, интервью, радио, телевидение). Как правило, при чиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблю дения. Тут важно отметить, что субъектом в этом про цессе выступает источник (владелец) охраняемых сек ретов.

Утечка – это бесконтрольный выход конфиден циальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различ ным техническим каналам. Известно, что информа ция вообще переносится или передается либо энер гией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого мож но утверждать, что по физической природе возмож ны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, ма териалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визу ально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки ин формации принято понимать физический путь от источника конфиденциальной информации к зло умышленнику, посредством которого последний мо жет получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ – это противо правное преднамеренное овладение конфиденциаль ной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам кон фиденциальной информации реализуется различны ми способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проник новения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто про никать на объект или создавать вблизи него специаль ные посты контроля и наблюдения – стационарных или в подвижном варианте, оборудованных самыми со временными техническими средствами.

Если исходить из комплексного подхода к обеспе чению информационной безопасности, то такое деле ние ориентирует на защиту информации, как от раз глашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Такой подход к классификации действий, способ ствующих неправомерному овладению конфиденци альной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, не обходимых для обеспечения комплексной информаци онной безопасности.

Возможны следующие условия, которые способствуют неправомерному овладению конфиденциальной информацией:

• разглашение (излишняя болтливость сотрудни ков) – 32%;
• несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурен тов и преступных группировок – 24%;
• отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%;
• традиционный обмен производственным опы том -12%;
• бесконтрольное использование информационных систем – 10%;
• наличие предпосылок возникновения среди со трудников конфликтных ситуаций – 8%;

Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

Для того чтобы построить эффективную систему информационной безопасности, необходимо в первую очередь определить реальные и потенциаль ные угрозы, каналы несанкционированного доступа и утечки информации

Одним из основных требований интегральной защиты является системный подход, поэтому при выявлении технических каналов утечки информации не обходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и комму тационные устройства, системы электропитания, системы заземления и т. п.

Наряду с основными техническими средствами, непосредственно связан ными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы, та кие как технические средства открытой телефонной, факсимильной, громко говорящей связи, системы охранной и пожарной сигнализации, электрифика ции, радиофикации, электробытовые приборы и др.

Утечка информации осуществляется по различ ным техническим каналам. Существуют определенные условия, при которых возникают каналы технической утечки информации – это несовершенство схемных решений (конструктивные и технологические) и эксплуатационный износ элементов (изменение параметров и аварийный выход из строя).

Технический канал утечки информации – физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охра няемым сведениям. Движение ин формации в таком канале осуществляется только в одну сторону – от источника к злоумышленнику.

В качестве каналов утечки большой интерес представляют собой вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены основные и вспомогательные технические средст ва, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

Существенную часть составляют технические каналы утечки акустической информации, носителем которой являются акустические сигналы. В зависимости от среды распространения акустических колебаний, способов их перехвата и физической природы возникновения информационных сигналов технические каналы утечки акустической информации можно разделить на воздушные, вибрационные, электро акустические, оптико-электронные и параметрические.

Особый интерес представляет перехват информации при ее передаче по каналам связи. Это вызвано тем, что в этом случае обеспечивается сво бодный несанкционированный доступ к передаваемым сигналам. Единственным га рантированным методом защиты информации в этом случае является криптографическая защита. В зависимости от вида каналов связи техничес кие каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные.

Электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться естественным образом с использованием стандартных технических средств. Этот электромагнитный канал перехвата информации широко используется для прослушива ния телефонных разговоров, ведущихся по радиотелефонам, сотовым телефо нам или по радиорелейным и спутниковым линиям связи.

Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Этот ка нал наиболее часто используется для перехвата телефонных разговоров, при этом перехватываемая информация может быть записана на диктофон или пе редана по радиоканалу. Подобные устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики для ретрансляции перехвачен ной информации, обычно называются телефонными закладками.

Однако непосредственное электрическое подключение аппаратуры пере хвата является компрометирующим признаком. Поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения к каналам связи. Современные индукционные датчики, по сообщениям открытой печати, способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель.

Наиболее динамично развиваются в последнее время методы съема ком пьютерной информации. Несмотря на то, что в этом направлении также ис пользуются различные аппаратные закладки, основные возможности несанкционированного доступа обеспечиваются специальным программным обеспечением, включающим в себя такие составляющие, как компьютерные вирусы, «логические бомбы», «троянские кони», программные закладки и т.п.

Рассмотренные методы получения информации основаны на исполь зовании внешних каналов утечки. Однако необходимо остановиться и на внутренних каналах утечки информации, тем более что обычно им не прида ют должного внимания и много теряют. Внутренние каналы утечки связаны, как правило, с администрацией и обслуживающим персоналом, с каче ством организации режима работы. Из них в первую очередь можно отметить такие каналы утечки, как хищение носителей информации, съем информации с ленты принтера и плохо стертых дискет, использование произ водственных и технологических отходов, визуальный съем информации с дисплея и принтера, несанкционированное копирование.

Среди источников несанкционирован ного доступа к источникам конфиденциальной инфор мации можно выделить следующие.

Инициативное сотрудничество проявляется в оп ределенных действиях лиц, чем-то неудовлетворен ных или остро нуждающихся в средствах к существо ванию, из числа работающих на предприятии или просто готовых ради наживы на любые противоправные действия.

Склонение к сотрудничеству – это, как правило, насильственное действие со стороны злоумышленни ков. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа. Склонение к сотрудничеству реализуется в виде реальных угроз, преследования и других действий, выражающихся в преследовании, оскорблении, надругательстве и т.д.

Выведывание, выпытывание – это стремление под видом наивных вопросов получить определенные све дения. Выпытывать информацию можно и ложными трудоустройствами, и созданием ложных организаций, и дру гими действиями.

Подслушивание – способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищре ния, используют для этого специальных людей, сотруд ников, современную технику, различные приемы ее применения.

Наблюдение – способ ведения разведки о состо янии и деятельности противника. Ведется визуально и с помощью оптических приборов. Процесс наблюдения довольно сложен, так как требует значительных затрат сил и средств. Поэтому наблюдение, как правило, ведется целенаправленно, в определенное вре мя и в нужном месте специально подготовленными людьми.

Хищение – умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией. Похищают все, что плохо лежит, включая документы, продукцию, дискеты, клю чи, коды, пароли и шифры.

Копирование. В практике криминальных действий копируют документы, содержащие интересующие зло умышленника сведения; информацию, обрабатывае мую в АСОД (автоматизированные системы обработ ки данных.

Подделка (модификация, фальсификация) в усло виях беззастенчивой конкуренции приобрела большие масштабы. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую докумен тацию, ключи, пропуска, пароли и т. д.

Уничтожение. В части информации особую опас ность представляет ее уничтожение в АСОД, в кото рой накапливаются на технических носителях огром ные объемы сведений различного характера, причем многие из них весьма трудно изготовить в виде нема шинных аналогов. Уничтожаются и люди, и докумен ты, и средства обработки информации, и продукция.

Незаконное подключение . Под незаконным под ключением будем понимать контактное или бесконтак тное подключение к различным линиям и проводам с целью несанкционированного доступа к информации. Подключение возможно как к проводным линиям телефонной и телеграфной связи, так и к линиям связи иного информационного назначе ния: линиям передачи данных, соединительным лини ям периферийных устройств больших и малых ЭВМ, линиям диспетчерской связи, конференцсвязи, пита ния, заземления и другими.

Перехват. В практике радиоэлектронной развед ки под перехватом понимают получение разведыва тельной информации за счет приема сигналов элект ромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации.

Негласное ознакомление – способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность что-то узнать (открытый документ на столе во время беседы с посетителем, наблюдение экрана ПЭВМ со значительного расстояния в момент работы с закры той информацией и т. д.).

Фотографирование – способ получения видимо го изображения объектов криминальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифровании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.

Сбор и аналитическая обработка являются завер шающим этапом изучения и обобщения добытой инфор мации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем больши ми информационными возможностями обладает зло умышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное ре шение.

В общем плане мероприятия по противодействию несанкционированному доступу к источникам конфи денциальной информации с помощью технических средств можно свести к следующим основным направ лениям:

• защита от наблюдения и фотографирования;
• защита от подслушивания;
• защита от незаконного подключения;
• защита от перехвата.

6.3.2. Мошенничество в финансовой сфере

В российском уголовном праве мошенничество — одно из преступлений против собственности, одна из ненасильственных форм хищения, представляет собой завладение чужим имуществом путем обмана либо злоупотребления доверием. Квалифицированным является мошенничество, совершенное повторно или по предварительному сговору группой лиц, а также совершенное в крупных масштабах, или организованной группой, или особо опасным рецидивистом.

Мошеннические действия на финансовом рынке России совершаются при следующих операциях:

• Продажа и покупка ценных бумаг.
• Предоставление и получение кредита.
• Предоставление вексельного кредита.
• Инкассирование векселей (выполнение банком поручений векселедержателей по получению платежей либо предъявлению векселей для оплаты).
• Вексельное поручительство банка.
• Предоставление залога в обеспечение возвратности выданных ссуд.
• Проведение расчетов по кредитным картам.
• Страхование кредитов и сделок.
• Операции по выдаче невозвратного кредита.
• Получение кредита за взятку, данную сотруднику банка.
• Получение кредита фирмой, тайно контролируемой криминальной структурой, и исчезновение руководства фирмы.
• Фальшивые авизо.

Мошенничество по видам может подразделяться на:

• мошенничество наемных сотрудников в отношении своего предприятия;
• мошенничество при аферах с инвестициями;
• мошенничество в области финансовой отчетности;
• мошенничество в банковской области;
• мошенничество в страховом деле;
• мошенничество в отношениях с партнерами;
• мошенничество в области приватизации;
• мошенничество в деловых партнерских отношениях;
• мошенничество в области конкуренции;
• мошенничество в области рекламы;
• мошенничество с использованием компьютерной техники.

Мошенничество бывает довольно трудно обнаружить, ибо свои действия мошенники не выставляют напоказ.

Кроме того, обнаруженные признаки мошенничества не являются доказательствами преступления, а лишь его симптомами. Поэтому приходится много работать, чтобы убедиться, что эти симптомы действительно свидетельствуют о совершенном преступлении.

Признаки мошенничества со стороны персонала банка можно подразделить на следующие группы.

• Нестандартные (искаженные) данные в бухгалтерских документах.
• Отклонения от средних (нормальных) значений величин или показателей.
• Выходящий за обычные рамки образ жизни сотрудника со стандартным для него доходом.
• Необычное поведение сотрудника.
• Поступление сигналов и жалоб.

Признаки мошенничества со стороны руководителей банков можно подразделить на следующие.

• Аномалии в деятельности банка.
• Личные негативные качества директоров.
• Аномалии в организационной структуре.
• Особые отношения со сторонними партнерами.

Признаки мошенничества в деятельности банка — э то, прежде всего, настораживающие моменты в финансовой отчетности:

• необъяснимые изменения в балансовой отчетности;
• работа на грани кризиса — нулевые балансы;
• уменьшение прибыли в отчете доходов;
• необычно крупные сделки перед ликвидацией банка;
• сокрытие невозврата больших кредитов, выданных банком;
• уменьшение отчетной прибыли за счет распродажи за наличный расчет;
• недостаточность оборотного капитала как своего, так и инвестированного;
• невозврат выданных кредитов, товаров и т.п.;
• более быстрый рост расходов по сравнению с доходами;
• наличие больших арбитражных дел;
• получение скрытой прибыли при продажах за наличный расчет.

6.3.3. Промышленный шпионаж

Развитие предпринимательской деятельности в нашей стране обусловило активизацию деятельности в области экономической разведки и промышленного шпионажа.

Промышленный шпионаж — это получение обманным путем конфиденциальной информации, используемой для достижения промышленных, коммерческих, финансовых и других криминальных целей.

Конкурентная борьба в условиях рыночной экономики невозможна без получения своевременной и достоверной информации, а стремление получить эту информацию в условиях закрытого доступа порождает недобросовестные действия, т.е. шпионаж за конкурентом. Чтобы добыть коммерческие секреты за счет использования различных каналов негласного получения конфиденциальной информации промышленными шпионами, разработана разведывательная аппаратура самого различного назначения и технологического исполнения.

В настоящее время промышленный шпионаж стал областью экономики, в которой вращаются миллиарды долларов. Создана своя структура и методология, используются самые современные технические средства и системы.

Целью промышленного шпионажа является получение данных о перспективах деятельности конкурента, производственных процессах, торговой стратегии и результатах научных исследований и промышленных разработок, об организациях, продающих его товар, списков потребителей, расчетных документов.

Экономической основой процветания промышленного шпионажа является конкуренция. Важным условием эффективности конкурентной борьбы является сохранение в тайне сведений, овладение которыми посторонними лицами могло бы ослабить экономические позиции предприятия и нанести ему ущерб. Данные сведения описываются понятием коммерческая или банковская тайна.

Промышленный шпионаж не позволяет реализовать предприятию конкурентные преимущества, обесценивает значительные затраты, связанные с осуществлением исследований, опытно-конструкторских разработок и других мер. В то же время недобросовестный конкурент имеет возможность резко снизить издержки конкурентной борьбы.

6.3.4. Компьютерные преступления

Интенсивное развитие и внедрение в практику современных информационных технологий значительно повысило уязвимость экономически значимой, в первую очередь банковской, информации, циркулирующей в информационно-телекоммуникационных системах кредитно-финансовой сферы.

Наиболее часто проблемы с защитой такого рода информации возникают из-за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.

Причиной повышения уязвимости этой информации является широкое распространение глобальных открытых компьютерных сетей типа Интернет, построенных на основе телекоммуникационных магистралей общего пользования.

Виды компьютерных преступлений :

1. Кража:
   • технических средств (винчестеров, ноутбуков, системных блоков);
   • носителей информации (бумажных, магнитных, оптических и пр.);
   • информации (чтение и несанкционированное копирование);
   • средств доступа (ключи, пароли, ключевая документация и пр.).
2. Подмена (модификация):
   • операционных систем;
   • систем управления базами данных;
   • прикладных программ;
   • информации (данных), отрицание факта отправки сообщений;
   • паролей и правил доступа.
3. Уничтожение (разрушение):
   • технических средств (винчестеров, ноутбуков, системных блоков);
   • носителей информации (бумажных, магнитных, оптических и пр.);
   • программного обеспечения (ОС, СУБД, прикладного ПО);
   • информации (файлов, данных);
   • паролей и ключевой информации.
4. Нарушение нормальной работы (прерывание):
   • скорости обработки информации;
   • пропускной способности каналов связи;
   • объемов свободной оперативной памяти;
   • объемов свободного дискового пространства;
   • электропитания технических средств.
5. Ошибки:
   • при инсталляции ПО, ОС, СУБД;
   • при написании прикладного ПО;
   • при эксплуатации ПО;
   • при эксплуатации технических средств.
6. Перехват информации (несанкционированный):
   • за счет ПЭМИ от технических средств;
   • за счет наводок по линиям электропитания;
   • за счет наводок по посторонним проводникам;
   • по акустическому каналу от средств вывода;
   • по акустическому каналу при обсуждении вопросов;
   • при подключении к каналам передачи информации;
   • за счет нарушения установленных правил доступа (взлом).

Современные информационные телекоммуникационные системы предоставляют преступникам и недобросовестным конкурентам широкий спектр возможностей для совершения различного рода преступлений, ведения промышленного шпионажа, а также реализации иных форм негативного воздействия на деятельность государственных и коммерческих организаций.

В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.

6.4. Виды обеспечения информационной безопасности банковских систем и сетей

6.4.1. Правовое обеспечение безопасности банка

Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». По категориям доступа информация делится на открытую (общедоступную) и закрытую (с ограниченным доступом). К последней относится только три вида информации:

1. Сведения, отнесенные к государственной тайне;
2. Персональные данные;
3. Конфиденциальная документированная информация.

Вся прочая информация является общественно доступной. Некоторые виды информации, доступ к которым ограничивать нельзя, прямо названы законодательством. Среди них: законодательные и другие нормативные акты; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования нанесенных пунктов, производственных объектов, безопасности граждан и населения в целом; информация о состоянии экономически и потребностях населения; информация, представляющая общественный интерес или необходимая для реализации прав, свобод и обязанностей граждан. За сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей, установлена уголовная ответственность.

Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, относятся к персональным данным и являются разновидностью более широкого понятия – конфиденциальная информация. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Незаконное получение и использование персональных данных индивидуального предпринимателя или сотрудников руководящего звена фирмы может нанести ущерб их бизнесу.

Важнейшими задачами в области защиты информации являются:

1. Установление необходимого баланса между потребностью в свободном обмене документами (сведениями) и допустимыми ограничениями доступа к ним;
2. Совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
3. Разработка соответствующей нормативной правовой базы и координация деятельности федеральных органов государственной власти и управления, органов государственной власти и управления субъектов РФ, местного самоуправления, организаций и предприятий, независимо от формы собственности для решения задач обеспечения государственной тайны и конфиденциальности информации и документов.

В настоящее время спектр правового обеспечения в данной сфере довольно широк, начиная от законодательных актов федерального уровня, Указов Президента РФ, правовых нормативных актов субъектов Федерации, постановлений Правительства, заканчивая отраслевыми приказами, инструкциями, положениями.

Важнейшим направлением обеспечения информационной безопасности является правовое регулирование. С учетом этого Советом безопасности была образована комиссия по вопросам совершенствования нормативно–правовой базы в области обеспечения информационной безопасности, одной из основных задач которой стала разработка основных направлений нормативно-правового обеспечения информационной безопасности РФ.

Основные направления нормативно-правового обеспечения информационной безопасности:

1. Информационная безопасность представляет собой состояние защищенности национальных интересов от угроз в информационной сфере, которая представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы возникающих при этом общественных отношений.
2. Правовое обеспечение информационной безопасности представляет собой совокупность средств правового воздействия на общественные отношения по поводу информации и информационной инфраструктуры, включенных в реализацию национальных интересов в информационной сфере, для защиты этих отношений от угроз внутреннего и внешнего характера.
3. Основным объектом правового обеспечения безопасности являются включенные в реализацию национальных интересов в информационной сфере общественные отношения, которым может быть нанесен вред.

6.4.2. Организационное обеспечение банковской безопасности

Любая предпринимательская деятельность по своей сути является весьма разносторонней. Она связана с решением организационных вопросов, правовыми и экономическими проблемами, техническими аспектами, кадровыми и т.д. Особенно усложняется управление крупным предприятием, которое имеет широчайшие деловые связи и значительное количество контрагентов, кредиторов, заемщиков, клиентов. Именно банк является таким крупным предприятием.

В любом случае каждый банк представляет собой систему, включающую основные элементы и связи между ними. Система — это совокупность объектов, взаимодействие которых обусловливает наличие интегрированных качеств, не свойственных ее частям, компонентам. Как раз по этим линиям внутренних и внешних связей системы и могут реализоваться угрозы ее экономической безопасности. Для обеспечения максимальной степени защиты от этих угроз и необходима определенная деятельность, которая также должна носить системный характер.

Объектом системы обеспечения безопасности выступает стабильное состояние в текущем и перспективном периоде. Именно от объекта защиты во многом зависят основные характеристики системы обеспечения безопасности. Поскольку объект защиты является сложным, многоаспектным, то эффективное обеспечение безопасности должно основываться на комплексном подходе к управлению этим процессом. Комплексный подход предполагает учет в управлении объектом всех основных его аспектов, и все элементы управляемой системы рассматриваются только в совокупности, целостности, единстве. Таким образом, необходимо создание комплексной системы обеспечения банковской безопасности.

Комплексная система обеспечения банковской безопасности — это совокупность взаимосвязанных мероприятий организационно-правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.

Обеспечение безопасности коммерческого банка является неотъемлемой составной частью финансовой деятельности. Состояние безопасности представляет собой умение и способность противостоять любым попыткам различных структур нанести ущерб банку и защиту его интересов от внутренних и внешних угроз.

Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью преступных и противоправных действий против банка необходима стройная и целенаправленная организация противодействия злонамеренным и противоправным замыслам.

Целями системы безопасности являются:

• защита прав банка, его структурных подразделений и сотрудников;
• сохранение и эффективное использование финансовых, материальных и информационных ресурсов;
• своевременное выявление и устранение угроз, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развития банка;
• отнесение информации к категории ограниченного доступа (служебной, банковской, коммерческой тайнам, иной конфиденциальной информации), к различным уровням уязвимости;
• создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций функционирования;
• эффективное пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц для ослабления негативного влияния последствий нарушения безопасности на достижение стратегических целей.

Основными задачами системы безопасности являются:

• обеспечение безопасности функционирования банка, его кредитно-финансовой деятельности и защиты конфиденциальной информации;
• организация работы по правовой, организационной и инженерно-технической защите материальных, финансовых и информационных ресурсов;
• организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;
• выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;
• обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;
• обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;
• обеспечение безопасности персонала;
• информационно-аналитическая деятельность в интересах оценки ситуаций и выявления неправомерных действий злоумышленников и конкурентов.

Система безопасности действует на основе следующих организационно-правовых документов:

1. Устава банка;
2. Положения о системе безопасности;
3. Руководства по защите конфиденциальной информации;
4. Инструкции о порядке работы с иностранными специалистами;
5. Руководства по инженерно-технической защите помещений и технических средств.

6.4.4. Инженерно-техническое обеспечение безопасности банка

К основным средствам инженерно-технической защиты информа ции относятся:

• физические средства защиты;
• аппаратные средства защиты;
• программные средства защиты;
• математические (криптографические) методы защиты.
• Указанные средства применяются для решения следующих задач:
• охраны территории и наблюдения за ней;
• охраны зданий, внутренних помещений и наблюдения за ними;
• охрана оборудования, хранилищ и перемещаемых носителей и к осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;
• создания препятствия визуальному наблюдению;
• исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронно-вычислительной т ехники.

Для выполнения этих задач группа инженерно-технической защиты осуществляет организационные, организационно-технические и техни ческие мероприятия.

К организационным мероприятия относятся меры ограничительного характера, сводящиеся в основном к регламентации доступа и ис пользования технических средств обеспечения производственной и трудовой деятельности и обработки конфиденциальной информации в традиционных или автоматизированных режимах. Они, как правило, проводятся силами службы безопасности путем использования про стейших организационных мер и доступных для этого технических средств. Организационные мероприятия предусматривают:

• определение границ охраняемой зоны (территории);
• определение технических средств, используемых для обработки конфиденциальной информации в пределах охраняемой зоны (терри тории);
• определение опасных с точки зрения возможности образования каналов утечки информации или способов несанкционированного до ступа к ней через технические средства;
• реализацию мер локализации или воспрещения возможных ка налов утечки конфиденциальной информации или способов НСД;
• организацию контроля (поиска и обнаружения) возможного не контролируемого излучения опасных сигналов за счет побочных электромагнитных излучений и наводок (ПЭМИН) или специально используемых для этого сигналов;
• организацию строгого контроля прохода и проноса каких-либо предметов, устройств, средств, механизмов в контролируемую зону, способных представлять собой технические средства получения и передачи конфиденциальной информации.

Организационно-технические мероприятия обеспечивают блокиро вание возможных каналов утечки информации через технические средства обеспечения производственной и трудовой деятельности с помощью специальных технических средств, устанавливаемых на эле менты конструкции зданий, помещений и технических средств, потен циально образующих возможные каналы утечки информации.

Для этих целей возможно использование:

• технических средств пассивной защиты: фильтры, ограничители и средства развязки электрических и электромагнитных сигналов, системы защиты сетей электроснабжения и др.;
• технических средств активной защиты: датчики акустических шумов и электромагнитных помех.

Технические мероприятия обеспечивают приобретение, установку и использование в процессе производственной деятельности специаль ных, защищенных от побочных излучений и наводок, технических средств обработки конфиденциальной информации или средств, которых не превышают норм на границе охраняемой тер ритории.

Мероприятия по блокированию несанкционированного получения конфиденциальной информации с помощью технических средств сво дятся к следующим основным направлениям:

• защита от наблюдения и фотографирования;
• защита от подслушивания;
• защита от перехвата.
• Защита от наблюдения и фотографирования предполагает:
• выбор оптимального расположения средств документирования, размножения и отображения (экраны ПЭВМ) информации с целью исключения прямого или дистанционного наблюдения (фотографиро вания);
• использование светонепроницаемых стекол, занавесок, драпиро вок, пленок и других защитных материалов и конструкций (решетки, ставни, жалюзи и др.);
• выбор помещений, обращенных окнами в безопасные зоны, на правления;
• использование программных средств гашения экранов ПЭВМ после определенного времени работы (работа по режиму времени).

Защита от подслушивания реализуется:

• применением звукопоглощающих облицовок, специальных там буров дверных проемов, двойных оконных переплетов;
• использованием средств акустического зашумления объемов и поверхностей (стены, окна, радиаторы отопления, вентиляционные ка налы);
• закрытием вентиляционных каналов, систем ввода в помещении отопления, питания, телефонных и радиокоммуникаций, систем ох ранно-пожарной сигнализации;
• использованием специальных аттестованных помещений, исклю чающих появление каналов утечки конфиденциальной информации.

Защита от перехвата побочных электромагнитных излучений и нав одок самого различного характера обеспечивается:

• размещением источников ПЭМИН на максимально возможном удалении от границы охраняемой (контролируемой) зоны;
• экранированием помещений, средств канальных коммуникаций;
• использованием пространственного и линейного электромагнит ного зашумления;
• использованием автономных телефонных систем, локальных сис тем ЭВМ, не имеющих выхода за пределы охраняемой территории;
• развязкой по цепям питания и заземления, размещенным в гра ницах охраняемой зоны;
• использованием подавляющих фильтров в информационных цепях, цепях питания и заземления.

Необходимо периодически проводить аттестацию защищенных помещений. Аттестация защищаемых техническими мерами помещений имеет целью установить наличие в этих помещениях технических средств обеспечения производственной и трудовой деятельности и определить соответствие их характеристик требованиям безопасности.

На каждое такое помещение составляется технический паспорт, в котором указываются технические средства, их типы, номера, реаль ные технические характеристики и соединительные линии связи, пита­ ния, заземления и их состояние.

Технические паспорта помещений хранятся в группе инженерно- технической защиты. При установке или изъятии каких-либо техни ческих средств обязательно внесение изменений в паспорт поме щения.

С учетом результатов анализа состава технических средств в за щищаемых помещениях и результатов их специсследований устанав ливается опасность тех или иных устройств как потенциальных источ ников образования каналов утечки охраняемых сведений, и вырабаты ваются целесообразные мероприятия по их локализации.

Существуют различные средства технической защиты информации. Для облегчения и ускорения процесса поиска специальных технических средств негласного съема информации ограниченного доступа были разработаны индикаторы электромагнитного поля. Самый простой из них – это широкополосный приемный тракт и пороговый детектор с индикатором, выполненным на светодиоде. При превышении порога покоя светодиод засвечивается. Чем выше напряженность электромагнитного поля, тем ярче светится светодиод. В момент свечения индикатора невозможно определить, какую частоту в данный момент «захватил» прибор и не сменилась ли она при перемещении индикатора поля в помещении.

Следующая группа технических средств, направленных на выявление радиопередающих устройств негласного съема информации ограниченного доступа, – сканирующие приемники, индикаторы поля-частотомеры и приемники-корреляторы. Есть диапазон частот, которые приемник может принимать, и оператор, задавая границы диапазона сканирования, шаг перестройки, вид демодулятора, просматривает весь диапазон, останавливается на каждой частоте и приводит анализ, больше руководствуясь своим опытом, нежели возможностями технического устройства.

Используя сканирующий приемник для выявления опасных частот, можно определить необходимые для идентификации параметры частоты. Но с помощью сканирующего приемника достаточно сложно локализовать место установки радиопередающего устройства негласного съема информации с передачей по радиоканалу.

Все эти устройства позволяют определить лишь действующие на данный момент радиозакладные устройства. Для поиска устройств, находящихся в режиме накопления, в ждущем режиме или вышедших из строя на момент выявления применяется метод нелинейной локации. Ряд нелинейных локаторов в настоящее время производится в России, они нисколько не уступают импортным аналогам, а по некоторым характеристикам и превосходят их.

Для защиты информации традиционно используется криптография, позволяющая сделать сообщение недоступным для нарушителя. Но для целого ряда задач информационной безопасности требуется не только скрыть содержимое сообщения, но и засекретить сам факт его передачи, что является классической задачей стенографии. К задачам стенографии относятся организация скрытых каналов связи и системы цифровых водяных знаков (ЦВЗ). Цель систем ЦВЗ – внедрение в основное сообщение некоторой дополнительной информации, которая не обязательно должна быть секретной. Часто это идентификационный код собственника сообщения, вложенный с использованием секретного ключа, причем вложение производится таким образом, чтобы сообщение не искажалось значительно, а выделение дополнительной информации оставалось бы возможным после любых преобразований сообщения, которые не искажают основного сообщения. Главное свойство системы должно состоять в том, что без знания ключа никто не в состоянии удалить идентификационную информацию, не испортив основного сообщения.

Основные области применения ЦВЗ:

• контроль за распространением рекламы – при встраивании водяного знака в рекламные ролики рекламодатели имеют возможность автоматически отслеживать показ рекламы в эфире;
• идентификация собственника – в мультимедийный ресурс встраивается сообщение, информирующее пользователя об обладателе прав собственности на данный ресурс;
• доказательство прав собственности – в данном случае вложенный водяной знак не только информирует о праве собственности, но и может служить в качестве ее юридического доказательства;
• отслеживание сделок – в основное сообщение встраивается информация о получателе конкретного экземпляра, чтобы в дальнейшем можно было отследить распространителя нелегальных копий;
• аутентификация сообщения – используется для подтверждения подлинности сообщения без расширения формата;
• защита от копирования – в сообщении, запрещенные для копирования, встраивается водяной знак, сообщающий устройствам записи о невозможности создания копии;
• защита устройств – позволяет устройствам автоматически реагировать на некоторые сообщения.

6.5. Подходы к обеспечению безопасности банковских систем и сетей

Подходы к обеспечению безопасности банковских систем и сетей основаны на следующих принципах. Прежде всего, это принцип комплексности, который означает:

• обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
• обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
• способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования банка.

• обеспечением соответствующего режима и охраны;
• организацией специального делопроизводства с ориентацией на защиту банковских секретов;
• мероприятиями по подбору и расстановке кадров;
• широким использованием технических средств безопасности и защиты информации;
• развернутой информационно-аналитической и детективной деятельностью.

Второй важный принцип – своевременность.

Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки на основе анализа и прогнозирования экономической обстановки, угроз безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы банка.

Следующий принцип – непрерывность. Считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам. Соответственно, защита должна это учитывать.

Далее следует активность. Защищать интересы банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.

Безусловно, важнейший принцип – законность . Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации и защиты информации, частной детективной и охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

Следующий принцип — обоснованность. Используемые возможности и средства безопасности должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.

И, наконец, важным принципом является экономичность. Имеется ввиду экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий «эффективность — стоимость»). Во всех случаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов угроз.

В процессе в ыбора методов и средств обеспечения информационной безопасности банковских систем и сетей предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности и функциональных и обслуживающих подразделений.

Важным в данном случае является принцип взаимодействия и координации, что означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб банка, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.

Должно быть предусмотрено совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта. Предполагается самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и с централизованным управлением деятельностью системы безопасности банка.

В целом рассмотренные подходы к построению системы информационной безопасности банка позволяют:

• разработать эффективную политику безопасности банка;
• провести анализ рисков и оценить уровень текущего состояния информа ционной безопасности банка;
• сравнить эффективность различных вариантов и обосновать выбор контрмер;
• выработать рекомендации по обеспечению (повышению) информационной безопасности банка;
• поддерживать уровень информационной безопасности банка на заданном уровне.

Использование рассмотренной концепции комплексной защиты информационных банковских систем и сетей служит основой по строения эффективной и надежной системы информационной безопасности, ко торую можно развивать и модифицировать вместе с общим развитием банковской информационной системы.

Источник