|
|
Обеспечение безопасности и защита банковской информацииСОДЕРЖАНИЕ Введение 3 направления обеспечения безопасности банка россии 6 1.1. БАНКОВСКИЙ ШПИОНАЖ 6 1.2. УТЕЧКА ИНФОРМАЦИИ ИЗ КОМПЬЮТЕРНЫХ СЕТЕЙ 7 1.3. ЗАЩИТА ПЛАТЕЖНЫХ ДОКУМЕНТОВ 11 1.4. ВНУТРЕННЯЯ БЕЗОПАСНОСТЬ. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ 12 Службы банка россии, обеспечивающие безопасность банковской деятельности 15 3. Виды электронных банковских технологий 16 3.1. ОТЕЧЕСТВЕННЫЕ АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ БАНКОВСКИХ ТЕХНОЛОГИЙ 16 3.2. ЗАРУБЕЖНЫЕ СИСТЕМЫ АВТОМАТИЗАЦИИ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ 21 3.3. СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ 27 3.4. КЛАССИФИКАЦИЯ, КОДИРОВАНИЕ И КОНТРОЛЬ ТЕХНИКО-ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ 36 4. Защита платежных документов на бумажном носителе 42 5. Организация службы внутренней безопасности 48 5.1. ПОРЯДОК ОРГАНИЗАЦИИ ОХРАНЫ, ПРОПУСКНОГО РЕЖИМА 48 5.2. ПОРЯДОК ОРГАНИЗАЦИИ ПРОТИВОПОЖАРНОЙ ОХРАНЫ 48 5.3. ВИДЕООХРАННЫЕ УСТРОЙСТВА 49 6. Личная безопасность работников банка России 51 Заключение 53 приложения 55 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 59 ВВЕДЕНИЕ Одной из важнейших проблем функционирования банка как такового является проблема его безопасности. Данная проблема очень многообразна, крупнейшими сферами банковской безопасности являются: обеспечение безопасности банковской информации (банковской тайны) и обеспечение безопасности банка как такового, то есть личной безопасности сотрудников и сохранности материальных и финансовых активов (имущества). Именно эту часть проблемы безопасности осуществляет, в первую очередь, служба безопасности банка. Таким образом, в условиях рыночных отношений в России, в условиях развития (и довольно бурного, во многом стихийно-хаотичного, когда законодательная база очень часто отстает от развития новых для России экономических отношений) первой фазы рынка - периода первоначального накопления капитала, когда яростная конкурентная борьба за выживание, рост, процветание сопровождается всеми атрибутами этой борьбы, вплоть до криминальных, вызывает к жизни и остро ставят вышеперечисленные проблемы безопасности банковской системы в целом и Банка России, в частности, важнейшим элементом банковской безопасности является оберегание, сохранение "банковской тайны". Понятие "банковской тайны" традиционно трактуется в двух основных значениях: 1) в широком смысле банковская тайна понимается как разновидность коммерческой тайны, то есть конфиденциальные сведения, принадлежащие самому банку; 2) в узком смысле под ней подразумевают обязанность сохранять тайну по операциям клиентов, их вкладам и счетам. Таким образом, видно, что банковская тайна по сущности является разновидностью тайны профессиональной, ибо она отличается от коммерческой тем, что ее носитель не имеет личной заинтересованности в ее конфиденциальности при производном характере его прав на эти сведения. Например, банку безразлично, станет ли известно об операциях по счетам его клиентов их конкурентам и т.д., в силу чего, такую заинтересованность устанавливает законодатель, налагая на банковских служащих обязанность соблюдения банковской тайны и превращая банки в гарантов исполнения этих обязанностей. Понимание действительной сущности "банковской тайны" служащими банка позволяет последним сохранять ее на уровне внутренне морального убеждения в действительной (а не мнимой, по принуждению) ее сохранности для поддержания репутации банка как надежного и ответственного учреждения. С бурным развитием банковской системы России, развитием Банка России большое значение уделяется правовой (законодательной) охране банковских клиентов. В силу специфических особенностей деятельности банков этому вопросу огромное внимание уделяется не только в России, но и за рубежом. Например, общефедеральным законом в Германии установлено, что сотрудники Федерального банковского контроля и Немецкого Федерального банка, контролеры и аудиторы, которые в ходе своей деятельности или из официальных отчетов узнали факты, составляющие банковскую тайну, либо тайну третьих лиц (торговые и бизнес секреты), не имеют право передавать данные сведения кому бы то ни было или использовать их не для служебных целей, даже если они покинули службу и их деятельность закончена. В дореволюционной России в образцовых (примерных) Уставах Азовско-Донецкого коммерческого банка, Варшавского учетного банка, Тифлисского коммерческого банка, утвержденных в 1871 г. понятие банковской тайны определялось тем, что члены Совета и Правления и все служащие в банке были обязаны хранить тайну во всем, что касается вверяемых банку частных вкладов, коммерческих дел и расчетов. В послереволюционный период, в результате ликвидации частной собственности, централизации всей финансово-кредитной системы в руках государства, банковская тайна распространялась лишь на вклады граждан в сберегательных учреждениях. После качественных социальных, коренным образом затронувших как политику, так и экономику, преобразований в России (была ликвидирована государственная монополия на собственность, получила право на жизнь частная собственность и т.д.), что повлекло, в частности, образование и бурный рост частных, коммерческих банков, расширились и усилились требования, как к безопасности самих банков, так и к банковской тайне, носителями которой они являются. Понятие и содержание банковской тайны было закреплено в Федеральном законе "О банках и банковской деятельности в РСФСР". В главе III, ст. 26 "Банковская тайна" определено, что: кредитная организация, Банк России гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией. Передача сведений, составляющих банковскую тайну возможна, согласно данной статье Закона, строго определенному кругу государственных организаций в основном для проведения проверок, связанных с нарушением установленного Законодательства. Особо оговаривается роль и место Центрального Банка России в сохранении банковской тайны: он не вправе разглашать сведения не только о счетах, вкладах а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных Федеральными Законами. Аудиторские организации не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученных в ходе проводимых ими проверок, за исключением случаев, предусмотренных Федеральным Законом. Четко в законе сформулирована и ответственность: за разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном Федеральным Законом.1 Таким образом, являясь центральным пунктом, в системе банковской безопасности, банковская тайна является предметом постоянной защиты со стороны государства, банков, с одной стороны и постоянных попыток ее незаконного раскрытия в целях корысти, хищений, подрыва конкурентов и т.д. 1. направления обеспечения безопасности банка россии В Банке России интенсивно развиваются системы информатизации и телекоммуникаций. К сожалению, этот процесс проходит на фоне обострения криминогенной ситуации в сфере банковской деятельности, и поэтому большое значение приобретают проблемы развития и совершенствования системы обеспечения информационной безопасности. Преступные посягательства в сфере банковской деятельности приобретают все более интеллектуальный характер. Большой ценностью для преступных элементов становится информация о системах организации банковских платежных и информационных технологий, а также о системах обеспечения их безопасности. Поэтому служба безопасности и защиты информации использует комплекс мер защиты по целому ряду направлений: - техническая защита информации; - защита платежных документов; - внутренняя безопасность; - личная безопасность и т.д. 1.1. Банковский шпионаж Защита банковской информации становится все более актуальной, выдвинувшись на первое место относительно физической охраны и средств технической защиты помещения банков. Одним из главных методов овладения банковской информацией, является банковский шпионаж. Под банковским шпионажем понимается незаконное, скрытое, тайное добывание банковской информации с целью ее противозаконного использования. Основными каналами утечки информации являются: Перехват электроакустических преобразований в аппаратуре, имеющей линии связи, путем подключения к этим линиям аппаратуры. Перехват информативных побочных электромагнитных излучений и наводок, возникающих при работе технических средств. Перехват разговоров, ведущихся в служебных помещениях с помощью чувствительных микрофонов, лазерных систем, реагирующих на колебание стекол окон (где ведется разговор). Перехват визуальной информации из распечаток, полученных с использованием ЭВМ и других служебных документов путем использования высокочувствительных оптических и фотосредств. Кроме данных паразитных (побочных) технических каналов утечки могут создаваться и утечки информации с помощью миниатюрных закладных устройств-приборов для несанкционированного сбора и передачи информации на расстояния до нескольких сот метров, "клопы" на одежде, "жучки" в остальных случаях. К техническим каналам утечки информации относится также непосредственный перехват информационных сигналов, передаваемых по линиям связи, путем гальванического и бесконтактного подключения к этим линиям специальной аппаратуры. Банком России, другими банками проводятся работы по блокировке систем на договорной основе со специализированными организациями. В настоящее время создается и в некоторых сферах уже реально существует рынок сертифицированных средств защиты информации и банки, в том числе Банк России, заинтересованы в его дальнейшем развитии. Защитные меры от утечки информации по техническим каналам носят различный характер в зависимости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной вычислительной системы или программы. Такими мерами могут быть: доработка аппаратуры с целью уменьшения уровня сигналов, установка специальных фильтров, параллельно работающих аппаратных генераторов шума, специальных экранов и другие меры. Выбор спецсредств очень широк - это приемники, сканеры, устройства для контроля телефонных линий, переносные автомобильные радиостанции, устройства акустического контроля, блокираторы "жучков", устройства для обнаружения радио-закладок и защиты от прослушивания, системы видео-наблюдения, видео-домофоны и т.д., всего более 300 устройств. Например, шумогенератор, размером с пачку сигарет, обеспечивает конфиденциальность переговоров в помещении. Включенный шумогенератор с выдвинутой антенной оставляет на внешних подслушивающих устройствах только сплошной шум. В числе мер защиты большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей, которые обладают следующими преимуществами: отсутствием электромагнитного излучения во внешнюю среду, устойчивостью к внешним электромагнитным излучениям, большой помехозащищенностью, скрытностью передачи, малыми габаритами (что позволяет прокладывать их рядом с уже существующими кабельными линиями), устойчивостью к воздействиям агрессивной среды. С точки зрения защиты информации волоконно-оптические кабели имеют еще одно преимущество: подключение к ним с целью перехвата передаваемых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения. Специалисты фирмы IBM в Цюрихе продемонстрировали новый метод передачи данных между различными устройствах в пределах одного регионального центра информатизации с использованием ИК-систем. Беспроводная передача данных с помощью ИК-системы может быть особенно полезна в учреждениях с большим общим рабочим залом. Среди главных преимуществ такой системы отмечается невосприимчивость ИК-каналов передачи данных к электромагнитным и другим различным излучениям. 1.2. Утечка информации из компьютерных сетей Распространенными способами незаконного использования банковской информации стали многочисленные способы организации утечки информации из компьютерных сетей. Истории с фальшивыми авизо, мемориальными ордерами, ложными телетайпами являются следствием отсутствия надежной защиты каналов передачи банковской информации, программных и аппаратных средств вычислительной техники. Как показывает зарубежный опыт, например в США, убытки, понесенные фирмами от данного вида преступлений, составляет 4-6 млрд. долларов ежегодно. Основными источниками угроз безопасности информации в компьютерных системах являются - мошенничество, саботаж персонала, действия профессиональных хакеров (взломщиков), ошибки в деятельности человека и сбои самого оборудования. Перехватывание паролей, ключей, информации с магнитных носителей - все это современные виды компьютерной преступности. В качестве основных факторов, способствующих расширению масштабов компьютерной преступности, можно назвать следующие: использование компьютеров без тщательного анализа с позиций защищенности информации; недостаточное выделение средств на меры защиты; отсутствие плана мероприятий по защите компьютерных сетей; отсутствие взаимосвязанности принимаемых мер (программного, организационно-технического, законодательного характера). Международный банковский опыт показывает, что отдельные, разрозненные усилия банков по защите информации оказываются малоэффективными перед лицом преступных группировок и лиц, активно использующих объединенный опыт технического компьютерного прогресса и достижений электроники. Понимая это, крупные американские и европейские банки решали вопросы информационной безопасности сообща, наряду со стандартизацией систем кодирования банковских операций и финансовых сообщений. В 1973 году они создали общество SWIFT, члены которого перешли на международные стандарты использования ЭВМ и средств телекоммуникаций в банковском деле, обеспечив тем самым надежную, стандартизированную, шифрованную передачу информации. Организация программных средств банков общества SWIFT контролируют процедуры подключения терминалов к сети, обеспечивают регистрацию и шифрование сообщений, контролируют достоверность сообщений и источник информации. Западные банки защищают свои главные ЭВМ, их сети специальными устройствами. Они выполняют, как правило, роль сетевых контролеров, управляют модемами, проверяют номера телефонов абонентов, подключающихся к сети, регистрируют успешные и безуспешные попытки соединиться с центральной ЭВМ. Все эти меры, в совокупности, во-первых, ускоряют оборот информации и, во-вторых, надежно защищают его от несанкционированного проникновения. По мнению специалистов, службам обеспечения защиты информации особое внимание сегодня следует уделять тем видам компьютерных манипуляций в банковской сфере, которые трудно обнаружить, используя традиционные методы. К этим видам пресечения компьютерных преступлений следует отнести: борьбу с мошенничеством в области электронного перевода вкладов; выявление махинаций с предоставлением займов; меры безопасности по обеспечению сохранности вкладов. По данным экспертов по вопросам безопасности банковских операций, в зависимости от видов банковских счетов и способов передачи указаний о переводах вкладов, можно выделить, по крайней мере, 18 разновидностей противозаконных операций. Методы первичной обработки данных. Команды пользователя на перевод вклада банк может получать по телефону, телексу, в записи на дискете, компакт-диске или другом носителе. Поэтому в случае обнаружения факта мошенничества лицо, производящее расследование, должно в первую очередь и незамедлительно выяснить, от кого поступила команда. Анализируются все ранее поступившие команды от владельца банковского счета, их формат и язык. Особое внимание следует обращать на отсутствие или частичное изменение в файлах данных пользователя при сравнении с аналогичными записями в массиве данных банка. Проводится сверка ключевых слов и кода. Кроме того, подвергается проверке и личность самого вкладчика. В случае сомнений, возникающих в подлинности его команд, необходимо выяснить, почему для мошенничества был выбран именно этот счет, какое лицо имело информацию о его существовании, денежных суммах, находящихся на нем, и т. д. Важно также установить способ передачи ложных команд и введения в заблуждение средств идентификации пользователя. При расследовании должны получить объяснение все факты задержек выплат по чекам клиента. Необходимо также проверить аппаратуру, по которой его указания поступают в банки и передается обратная информация, а также носители, с которых команда поступает к оператору, и все пометки на них. Аналитические методы выявления мошенничества с использованием электронных средств связи. После первоначальной обработки оператор вводит в компьютер команду клиента для учета и подготовки дальнейших команд банку-получателю. На этой стадии важно внимательно изучать способ подготовки данных и ввода их в компьютер, обращая особое внимание при этом на возможность замены оригинала фальшивкой. Большинство систем содержит комплекс программных и аппаратных средств, позволяющих идентифицировать пользователя. При расследовании изучаются и фиксируются также все изменения, отклонения, пометки к имеющимся на носителях и введенным в ЭВМ ключевым словам и другим частям программы. Аналогичные мероприятия проводятся и при проверке линий связи, по которым команда передается из банка-отправителя в банк-получатель. Обычно последний подтверждает получение послания по проводной или компьютерной линии связи. Поступившее подтверждение также должно быть тщательно изучено уполномоченным сотрудником банка, службой безопасности. На заметку берутся малейшие отклонения в процедуре передачи данных, незначительные изменения в языке, способе передачи команд и их записи. На заключительном этапе перемещенные средства проходят через ряд операций, прежде чем будут выданы наличными. Здесь, по возможности, необходимо проверить личность получателя, в случае подозрения задержать выдачу вклада и принять меры к задержанию мошенника. Методики выявления махинаций со ссудами. Невозвращение банковских ссуд возможно в результате махинаций ссудополучателей, служащих банков или других лиц. Весьма вероятны случаи обмана банковского служащего, дачи ему взятки, фальсификации документов самим служащим и т. п. При раскрытии мошенничества такого рода внимание сотрудников службы безопасности банка должно быть сосредоточено на поиске доказательств противоправных действий подобных лиц и реализации мер по возмещению ущерба, нанесенного финансовому учреждению. При этом сотрудникам службы безопасности необходимо: выяснить, поддерживал ли "потерпевший" банк непосредственный контакт с получателем или являлся одним из посредников; определить пути и способы поступления в банк запроса о выдаче ссуды; изучить всю документацию, связанную с получением денег, обращая внимание на возможные изменения и искажения в ней; получить все сведения о ссудополучателе и всех компаниях, с которыми он когда-либо сотрудничал, их директорах и рядовых работниках; пресечь возможные попытки ссудополучателя избавиться от полученных средств, растратить их и т. д.; осмотреть все материалы, составленные банковским служащим, оформившим ссуду; получить о нем характеризующие сведения, включая данные о его возможных отношениях со ссудополучателями; ознакомиться с поступлениями на его личный текущий счет, регистрационными номерами транспортных средств, принадлежащих ему и членам его семьи; установить основные источники доходов (возможно, с привлечением частных сыскных агентств); опросить указанного служащего по вопросам, связанным с выдачей ссуды, сравнив его ответы с данными, полученными при анализе содержания телефонных переговоров, личного дневника, текущего счета. Все перечисленные мероприятия должны быть направлены на то, чтобы обеспечить возмещение утраченные средств пострадавшим лицам или финансовым учреждениям. Меры безопасности по обеспечению сохранности вкладов. Так, для снятия с текущего счета вкладчика или перевода в другой банк определенной денежной суммы преступники применяют такой прием, как инсценирование ошибки или сбоев в ходе выполнения программы. Сигнал о подобных ошибках обычно поступает от самого вкладчика. В таких случаях также проводятся тщательное изучение всей документации, сравнение массивов данных, хранящихся в банке. Следует отметить то, что если совершено хищение в небольших размерах, вероятность его раскрытия мала. В подобных случаях, как правило, приходится ждать повторения подобных случаев, в результате анализа которых может быть установлен преступник.2 1.3. Защита платежных документов В целях повышения эффективности контроля за прохождением расчетных документов, обеспечения их сохранности и исключения несанкционированного доступа к банковской информации при экспедировании между подразделениями расчетной сети и другими учреждениями Банка России на территории Российской Федерации введено Положение № 15-П от 13.01.98 "О порядке экспедирования, оформления и регистрации расчетных документов подразделениями расчетной сети ЦБ РФ, расположенными на территории Российской Федерации". Кредитные организации (филиалы), бюджетные и другие организации представляют (получают) расчетные документы на бумажном носителе учетно-операционным работникам РКЦ ЦБ РФ через собственных курьеров или представителей специализированных служб доставки расчетных документов (Федерального управления Фельдъегерской связи, территориального подразделения Главного центра Специальной связи или Российского объединения инкассации) на основании доверенностей и документов, подтверждающих личность доверенного лица. ГРКЦ и РКЦ все исходящие расчетные документы на бумажных носителях сортируют и вкладывают в отдельные конверты (пакеты) для отправки в ГРКЦ, РКЦ-получателям, кредитным и бюджетным организациям. В конверты с расчетными документами вкладываются описи отправляемых документов (описи вложений в конверт), в которых указываются номер конверта, наименование получателя и отправителя и БИК (БИК - банковский идентификационный код), дата составления описи и отправки расчетных документов, номер, дата и сумма самого документа, фамилия и инициалы ответственного за отправку конверта. Опись вложений в конверт составляется в двух экземплярах. Первый экземпляр вместе с расчетными документами вкладываются в конверт. Второй экземпляр остается в ГРКЦ, РКЦ-отправителя, где хранятся в подразделении, осуществляющем экспедирование расчетных документов, и передается в архив в установленном порядке. Затем конверты запечатываются клеем и на всех местах склейки проставляется оттиск штампа ГРКЦ, РКЦ-отправителя, содержащий наименование и БИК. На всех этапах экспедирования сотрудники экспедиций участников расчетной сети проверяют целостность упаковки и правильность адресования пакетов в присутствии представителя службы доставки расчетных документов или курьеров. В целях предотвращения проникновения в документооборот фиктивных и подложных расчетных документов, доступ посторонних лиц в помещение, в котором работники экспедиции осуществляют прием, выдачу и регистрацию входящих и исходящих расчетных документов должен быть ограничен. При этом помещение должно быть изолировано и оборудовано кодовыми замками. Не допускается прием подразделениями Банка России от кредитных организаций (филиалов) в адрес других кредитных организаций (филиалов) документов, не связанных с расчетными операциями, осуществляемыми расчетной сетью Банка России. 1.4. Внутренняя безопасность. Личная безопасность сотрудников Обеспечение внутренней безопасности банка включает широкий круг вопросов. Сюда входит и правильное проектирование и строительство банковских помещений и оптимальное размещение различных банковских служб и обеспечение личной безопасности сотрудников и клиентов банка, сюда же входит и изучение оперативной обстановки вокруг банка, кроме того служба безопасности банка должна оперативно реагировать на все случаи возникновения угроз сотрудникам банка и членам их семей. Современная концепция проектирования и строительства банковских помещений с точки зрения обеспечения безопасности включает: установку современных средств защиты от проникновения грабителей; создание просторных холлов, удобных для размещения клиентов и выполнения мелких денежных операций (переводы, перечисления и т. п.); выделение специально защищенных кабин для проведения операций с крупными наличными средствами; разделение банковских операций, проводимых в интересах организаций и частных лиц; создание отделенных от общего холла зон для бесед с клиентами, имеющих конфиденциальный характер; использование современной мебели и оборудования, которые создавали бы уютную обстановку для клиентов и в случае необходимости могли бы легко переоборудоваться; выделение и строительство специальных помещений для самообслуживания. Безопасность банковских служащих, работающих в этих помещениях, обеспечивается с помощью современной техники. Каждый из сотрудников имеет радиотрансмиттер, работающий на определенной частоте и включающийся в случае угрозы. Зона клиентского зала просматривается с помощью телевизионных камер, сигналы с которых регулярно передаются на контрольное табло службы безопасности банка и позволяют сотрудникам постоянно наблюдать за обстановкой в основном зале. Зоны, в которых содержатся наличные деньги, в целях безопасности располагаются как можно дальше от входа в банк. Вход в эти зоны хорошо просматривается из общего холла. В банках, строящихся в соответствии с новой концепцией, уже не используют традиционных хранилищ наличных денег, выполненных из бетона. Современная промышленность изготавливает самые разнообразные готовые конструкции и модули для хранения наличности и ценных бумаг. Модули различны по размерам и конфигурации, легко монтируются и демонтируются в соответствии с потребностями банка. Вдоль периметра банка новой конструкции устанавливается сигнальная аппаратура. Вводится более сложная система доступа для лиц, обслуживающих технические средства охраны. Охрана денег осуществляется автоматически. В залах самообслуживания монтируются фото- или телекамеры для фотографирования и видеозаписи входящих лиц или для контроля за обстановкой в зале во время выполнения операций с наличностью. Большое внимание при организации охраны банков уделяется работе, связанной с вопросами оценки безопасности прилегающих территорий, зон, объектов. Служба безопасности банка должна иметь четкие представления по следующим вопросам: Кто проживает по соседству с банком? Имеются ли в этой части города другие охраняемые коммерческие учреждения? Могут ли грабители незаметно покинуть банк в дневное и ночное время (например, влившись в большой поток транспорта или пешеходов)? Останавливают ли сотрудники патрульно-постовой службы подозрительных лиц, появляющихся в зоне банка в ночное время? Как далеко расположен пост милиции и сколько времени потребуется его сотрудникам, чтобы прибыть в банк в случае получения сигнала тревоги или телефонного звонка, содержащего определенные условности или срочные просьбы? Необходимо улучшенное уличное освещение в районах и зонах расположения банков. Здравый смысл подсказывает, что чем большее число клиентов банков будут достаточно уверены в себе, выходя на улицы, тем меньшими станут возможности у грабителей и воров скрыться. Кроме того, в районах расположения банковских учреждений следует устанавливать современное оборудование систем замкнутого телевидения и шире вовлекать население в работу по предотвращению преступлений. С учетом ответов на вышеперечисленные и некоторые другие вопросы рекомендуется составить план обеспечения безопасности банка. В дневное время планом защиты следует предусматривать включение сигнала тревоги в следующих случаях: нападение грабителей; исчезновение наличных денежных средств; нападение на сотрудника банка; при пожаре; в ночное - при проникновении в банк посторонних лиц, в случае пожара или повреждения системы водоснабжения и некоторых других обстоятельствах. В дежурной части банка должна быть подготовлена и заранее передана службе безопасности минимальная фиксированная информация, которая может быть использована при включении сигнала тревоги (адрес банка, номера телефонов). Эта информация выдается на контрольный пункт автоматически вместе с получением сигнала тревоги. Одним из элементов обеспечения защиты банков является создание особой программы действий на случай похищения управляющего банком, служащих, членов их семей. Служба безопасности должна, прежде всего, определить, кто из работников банка может быть объектом подобных действий преступников. На каждого служащего, который входит в группу риска, службой безопасности должна заводиться учетная карточка, в которой отражаются необходимые данные, в том числе медицинского характера, сведения о занятиях спортом, других увлечениях с указанием адресов клубов, друзей, школ, где учатся дети, приложением фотографий, образца почерка, описания внешнего вида и т. д. Каждое из этих лиц должно знать, что похищению предшествует слежка, поэтому ответственным сотрудникам банка рекомендуется сообщать в службу безопасности обо всех неожиданных происшествиях с ними (предложение подбросить на машине и т. п.), обращать внимание на все, что является необычным.3 2. Службы банка россии, обеспечивающие безопасность банковской деятельности Состав, организационная структура и меры безопасности служб обеспечивающих безопасность Банка России регламентируются Инструкцией Банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях Банка России" и предназначены для ознакомления узкому кругу лиц служащих Банка России и банковских учреждений. 3. Виды электронных банковских технологий 3.1. Отечественные автоматизированные системы банковских технологий Автоматизация банковских систем переживает этап несколько противоречивого, но достаточно активного развития Он может быть охарактеризован как состояние, когда в организации банковских технологий одновременно могут уживаться и примитивные программные продукты, позволяющие решать только вопросы, связанные с созданием нескольких выходных форм для отчетности, и достаточно интеллектуальноемкие комплексы, решающие задачи управления банком. В первом случае это традиционные СУБД, воспринимаемые на рынке программных технологий, как нечто само собой разумеющееся, во втором - адаптируемые западные комплексы, приносящие в российскую действительность достижения западной банковской мысли Активно процессы автоматизации банковских технологий стали проявляться в конце 80-х начале 90-х годов. Естественным образом это было связано с банковской реформой 1989 г., когда существующие банки получили большую самостоятельность и наряду с бывшими государственными банками на рынке банковских услуг появились новые коммерческие банки. При этом вычислительные центры, на которых осуществлялась обработка банковской информации, уже не могли предоставлять банкам весь спектр услуг, необходимых для уменьшения рутинной работы и для анализа и прогнозирования финансового состояния банков. Количество используемой техники в основном определяется размерами банка, наличием филиалов, сложившимися связями и другими факторами. В последнее время по причине роста объемов работ, набора услуг, числа филиалов, клиентов и связей проявляется тенденция приобретения банками более мощных компьютеров и более развитого программного обеспечения. Если техническое обеспечение, как правило, целиком зарубежное, то в программном доля зарубежных систем значительно меньше. На рынке программных средств действует несколько десятков поставщиков и оптимальный выбор продукта в таком изобилии представляет собой весьма сложную задачу. Кроме того, следует отметить высокую активность банков в разработке собственного программного обеспечения. Доля приобретаемых систем примерно равна доле собственных. Это, прежде всего, касается инструментальных средств, что говорит об активности банков, готовых разрабатывать собственное программное обеспечение. Набирает силу распространение сетевых банковских технологий. Ввиду того, что подавляющее большинство банков в России - малые, примерно 80% из них имеют локальную вычислительную сеть (ЛВС). Сетевой парк становится все более разнообразным. Около 90% рынка России принадлежит сетевой операционной системе "NetWare" фирмы "NOVELL". Следует отметить и ускоренное развитие средств межбанковской телекоммуникации. Большое распространение получило мировое сообщество SWIFT. Число банков, являющихся членами SWIFT, достигло 200 и в ближайшее время может существенно вырасти. Распространяются различные телекоммуникационные системы типа системы "Клиент-банк". Для повышения производительности банковских, финансовых и других структур увеличились поставки операционных "UNIX-систем", имеющих более широкие возможности по сравнению с MS DOS. Дополнительное воздействие на сетевое оснащение банков оказывает использование пластиковых карточек. Растет число банков, заявивших о начале эмиссии собственных "электронных денег". Надежность автоматизированных банковских технологий требует мер по безопасности и защите информации. К наиболее значимым по числу внедрений фирмам разработчикам систем автоматизации банковской деятельности следует отнести такие как "Инверсия", "Diasoft", "Rstyle", "Програмбанк", "Асофт" и др. Все эти фирмы (кроме "Rstyle") являются членами секции банковского программного обеспечения, действующей в рамках Ассоциации разработчиков программного обеспечения в области экономики. Ассоциация является независимой организацией, имеющей целью защиту интересов разработчиков и своих клиентов Интересен подход к автоматизации банковских технологий, реализованный в программных продуктах "АСУ комбанк", разработанных совместно фирмой "Инверсия" и техническим центром "Кредобанка". Здесь разработчики пошли по оригинальному пути, их технические решения впоследствии широко использовались другими фирмами Технология "АСУ комбанк" предусматривает получение выходных форм за любой промежуток времени, а также различные формы фильтрации и индексации, позволяющие выводить строго определенную, но глубоко варьируемую информацию. Фирмой предложена ориентированная на работу главного бухгалтера связь синтетического и аналитического учета, обеспечивающая контроль соответствия показателей (сетевая ЛВС "Novell NetWare" версия программных продуктов, широко распространенная реализация валютного операционного дня и промышленно используемая система "Клиент-банк"). В "АСУ комбанк" реализуется система контроля ведения банковских договоров, которая позволяет не только вычислять проценты по кредитным, депозитным и т.п. договорам, но и оценивать по достаточно просто закладываемым работниками банка методикам ход кредитной работы, выявлять узкие места, ожидаемое состояние банка на любую будущую дату и выполнять большой объем других аналитических услуг, как в цифровом, гак и аналитическом виде. Концепция, основанная на построении фундамента в виде ОДБ в национальной валюте и в мультивалютном режиме с достаточно широкой "периферией" в виде программ "Ведение банковских договоров", "Платежные поручения", "Касса", "Ведение неторговых операций", "Ведение переводных операций" и т.п., позволила фирме "Инверсия" широко распространить разработанную технологию, установить свой программный продукт (в разной конфигурации) в более чем пятистах банках разных регионов страны. Программный комплекс ОДБ постоянно развивается как за счет "периферии", так и за счет создания принципиально новых программных комплексов, автоматизирующих аналитические и другие банковские функции. Технологии и программные комплексы фирм "Асофт" и "Diasoft" имеют несколько меньшее число внедрений. В частности, фирма "Асофт" внедрила свои разработки примерно в ста банках, а "Diasoft" - в двухстах. На рынке банковских технологий фирма "Асофт" несколько уступает своим конкурентам, в то время как добротный, хорошо отработанный продукт фирмы "Diasoft" пользуется вполне заслуженным спросом. Получили широкое распространение традиционный ОДБ, совмещающий рублевые и валютные операции, технология контроля расчета процентов по банковским договорам и многие другие. Охарактеризуем важнейшие стороны информационной технологии фирмы "Diasott". Система автоматизации банковской деятельности "Diasott" ориентирована на применение в крупных и средних коммерческих банках, характерными особенностями которых являются: развитая сеть филиалов и отделений банка; предоставление широкого спектра банковских услуг клиентам, как в банке, так и вне его; поддержка операций на внешнем рынке; расширение видов деятельности (операции на фондовом рынке, залоговые и трастовые операции, хранение и учет ценностей); осуществление электронного обмена данными, подключение к глобальным информационным сетям. АО "Diasoft" предлагает решение банковских проблем в виде трех систем, непосредственная автоматизация деятельности банков "Diasoft Bank", автоматизация операций по частным вкладам "Diasoft Card" и банковский депозитарный комплекс "Diasoft Depo". В основу функционирования системы автоматизации банковской деятельности ("Diasoft Bank") положен принцип раздельного ведения операций в различных валютах Система имеет ряд направлений, связанных с ведением счетов, обработкой платежного документооборота, формированием бухгалтерской отчетности, ведением договоров и анализом деятельности банка, управлением системой автоматизации. "Diasoft" специализируется в области создания новых технологий прикладных банковских систем. Новые технологии базируются на архитектуре "клиент-сервер", на использовании объектно-ориентированного подхода при создании прикладных систем и других современных достижений в области компьютеризации банковского дела Например, по частным вкладам ("Diasoft Card") ведутся соответствующие счета, обрабатываются документы по вкладам, начисляются проценты, поддерживается связь с ОДБ. Банковский депозитарный комплекс ("Diasoft Depo") предназначен для использования в банках, инвестиционных и финансовых институтах. Комплекс может применяться для организации собственной сети депозитариев, иметь связь с другими сетями депозитариев. При совместной работе с системой автоматизации коммерческого банка могут автоматически формироваться и передаваться проводки денежных средств, сопровождающие операции на рынке ценных бумаг. К таким операциям могут быть отнесены учет эмитентов и ценных бумаг, расчет н выплата дивидендов, плата за обслуживание хранения ценных бумаг, расчет налогов на операции с ценными бумагами, контроль остатков на лицевых счетах участников сделки. Фирма "Програмбанк" предлагает свою концепцию автоматизации банковской деятельности. Следует отметить высокий уровень программирования и широту охвата автоматизации банковских услуг. В рамках ОДБ заложена возможность получать выходные формы практически за любой календарный период. Наряду с жестко определенными отчетными сроками наличие программ "Касса", "Платежные поручения", "Учет основных средств и малоценного имущества банка" позволяет комплексно автоматизировать деятельность бухгалтерии. Этой фирмой разработаны и другие программные продукты, например, программы по автоматизации ведения операций с иностранной валютой. Программные продукты этой фирмы рассчитаны на мелкие и средние банки, что в первую очередь связано с отсутствием возможностей его работы в операционной среде "Novell NetWare". Несколько архаичная система обмена информацией между компьютерами затрудняет работу в банке при его росте и увеличении числа пользовательских мест. Однако наличие достаточно сильной группы сопровождения и внедрения позволило "Програмбанку" добиться внедрения своего продукта более чем в двухстах пятидесяти банках страны. Банковский комплекс фирмы "Програмбанк" включает программы (подсистемы), обеспечивающие широкий спектр услуг. Так, автоматизация технологий внутрибанковских операций в рублях реализуется в рамках подсистем: операционный день, архивация операционного дня, начисление всех видов процентов, кредитно-депозитная работа, расчет экономических нормативов и свод балансов по филиалам, генерация консолидированных балансов, обработка платежных и кассовых документов. Автоматизированы также расчет заработной платы, учет основных средств и малоценного имущества банка, которые имеют связь с ОДБ. Подсистема "Клиент-банк" служит для пересылки документов между банками и клиентами, ее использование сокращает время прохождения документов и улучшает контроль за их состоянием. Подсистема учета операций с ценными бумагами автоматизирует депозитарный и бухгалтерский учет ценных бумаг, все основные функции фондового отдела банка. Система работает с разнообразными ценными бумагами. Подсистема внутрибанковских операций в иностранной валюте включает операционный день с архивацией, автоматизацию работы валютного обменного пункта. Для выполнения в автоматическом режиме валютных кассовых операций и обработки валютных кассовых документов предназначена валютная касса, которая формируется в виде информационного массива и связана с валютным операционным днем. Предусмотрена возможность работы с индивидуальными валютными вкладами, начисления валютных процентов, обработки валютных платежных документов. Подсистема автоматизации расчетов с использованием специальных карточек "Карт-банк" рассчитана на многофилиальный банк (или объединение банков), обслуживающий торговую сеть и операции по вкладам физических и юридических лиц. Система имеет программно-аппаратные модули: фронт-офис, бэк-офис, модули магазина. Фронт-офис ориентирован на работу с клиентами банка. Модуль фронт-офис используется при открытии и закрытии счетов, обслуживании клиентов, формировании отчетности для клиентов и бухгалтерии. Бэк-офис поддерживает работу бухгалтерии и взаимодействие со всей банковской системой. В модуле бэк-офис имеются списки участников платежей и их счетов для отражения операций. К функциям модуля магазина относится автоматизация обработки данных пластиковых карточек и проверки платежеспособности клиентов. В частности, осуществляются операции ввода, оплаты и печать чека, составление отчетов о продажах и выручке. Обмен данными между банком и магазином обеспечивается специальными программными модулями. В них обрабатываются платежные поручения валютных операций, перевод средств за границу и др. Подсистема электронных межбанковских расчетов обслуживает банки, уменьшая время выполнения операций и контролируя их прохождение. В нее входят банки-пользователи и обслуживающий их центр. Каждый банк имеет в центре, как правило, несколько корреспондентских счетов. Центр, в свою очередь, имеет свои счета в РКЦ ЦБ и в других центрах и банках России и других стран СНГ. Все межбанковские расчеты сводятся к модификации корреспондентских счетов и выполнению безбумажного документооборота. Технология позволяет вести обслуживание банков, не являющихся пользователями подсистемы. В этом случае применяется схема взаимных расчетов. Возможна автоматизация как клиринговых операций, так и работа с коррсчетами банков. Кроме безопасности и конфиденциальности расчетов предусмотрено взаимодействие с внутрибанковскими расчетами операционного дня. Одним из основных направлений деятельности фирмы "Rstyle" является комплексная автоматизация деятельности банков, получившая название - система "RS-Bank". Система "RS-Bank" непрерывно развивается, она опирается на базовую подсистему ОДБ, в которой выполняются все необходимые операции. В частности, организована работа с валютой, формируются балансы по каждой валюте и сводный рублевый баланс. Для эффективного использования кредитных ресурсов автоматизированы работы по кредитным договорам, ссудным и расчетным счетам клиентов, производится обслуживание физических лиц. В подсистеме "Учет акций банка" ведется реестр акционеров, расчет дивидендов, учитываются платежи по акциям и налогам. Подсистема электронных расчетов работает с межбанковскими документами, возможна автоматическая квитовка документов. Система "RS-Bank" подготавливает файлы балансов и отчетностей по любому количеству филиалов и выдает сводный баланс. Организована система в виде набора автоматизированных рабочих мест, каждое из которых может включать одну или несколько ПЭВМ с общедоступной базой данных. Разработки фирмы "Асофт" для коммерческих банков дают возможность автоматизировать ведение операционно-учетных работ и бухгалтерского учета, межбанковских расчетов, кассовых операций; решение кредитных задач, информационное обеспечение руководства банка. Кроме того, с их помощью реализуются телекоммуникационная связь клиент-банк с использованием электронной почты и электронной подписи, система безналичных расчетов банковскими пластиковыми карточками, ведение компьютерной технологии обработки вкладов населения, работа обменных пунктов и др. В основу рассмотрения технологии решения функциональных задач банковских систем в данном учебном пособии положены материалы ряда фирм, занимающихся в настоящее время созданием и реализацией на рынке программных продуктов, и, прежде всего разработки научно-производственной фирмы "Инверсия". Эта фирма, основанная в 1990 г., накопила достаточный опыт в создании и внедрении новых информационных технологий .банковской деятельности. Причем фирма ведет работу в тесном сотрудничестве со специалистами управления автоматизации обработки банковской информации "Кредобанка", который является основным полигоном апробации новых проектных решений и программных продуктов. Разработки фирмы "Инверсия" открыты для расширений, действуют в сети "Novell NetWare" в режиме файл-сервер; программное обеспечение базируется на средствах Clipper и языка С: коммуникационная часть подсистемы "Клиент-банк" ориентирована на ОС UNIX. В процессе эксплуатации число одновременно работающих, может достигать 80 человек, а число обрабатываемых за день документов - 5000. В функциональном плане система предусматривает получение баланса в любой момент времени, возможность работы в нескольких одновременно открытых операционных днях, наличие в качестве основной единицы системы документа; для нее характерна высокая степень интегрированности всех информационных, технических и технологических элементов.4 3.2. Зарубежные системы автоматизации банковской деятельности Первые автоматизированные банковские системы появились за рубежом в 50-х годах. Первоначально это были автономные системы, обеспечивающие подсчеты балансов и подготовку отчетной документации. В 60-х годах ЭВМ применялись преимущественно для решения задач моделирования, оптимизации и планирования, а также для создания автоматизированных архивов. Дальнейшее развитие электронной вычислительной техники и, в частности, появление возможностей телеобработки, привело к формированию в сфере банковской деятельности системы коллективного пользования, в которой доступ к вычислительным ресурсам наряду с аналитиками получали служащие банков, выполняющие работы рутинного характера или занятые непосредственно обслуживанием клиентов. К концу 70-х годов главной целью банков стало увеличение объемов банковских услуг, поэтому типичная банковская система представляла собой мощную обрабатывающую ЭВМ, к которой через относительно медленные каналы связи подключались региональные концентраторы и групповые терминальные контролеры, обеспечивавшие распределение информации на местах. На рынке банковских систем доминировали такие фирмы как IBM, "Univac", в то же время появились первые системы телеобработки данных, позволившие связать центральные конторы банков с удаленными филиалами, создавая тем самым системы электронных межбанковских расчетов (SWIFT и др.). Для сложившейся в то время системы централизованной обработки характерны высокая стоимость средств телекоммуникации, значительные накладные расходы, связанные с управлением связью и организацией вычислительных процессов, а также сложность настройки системного и разработки и отладки прикладного программного обеспечения. В начале 80-х годов появились высокопроизводительные мини-ЭВМ, их использование позволило улучшить качество банковских услуг за счет автоматизации обработки информации на рабочих местах, т.е. в учреждениях, где непосредственно выполнялись банковские операции и велось обслуживание клиентов. Именно в это время многие банки, имеющие разветвленные структуры, обратили внимание на ЭВМ фирмы DЕС (США), для которых было создано сетевое программное обеспечение, позволяющее поддерживать связи практически с любыми, имеющимися на рынке ЭВМ. На базе вычислительных машин этой фирмы стали создавать небольшие системы автоматизации банковских офисов, которые могли интегрироваться в более крупные, а сама фирма стала одной из лидирующих компаний на рынке банковских и деловых систем. Ускоренное развитие финансового сектора рынка, характерное для 90-х годов, потребовало от банков дальнейшего повышения эффективности обслуживания клиентов, гибкого экономического маневрирования, предотвращения снижения прибылей за счет принятия правильных, с точки зрения минимизации рисков, решений. Поэтому чрезвычайно актуальной стала проблема интеграции и обеспечения целостности оперативно используемой информации, что можно было достичь только при условии применения эффективных средств распределенной обработки данных и связи. Для обеспечения деятельности финансовых организаций в новых условиях нужны были интегрированные системы, в которых результаты всех банковских транзакций могли бы незамедлительно отражаться и учитываться в операциях всех входящих в них подразделений. Только такая автоматизированная обработка банковской информации могла обеспечивать руководству банков согласованное управление рисками, ликвидностью, активами и обязательствами. Однако перестройка действующих автоматизированных систем обработки данных оказывалась очень дорогой, требовался новый подход к созданию систем, который был найден в сотрудничестве крупнейших банков и организаций, специализирующихся в области банковских технологий и способных предложить комплексное решение проблемы. В результате на рынке появился новый вид программно-технической и интеллектуальной продукции, получивший название "банковская платформа". "Банковские платформы" от систем старого типа отличает то, что они, с одной стороны, реализуются на базе новейших информационных технологий и технических средств, а с другой - концентрируют опыт и знания большого количества банковских специалистов (экспертов) высшей квалификации. Таким образом, "банковские платформы" - продукты совместной деятельности банков и компьютерных фирм, в которых нельзя отдать предпочтение какой-либо одной из участвующих в их создании сторон. "Банковские платформы" строятся по модульному принципу и обеспечивают использование единой унифицированной функциональной базы для решения всех банковских задач. По данным независимого аналитического обзора "Компьютеризация банковской деятельности", наибольших успехов в качестве партнеров банков и других финансовых организаций в разработках банковских платформ достигли фирмы IBM (США), DEC (США), "Siemens" (Германия), "Oliwetti" (Италия), "Bull" (Франция). Являясь мировым лидером в производстве оборудования широкой номенклатуры и производительности, фирма IBM для обеспечения оперативного и экономически эффективного функционирования финансово-кредитных учреждений предлагает несколько программных пакетов, построенных на модульном принципе и ориентированных на платформу. Пакет программ IBIS/AS "International Banking Informational Systems" предназначен для всестороннего управления финансовыми и деловыми отношениями кредитно-финансового учреждения. Его использование отвечает интересам всего персонала банковской системы; создает единую интегрированную базу данных, предоставляет гибкие средства обработки операций, возможность подключения новых модулей без нарушения целостности существующей системы; обеспечивает пользователей всех уровней обширными стандартными отчетами и справками, необходимыми им для эффективной деятельности. Программный пакет "Midas ABC" английской фирмы "BIS Banking System", также рекомендуемый фирмой IBM, обеспечивает комплексное решение традиционных задач банковской деятельности и основывается на использовании передовых архитектурных решений, содействующих дальнейшему развитию аппаратной и программной частей. Его применение расширяет возможности защиты данных от несанкционированного доступа в операционной системе; восстановления информации; удовлетворения сетевых и коммуникационных потребностей (представляются возможности взаимодействия фактически с любыми другими системами). Полный пакет "Midas ABC" обеспечивает полную автоматизацию деятельности банка. Он построен на модульном принципе и включает 40 стандартных подсистем, каждая из которых служит для решения конкретной банковской задачи. В частности, предоставляется возможность коммуникации с внешними сетями ("Telex SWIFT") и взаимодействие с другими финансовыми пакетами фирмы "BIS Banking System"; поддержки и проведения розничных и оптовых торговых операций; решения кредитных и бухгалтерских задач; ведения единой информационной базы; формирования баланса; управления риском и т.п. Значительное распространение получили банковские платформы фирмы DEC (США). С участием этой фирмы головным разработчиком международной компании "Werter Pertners" была создана международная банковская система 90-х годов IBS-90 ("International Banking System for 1990). Компания "Werter Pertners" в течение двух десятилетий является одним из лидирующих поставщиков систем для мирового финансового сообщества, активно работает в США, Германии, Великобритании, Гонконге и Сингапуре, Австралии, Индонезии, Кувейте и других странах. Продукция компании установлена более чем в 400 точках в 35 странах, а заказчиками помимо прочих являются 50 финансовых организаций мира. IBM-90 полностью интегрированная, работающая в реальном масштабе времени банковская система, обеспечивает в режиме обработки транзакций одновременные операции с множеством разных валют в множестве географически удаленных регионов, автоматизирует оптовые банковские услуги, казначейские операции, инвестиционную деятельность, международные банковские расчеты и пр. Совместно с разработчиками "Citidak of Amerika" и специализированной компанией ITB ("Information Technology for Banks") фирма DEC разработала банковскую платформу будущего. Она получила название FSA (Foundation Software Architecture) и предоставляет в распоряжение разработчиков программного обеспечения конкретных банковских систем все необходимые структурные элементы, оформленные в виде проверенных и оптимизированных с точки зрения производительности модулей Разработанные на базе FSA системы в настоящее время установлены в 10 крупнейших мировых финансовых центрах, включая Лондон, Нью-Йорк, Гонконг. Для универсального банка фирмой DEC ("Sancher Computer Associates") создана еще одна банковская платформа, которая получила название "Profile". Она допускает генерацию и настройку трех типов систем под конкретные требования заказчиков: собственно интегрированной банковской системы ("Profile/ IBM"), автоматизирующей все виды розничных услуг, т.е. реализует операции с вкладами, займами, управления финансами, обслуживания клиентов и интеграции информации; интегрированной системы управления финансами ("Profile/ FMS"), решающей задачи общего характера - бухгалтерского учета, учета платежей, подведения балансов, подготовки финансовых отчетов; системы автоматизации деятельности банка на вторичных рынках ("Profile/M"), обеспечивающей выполнение вкладных операций на заемных средствах и отслеживающей прохождение и подготовку всех документов и отчетов, имеющих отношение к использованию займов. В настоящее время реализованные на основе "Profile" системы работают в США, Канаде, Ирландии, Норвегии, Венгрии. Значительная часть разработок находится в названных и других странах в стадии внедрения. Общее количество финансовых организаций, использующих "Profile" - более двухсот. Фирма "Siemens" (Германия), являясь крупнейшим производителем в Европе вычислительной техники и поставщиком средств новых информационных технологий, решает в частности и проблему оптимизации организационной внутренней структуры финансово-кредитных учреждений и повышения сервисных возможностей при работе с клиентами. При этом фирма "Siemens" предлагает многопользовательскую операционную систему "Sinix" (это UNIX производства "Siemens"), обеспечивающую распределенную обработку данных и реализующую эффективную и экономичную технологию объединения рабочих мест (компьютеров) в единую локальную сеть. Для обеспечения работы финансовых учреждений фирма предлагает диалоговую систему KORDOBA. Это специальное банковское программное обеспечение реализует все банковские операции во всех отделениях с одного рабочего места. Система представляет собой пакет программ модульной структуры, включающий налоговую, информационную и организационную части. Система содержит все стандартные функции основных отделов универсальных кредитных учреждений и реализует денежные и валютные операции, кредит в рассрочку, печать выписок и счетов, компенсации процентов, работу с ценными бумагами, операции с иностранными банками и ряд других функций. Системы, поставляемые фирмой "Siemens" гибки и могут быть настроены на потребности конкретного банковского учреждения. Особое внимание в реализуемых пакетом функциях уделено достоверности информации и надежности принимаемых решений. Достоверность информации обеспечивается проведением формального и содержательного контроля вводимой информации, а надежность принимаемых решений повышается за счет современной обработки данных о клиентах и счетах дня. Фирма "Olivetti Systems Networks (OS N)", включающая в себя около 220 компаний из 30 стран мира и находящаяся в составе "Olivetti Group", имеет большой опыт автоматизации различных сфер бизнеса и, в частности, предлагает свою "банковскую платформу" (Platform for banking-PB) для автоматизированного банка ("Automatic banking"). Это комплексное решение, отвечающее тенденции построения открытых систем, обеспечивает создание гибкой и способной к расширению системы банковских учреждений, реализацию полного набора банковских функций в среде распределенных услуг и приложений в условиях локальной сети и возможность выхода в глобальную сеть. Банковская платформа "Olivetti" включает ряд составляющих, которые реализуют конкретные функции в узлах автоматизированной банковской сети. В частности, служба управления сетью осуществляет поддержку различных протоколов обмена данными; организует доступ к удаленным базам, коммуникацию с доступными линиями связи; обеспечивает устойчивую работу внутренней локальной сети и т.п. Среда управления данными осуществляет взаимодействие систем хранения, поиска, доступа и управления базой данных Oragle. Базовое окружение включает поддержку среды распределенных услуг и приложений локальной вычислительной сети ("Olinet LAN", "LAN Manager"), использование различных операционных систем (DOS, OS/2, Windows, UNIX), обеспечение общего интерфейса пользовательских приложений. Коммуникационное окружение организует функционирование локальной вычислительной сети в учреждении банка на основе локальной системы контроля "Lokal Monitoring System" и взаимодействие с глобальной (географически) сетью на базе (системы светового управления) фирмы "Olivetti" или на базе IBM "Net View Gateway". Делая упор на создание среды распределенных банковских услуг и приложений в условиях локальной сети, создатели платформы фирмы "Olivetti" предусмотрели развитый интерфейс пользователя, среду ручной обработки документов, надежную службу защиты информации, предусмотрев проверку доступа к комплексу и действий пользователя, защиту программного обеспечения, устройств хранения данных и коммуникационных частей комплекса путем широкого использования магнитных карт с соответствующими устройствами считывания, записи и программных приложений. Фирма "Olivetti" накопила большой опыт в создании специальных банковских устройств и автоматов, в том числе для систем самообслуживания клиентов банка - принтеров, устройств идентификации, автоматов по выдаче наличных денег, устройств работы со сберкнижками, магнитными картами, сертификатами и т.д Выпускаемые фирмой устройства выполняют разнообразные функции: выдачу наличных денег, печать состояния счетов, оформление вкладов и сберкнижек, электронный перевод денег и ряд других. Объединение "Bull" (Франция) входит в десятку крупнейших мировых поставщиков информационных систем и претворяет в своей деятельности концепцию "Distributed Computing Model" ("Распределенная вычислительная модель"), представляющую новую модель распределенной и открытой архитектуры. Этот подход положен в основу проекта клиринговой системы Франции SIT ("Systeme Interbancaire de Telecompencation"), разработка которой началась в начале 80-х годов по инициативе банков Франции. Главными целями создания межбанковской системы телерасчетов SIT являются ускорение обработки межбанковских операций, обеспечение непрерывности обмена межбанковскими сообщениями, сокращение стоимости межбанковских сообщений. При создании системы телекоммуникаций SIT была поставлена задача децентрализации системы расчетов; банки, финансовые учреждения и Французский банк были соединены между собой системой SIT/MP ("Moyens de Paiement" - "Средства оплаты"). Коммуникационная вычислительная система SIT/MP обеспечивает быстрые и надежные обмены между банками (взаиморасчеты освобождают от необходимости передачи сопутствующих материальных носителей - денежные суммы, платежные поручения и т.д.), а система SIT/B - быструю и гарантированную передачу биржевых распоряжений. На протяжении более десяти лет система постоянно развивается и позволяет автоматизировать: передачу банковских и биржевых операций (перевод со счета на счет, подтверждения по изъятию денежных сумм и т.п.) и распоряжений; обработку предъявляемых чеков; маршрутизацию корреспонденции; обработку извещений по банковским и брокерским операциям; широкое распространение рыночной информации. В состав сети SIT входят станции приема-передачи операций, центры банковской обработки, центры биржевой обработки. Центрами, общими для всех членов сети, стали центр управления и расчетный центр (SIT/MP), а также общий центр защиты (SIT/B). Для поддержки задач отделений и международных отделов любых по размерам банков фирма "Bull" рекомендует систему ICBS. Она состоит из модулей, функционирует под управлением ОС ONIX и реализует клиринговые операции и оформление необходимых отчетов по ним; выполняют функции контроля и управления доходами, курсами валют, ставками, ценами. Эта система решает и задачи взаимодействия с центральным банком; обеспечивает проведение международных операций, используя в реальном масштабе времени широкий набор финансовой, экономической, клиентской информации, справочные показатели и таблицы; а также осуществляет подготовку и прием сообщений сетей SWIFT и "Telex", ведет разнообразные информационные операции и взаимодействие с доступными другим модулям базами данных.5 Исследование современного состояния и перспектив развития банковского дела в западных странах свидетельствует о наличии общих тенденций в создании электронных систем расчетов, которые предусматривают создание систем электронного клиринга, автоматизированных систем по управлению наличностью, систем электронных платежей в организации торговли, автоматизированных международных межбанковских систем и т.п. 3.3. Системы защиты информации от утечки по техническим каналам Набор мероприятий для предотвращения нарушений многообразен и вытекает из природы побудительных мотивов. Он может содержать соответствующую подготовку пользователей, поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и т. д. При организации защиты автоматизированных банковских систем (АБС) желательно попытаться определить вероятность каждого конкретного вида угрозы и потенциальный ущерб, который понесут пользователи и владельцы АБС, если угроза осуществится. Предпринимаемые меры защиты должны быть адекватны вероятности осуществления и степени угрозы и обеспечивать оптимальную защиту от нее (с учетом затрат на организацию защиты). Под системой защиты АБС обычно понимают единую совокупность правовых и морально-этических норм, организационных (административных), технологических мер и программно-технических средств, направленных на противодействие угрозам АБС с целью сведения до минимума возможного ущерба пользователям и владельцам системы. При построении системы защиты сложилось два подхода к решению проблемы безопасности АБС, которые можно условно назвать фрагментарным и комплексным. Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Например, специализированные средства, автономные средства шифрования и т. д. Главное достоинство фрагментарного подхода - его высокая избирательность относительно конкретной угрозы. Но с этим связан и недостаток - локальность действия, т.е. фрагментарные методы защиты обеспечивают эффективную защиту конкретных объектов АБС от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты. При комплексном подходе объединяются разнородные меры противодействия угрозам (правовые, организационные, программно-технические и т. д.). В целом все меры формируют политику безопасности. При комплексном использовании мер создается защищенная среда обработки информации. Комплексный подход применяют для защиты крупных АБС, нарушение безопасности в которых может нанести огромный материальный ущерб, как банкам, так и их клиентам. Но комплексный подход может быть использован и для небольших АБС, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Он находит отражение в различных стандартах. Например, он целенаправленно проводится в жизнь Министерством обороны США в лице Национального центра компьютерной безопасности. Недостатками комплексного подхода являются сложность управления и ограничения на свободу действий пользователей АБС. Построение систем защиты включает ряд этапов. Этапы построения системы защиты сходны с этапами создания самих АБС, можно выделить следующие этапы: анализ возможных угроз АБС; разработка системы защиты; реализация системы защиты; сопровождение системы защиты. На этапе анализа возможных угроз АБС, исходя из ее состояния на данный момент времени, определяются возможные возмущающие действия на каждый элемент системы защиты. Построение абсолютно надежной системы защиты, видимо, невозможно. Поэтому из всего множества воздействий выбираются лишь те, которые могут реально произойти и нанести наиболее серьезный ущерб. На этапе разработки возможно комплексное использование следующих видов защиты: правовые (законодательные), морально-этические, административные, физические, технические (программно-аппаратные). К правовым мерам относятся действующие в стране законы, указы, нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. Эти меры являются сдерживающим фактором для потенциальных нарушителей. К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ЭВМ и АБС в стране и в мире или специально разрабатываются Морально-этические нормы могут быть неписаные (например, честность), либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации (банка), они считаются обязательными для исполнения Характерным примером таких предписаний является "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США" Например, считаются неэтичными умышленные либо неумышленные действия, которые вызывают дополнительные неоправданные затраты ресурсов (машинного времени, памяти), нарушают интересы других законных пользователей и т.д. Административные меры защиты - это меры организационного характера, регламентирующие процессы функционирования АБС, использования ее ресурсов, деятельность персонала и т.д. Цель этих мер - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности Административно-организационных мер много. Приведем лишь некоторые: разработка правил обработки информации в АБС; организация защиты от установки прослушивающей аппаратуры в помещениях вычислительного центра или расположения АРМ; мероприятия при подборке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки); организация надежного пропускного режима; организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией; распределение реквизитов разграничения доступа (паролей, профилей полномочий и т. д.); организация скрытого контроля за работой пользователей и персонала АБС; другие мероприятия. Административные меры играют значительную роль в обеспечении безопасности АБС. Эти меры необходимо использовать тогда, когда другие методы и средства защиты (например, аппаратно-программные) недоступны (отсутствуют или слишком дороги). Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации другими средствами просто бессмысленно. Надо, прежде всего, решить правовые и организационные вопросы. Физические меры защиты - это разного рода механические, электронные или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам защиты и защищаемой информации. Техническими (аппаратно-программными) средствами защиты называются различные электронные и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты. Некоторые примеры таких функций идентификация и аутентификация (отвечающие требованиям на верность, правильность) пользователей или процессов, разграничение и контроль доступа к ресурсам, регистрация и анализ событий, криптографическая защита информации (шифровка данных), резервирование ресурсов и компонентов АБС. Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АБС и комплексном использовании обеспечения мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования. Однако, где это возможно, другие меры надо заменять более надежными современными физическими и техническими средствами.6 На российском рынке предлагается ряд систем и комплексов защиты информации, обрабатываемой в локальных вычислительных системах (ЛВС). Рассмотрим некоторые из них. Система "Снег-ЛВС" предназначена для выполнения законодательных и нормативных требований по защите информации от несанкционированного доступа при ее обработке в локальных вычислительных сетях Netware фирмы Novell (США). Основой системы защиты информации (СЗИ) ЛВС является комбинированный комплекс средств защиты, включающий защищенную версию MS DOS (систему "Снег-1") и защищенную сетевую оболочку (систему "Снег-ЛВС"), устанавливаемые на все рабочие станции ЛВС. Система "Снег-1" (ВТГА.7101-01) обеспечивает разделение ресурсов рабочей станции (дисков, каталогов, файлов) между несколькими пользователями от полной изоляции до совместного использования. Функции надзора за безопасностью информации в ЛВС выполняются со специальной рабочей станции администратора безопасности информации, с которой осуществляется оперативное сопровождение всей системы. СЗИ "Снег-ЛВС" включает в себя аттестованную (сертифицированную) государственной экспертной организацией криптографическую подсистему, состоящую из системы криптографической защиты информации (СКЗИ) "Иней-ЛВС" для обеспечения гарантированной защиты конфиденциальной информации при ее хранении на файл-сервере и передаче по линиям связи ЛВС и системы криптографической защиты данных (СКЗД) "Иней" для гарантированной защиты конфиденциальной информации при ее хранении на магнитных дисках ПЭВМ рабочих станций ЛВС. Безопасность ресурсов файл-сервера в системе "Снег-ЛВС" обеспечивается: • механизмом ядра операционной системы (Netware OS) по разграничению доступа пользователей к каталогам и файлам файл-сервера; • средствами контроля запуска программ; • средствами управления потоками конфиденциальной информации между "закрытыми" каталогами томов файл-сервера и дисковыми накопителями с учетом их грифа секретности; • сетевой криптографической подсистемой "Иней-ЛВС"; • оперативными средствами постоянного контроля целостности (подлинности) рабочих станций ЛВС; • средствами сигнализации о попытках нарушения безопасности на АРМ администратора ЛВС; • средствами оперативного сопровождения СЗИ "Снег-1.0" на рабочих станциях ЛВС и надзора за безопасностью ЛВС со стороны АРМ администратора ЛВС; • средствами расширенной регистрации работ пользователей, проводимых с файл-сервером, в системном журнале ЛВС. Централизованный механизм разграничения доступа к ресурсам файл-сервера Netware OS осуществляет контроль доступа пользователей и их программ к следующим ресурсам: • к файл-серверу (по паролю, по номеру рабочей станции, по дням недели и времени суток); • к каталогам, подкаталогам и к содержащимся в них файлам по операциям чтения, записи, открытия, создания, удаления, поиска, модификации, установке прав доступа; • по режиму доступа к файлам: запрет (разрешение) удаления, переименование, копирование, только чтение, только исполнение, системный, архивный, скрытый, транзакционный, обезличиваемый, единичный или множественный; • к служебным программам и режимам их работы: LCONSOLE PCONSOLE, FCONSOLE, SYSCON, SESSION, MAKEUSER и др. Каждому отдельному пользователю или группе пользователей могут устанавливаться индивидуальные (групповые) права доступа к каталогам и файлам файл-сервера. Центральным пунктом надзора и управления безопасностью ЛВС в СЗИ "Снег-ЛВС" является специальная рабочая станция ЛВС со строго закрепленным сетевым адресом - АРМ безопасности информации, в качестве которой может быть выбрана произвольная рабочая станция. Ее полный сетевой адрес задается при установке или при изменении конфигурации СЗИ с помощью программы SETPAR.EXE. АРМ безопасности ЛВС включает необходимые программные средства для ведения всех параметров и характеристик СЗИ "Снег-ЛВС" и проведения оперативного контроля за целостностью СЗИ рабочих станций (резидентный модуль RADAR.EXE) и состоянием безопасности ЛВС, а также для выполнения необходимых воздействий на попытки нарушения. В процессе работы ЛВС на АРМ администратора выдается сигнализация о попытках нарушения защиты файл-сервера со стороны пользователей рабочих станций. Сигнализация осуществляется в виде информационных сообщений и звуковых сигналов. СЗИ "Снег-ЛВС" предназначена для работы в ЛВС с одним файл-сервером, что для КСА, объединяющих несколько ЛВС, потребует доработки соответствующего ПО в случае создания одного рабочего места службы безопасности информации для данных ЛВС. DALLAS LOCK. Ассоциация защиты информации "Конфидент" предлагает программно-аппаратный комплекс защиты информации DALLAS LOCK. По данным журнала "Сети" №9 за 1995 г., аппаратная часть комплекса обеспечивает: перенесение ПО на различные вычислительные платформы; блокировку загрузки компьютера; корректность выполнения специальных процедур; аутентификацию с помощью карточек Touch Memory; сокрытие защитных механизмов; удобство обслуживания комплекса защиты. Учитывая пожелания многих руководителей служб автоматизации не вмешиваться в работу файл-сервера на начальном этапе создания системы защиты, было принято решение встроить систему защиты для ЛВС в рамки проекта Dallas Lock. В соответствии со спецификациями версия Dallas Lock 3.1 должна обеспечивать полномасштабную защиту рабочей станции, а также связь со станцией мониторинга. Модификация этой версии для NetWare является защищенным рабочим местом администратора безопасности (АБ) сети, на котором отображена необходимая информация, получаемая от станций. Информация о происходящих событиях записывается в недоступные пользователям журналы файловых операций, попыток входа и запуска задач. В журнале файловых операций учитываются операции открытия, чтения, записи, удаления файлов. (Напомним, что для операционной системы копирование состоит именно из этих действий.). В журнале попыток входа фиксируются 14 типов событий, связанных с удачными и неудачными действиями пользователя с целью активизировать рабочую станцию. Журнал запуска задач содержит записи об использовании системной функции ЕХЕС, передающей управление программам, находящимся в исполняемых файлах. Регистрация операций запуска в отдельном журнале связана с тем, что число запусков задач обычно намного превышает число других файловых операций. Во всех трех журналах фиксируются имя субъекта доступа, дата и время события. Заполнение происходит циклически, по принципу FIFO ("первым вошел - первым вышел"). Размер журналов задается администратором в пределах от 10 Кбайт до 10 Мбайт. Для облегчения анализа регистрируемых событий можно использовать фильтры, разграничивающие записи по следующим критериям: имени пользователя; времени работы; типу файловой операции. Доступ к данным журналов администратор безопасности может получить либо непосредственно на контролируемой рабочей станции, либо на своем рабочем месте. Для передачи данных используются протоколы IPX/SPX и TCP/IP, что позволяет размещать защищенные станции в разных сегментах сети. Такой принцип построения дает возможность применять средства защиты не только в среде NetWare. Со своего рабочего места АБ может получить список активных станций в сети и запросить у любой из них нужный в данный момент журнал. Последний автоматически переписывается на диск компьютера администратора, а на рабочей станции - приводится в исходное состояние. Содержимое журналов при необходимости выводится на файл или печатается. Иногда АБ "негласно" может просматривать содержимое экрана рабочей станции, используя как текстовый, так и графический экраны. Помимо режима реального времени предусмотрено пошаговое отображение содержимого экрана станции, получаемое в определенный момент по команде, В составе версии Dallas Lock 3.1 for NetWare в качестве утилиты можно использовать копировщик экрана (grabber), позволяющий нажатием нескольких клавиш копировать изображение экрана в графический файл. Очевидно, что помимо традиционных методов защиты сети проект Dallas Lock должен иметь комплекс возможностей, препятствующих вмешательству злоумышленников в работу драйверов сетевых протоколов: • запрет на модификацию файлов AUTOEXEC.BAT и CONFIG.SYS; • контроль целостности маркированных файлов; • контроль целостности передаваемых пакетов; • ограничение запуска задач. Последняя возможность требует дополнительных пояснений, поскольку она не была реализована в предыдущих версиях, а появилась только в последней Dallas Lock 3.1 for NetWare: для каждого пользователя создается список задач, которые он не имеет права запускать на данной рабочей станции, или, наоборот, список разрешенных для запуска задач. Рабочее место АБ сети Dallas Lock 3.1 for NetWare пока не интегрировано с системой управления доступом в помещения. Тем не менее, ПО последней можно установить на компьютере АБ как отдельное приложение. Узкое место в защите локальной сети - парольная идентификация. Даже в самых надежных системах, построенных на "стойких" криптографических алгоритмах, вход по паролю остается наименее защищенным. Для сравнения: значение криптостойкости алгоритма, описанного в ГОСТ 28147-89, равно 1070, а число вариантов паролей, состоящих из пяти символов, - 109. На практике в качестве паролей применяют, как правило, только комбинации, имеющие семантические связи (номера телефонов, имена, фамилии, должности и т. п.). Проект Dallas Lock предусматривает регистрацию пользователя на рабочей станции и вход его в сеть посредством касания электронной карточки Touch Memory. В ее памяти записаны 64 символа сетевого имени и столько же символов сетевого пароля. Их значения генерируются датчиком псевдослучайных чисел и не известны пользователю. Число вариантов серийных номеров Touch Memory - 48 триллионов. При хранении идентифицирующего кода в памяти прибора оно возрастает до 10280. Естественно, хранение секретных параметров в открытой памяти и их передача по линии связи должны быть исключены. Поэтому перед тем как имя и пароль записать на карточку Touch Memory, их необходимо предварительно зашифровать по алгоритму DES. После аутентификации карточки процедура регистрации обеспечивается стандартными средствами NetWare. Подход, включающий применение карточки Touch Memory, предлагает сложный сетевой пароль, а также повышает ответственность пользователей, поскольку компрометация идентифицирующей информации в данном случае возможна только в результате умышленных действий или утери электронной карточки, т. е. копирование информации с нее, за исключением карточки типа DS1991, в принципе возможно. Комплекс Dallas Lock обеспечивает: • возможность доступа к компьютеру и загрузки операционной системы только по предъявлении личной электронной карты пользователя Touch Memory и вводе личного пароля; • многоуровневое разграничение полномочий пользователей по отношению к ресурсам компьютера; • защиту системных файлов операционной системы; • регистрацию в системных журналах событий по входу, выходу и работе пользователей; • автоматическую и принудительную блокировку компьютера с гашением экрана дисплея на время отсутствия пользователя; • установку для пользователей опции гарантированного стирания файлов при их удалении; • возможность замены личных паролей пользователей; • защиту собственных файлов и контроль целостности среды; • восстановление функций защиты при частичном разрушении среды; • сохранение состояния системных областей незащищенного компьютера на мастер-дискете и восстановление в случае его полной остановки из-за разрушения системы защиты. Администратор безопасности может: • формировать и корректировать списки пользователей; • контролировать журналы "входа"; • назначать списки приложений, доступных к запуску пользователями; • осуществлять контроль за файловыми операциями при помощи журналов работы и создавать для пользователей индивидуальную среду; • оперативно просматривать системные журналы в соответствии со своими запросами при помощи специальных фильтров; • устанавливать промежутки времени работы пользователей на компьютере; • устанавливать полномочия пользователей по доступу к ресурсам компьютера (логическим разделам "винчестера", таймеру, периферийным устройствам). Кроме того, комплекс оснащен дополнительными программами-утилитами, расширяющими возможности защиты информации: • защитой входа в локальную вычислительную сеть; • защитой от вирусов при помощи модуля Cerber Lock; • возможностью создания дополнительных защищенных логических разделов, каталогов и дискет пользователей, данные в них защищаются при помощи индивидуального пароля пользователя; • помехоустойчивым кодированием файлов для их надежного хранения при помощи модуля Return to Life. Sekret Net. Ассоциация "Информзащита" предлагает систему защиты Sekret Net, предназначенную для защиты хранимой и обрабатываемой информации на персональных компьютерах в ЛВС от НСД и противодействия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта выступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, работающих под управлением операционной системы Novell Netware 3.1 (файловые серверы), объединенных при помощи сетевого оборудования Ethernet, Arknet или Tocen-Ring. Данная система включает средства: • идентификации и аутентификации пользователей; • разграничения доступа к ресурсам; • контроля целостности; • регистрации; • управления средствами защиты. Система Sekret Net имеет сертификат Гостехкомиссии РФ. В данной системе отсутствуют средства шифрования информации, которые могут быть выбраны заказчиком. Их применение возможно при согласовании с ассоциацией "Информзащита". При выборе одной из названных систем следует учитывать, что они строились на базе существующей концепции защиты. Однако именно в случае контроля и разграничения доступа к информации упомянутые системы могут оказаться достаточно эффективными. Насколько? Покажут время и оценка прочности по предлагаемым в данной книге методикам и на конкретной ЛВС. Попутно заметим, что проводимая в настоящее время сертификация подобных систем, к сожалению, не имеет смысла, так как их невозможно применять самостоятельно, а при установке на конкретной ЛВС они приобретают в новых условиях новое качество, т. е. в любом случае потребуются их проверка и испытания на конкретном изделии Внедрение перечисленных систем в разрабатываемую ЛВС потребует их адаптации к структуре и технологии обработки информации, присущим только данному объекту автоматизации.7 3.4. Классификация, кодирование и контроль технико-экономической информации Автоматизированные системы обработки информации (АСОИ) или автоматизированные системы обработки данных (АСОД) в настоящее время получили различное воплощение. Поэтому классификация АСОД по видам может иметь структуру, представленную в приложении 1. Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы защиты информации, но и потому, что все перечисленные виды АСОД могут входить в состав одной и той же региональной или глобальной вычислительной сети или АСУ. Очевидно, что концепция безопасности информации, теория и основные принципы построения ее защиты в них должны быть едиными. Такому подходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах АСОД строятся на базе типовых методов и средств. Поиск подобных методов и средств в обеспечении безопасности информации также является основной задачей при проектировании АСОД. Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Государственной Думой 25 января 1995 г. В приведенном ниже перечне сведения сгруппированы по тематическому принципу. Предлагаемое разделение на группы носит рекомендательный характер и может быть изменено в зависимости от специфики сведений, составляющих коммерческую тайну конкретного предприятия (организации). Сведения, включенные в данный перечень, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (организации). 1. Сведения о финансовой деятельности: прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; коммерческие замыслы; фонд заработной платы; стоимость основных и оборотных средств; кредитные условия платежа; банковские счета; плановые и отчетные калькуляции. 2. Информация о рынке: цены, скидки, условия договоров, спецификация продукции; объем, история, тенденции производства и прогноз для конкретного продукта; рыночная политика и планы; маркетинг и стратегия цен; отношения с потребителями и репутация; численность и размещение торговых агентов; каналы и методы сбыта; политика сбыта; программа рекламы. 3. Сведения о производстве и продукции: сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; сведения о планируемых сроках создания разрабатываемых изделий; сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании; сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; производственные мощности; состояние основных и оборотных фондов; организация производства; размещение и размер производственных помещений и складов; перспективные планы развития производства; технические спецификации существующей и перспективной продукции; схемы и чертежи отдельных узлов, готовых изделий, новых разработок; сведения о состоянии программного и компьютерного обеспечения; оценка качества и эффективности; номенклатура изделий; способ упаковки; доставка. 4. Сведения о научных разработках: новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия; программы НИР; новые алгоритмы; оригинальные программы. 5. Сведения о системе материально-технического обеспечения: сведения о составе торговых клиентов, представителей и посредников; потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности. 6. Сведения о персонале предприятия: численность персонала предприятия; определение лиц, принимающих решение. 7. Сведения о принципах управления предприятием: сведения о применяемых и перспективных методах управления производством; сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления; сведения о планах предприятия по расширению производства; условия продажи и слияния фирм. 8. Прочие сведения: важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам; принципы организации защиты коммерческой тайны. Законом Российской Федерации от 2 декабря 1990 г. "О банках и банковской деятельности" введено понятие "банковской тайны". Под банковской тайной (БТ) подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика. Защита информации методом криптографического преобразования, или кодирование, заключается в преобразовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов или аппаратных решений и кодов ключей, т.е. в приведении её к неявному виду. Для ознакомления с кодированной информацией применяется обратный процесс - декодирование. Использование криптографии является одним из распространенных методов, значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в устройствах памяти, и при обмене информацией между удаленными объектами. Для кодирования обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм. Управление процессом кодирования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет просто и надежно декодировать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме кодирования. Классификация криптографических методов преобразования информации, в частности, кодирования информации, приведена в приложении 2. Основными требованиями, предъявляемыми к кодированию информации, являются: 1) применяемый метод кодирования должен быть устойчивым к попыткам раскрыть исходный текст, имея только зашифрованный текст; 2) объем ключа не должен затруднять его запоминание и пересылку; 3) длина закодированного текста не должна превышать длину исходного текста; 4) необходимые временные и стоимостные ресурсы на кодирование и декодирование информации должно определяться требуемой степенью зашиты информации. Множество современных методов защитных преобразований можно классифицировать на четыре большие группы: перестановки, замены (подстановки), аддитивные и комбинированные. Метод перестановки и подстановки характеризуются короткой длиной ключа, а надежность их защиты определяется сложностью алгоритмов преобразования. Для аддитивного метода характерен простой алгоритм преобразования, а их надежность основана на увеличении длины ключа. Комбинация методов перестановки и подстановки дает в результате сложное преобразование, называемое производным шифром. Этот шифр обладает более сильными криптографическими возможностями, чем отдельная перестановка и подстановка. Этот метод используется в федеральном стандарте NBS США, называемом также стандартом DES, и отечественном ГОСТе 28147-89, введенном в действие с 1990 года. Все перечисленные методы относятся к так называемому симметричному кодированию: один и тот же ключ используется для кодирования и декодирования. В последнее время появились методы асимметричного кодирования: один ключ для кодирования (открытый), второй - для декодирования (закрытый). Криптография с открытым ключом наиболее эффективна при кодировании передаваемых данных, а не данных, хранящихся в запоминающих устройствах. Кроме того, она прекрасно подходит для замены обычной подписи электронной, так называемой электронной подписью, применяемой в системах электронных платежей и при передаче сообщений с помощью устройств телесвязи. В приложении 3 приведены сильные и слабые стороны классического криптографического алгоритма DES и криптографического алгоритма с открытым ключом RSA (название от первых букв фамилий авторов - Rivest, Shamir, Adelman). В настоящее время создаются все более сложные криптосистемы, вскрытие которых становится почти невозможным. Средства централизованного контроля и управления защитой информации в ЛВС включают: • персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ); • специальное программное обеспечение (СПО); • организационные мероприятия. В качестве АРМ СБИ (приложение 4) в больших ЛВС лучше всего использовать специально выделенную ПЭВМ, введенную в состав сети и размещенную в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы ЛВС не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления ЛВС на ПЭВМ администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между СБИ и руководством фирмы, в конторах - между СБИ и владельцем ЛВС. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух ПЭВМ: администратора и руководителя. Нормальный режим работы ЛВС - когда функции управления выполняет администратор, а руководитель контролирует его действия и, при необходимости, может в этот процесс вмешаться. Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на ПЭВМ руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки НСД, а также контроля функционирования средств защиты. Специальное программное обеспечение СЦКУ безопасности информации включает следующие программы: • ввода списков идентификаторов пользователей сети; • генерации и ввода кодов ключей-паролей (КП); • ввода и контроля полномочий пользователей; • регистрации и отображения сообщений о фактах НСД: несовпадений КП, нарушений полномочий с указанием времени, места и даты события; • регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты выдачи информации; • ведения журнала учета и регистрации доступа к информации; • формирования и выдачи необходимых справок по НСД; • контроля целостности программного обеспечения ЛВС; • контроля конфигурации ЛВС; • управления шифрованием информации; • периодического тестирования и контроля функционирования пер численных функций; • документирования перечисленных работ; • ведения статистики НСД. Особое внимание следует обратить на необходимость постоянного контроля НСД и выработки сигнала тревожной сигнализации на АРМ СБИ, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображения сигнала НСД с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выполнение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам. Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на ЛВС в целом, а также для дублирования в целях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты - залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только автоматика, а не человек со всеми слабостями человеческой натуры. 4. Защита платежных документов на бумажном носителе Методы защиты платежных документов на бумажных носителях мы рассмотрим на примере банкнот Банка России образца 1995 года. В 1995 г. Центральный банк Российской Федерации выпустил в обращение новые денежные билеты. Новые банкноты России образца 1995 г. изготовлены с применением специальных способов печати и целого ряда защитных средств, знание которых позволит безошибочно отличать подлинные банкноты от фальшивых. Настоящее издание знакомит работников банков, торговых организаций, а также широкие слои населения с внешним видом новых банкнот и основными признаками их подлинности, определяемыми визуально (без применения приборов) или с помощью ультрафиолетового излучателя - по наличию в банкнотах люминесцирующих (светящихся в УФ-лучах) участков рисунка и специальных добавок (волокон). Новая серия банкнот представлена пятью номиналами - 1000, 5000, 10000, 50000 и 100000 рублей. Все банкноты имеют единый стиль и характер композиционного оформления. Тематика рисунков включает сюжеты различных городов России. Банкноты имеют размеры: 137 х 61 мм (1000 и 5000 рублей); 150 х 65 мм (10 000, 50 000 и 100 000 рублей). Характерной особенностью новых банковских билетов является наличие на них двух купонных полей (слева и справа от живописного поля), на которых расположены локальные водяные знаки, метки для людей с ослабленным зрением и узоры из концентрических волнистых линий, а также эмблема Банка России; текст ПОДДЕЛКА БИЛЕТОВ БАНКА РОССИИ ПРЕСЛЕДУЕТСЯ ПО ЗАКОНУ; нумерация и часть элементов основного рисунка (цифровые и текстовые номиналы банкнот). БУМАГА Банкноты отпечатаны на высококачественной прочной бумаге, имеющей характерный хруст; для разных номиналов банкнот применена бумага с различными цветовыми оттенками. ВОДЯНОЙ ЗНАК На каждой банкноте имеются два локальных водяных знака. Слева на узком купонном поле - цифровое обозначение номинала, расположенное вертикально; справа на широком купонном поле - многотоновое изображение одного из элементов сюжета банкноты. Водяные знаки имеют четкие очертания и хорошо видны на просвет. ЦВЕТНЫЕ ВОЛОКНА В банкнотную бумагу при ее отливе введены мелкие волокна красного, фиолетового и светло-зеленого цветов; красные и светло-зеленые волокна в УФ-лучах люминесцируют соответственно ярко-красным и желто-зеленым светом. ЗАЩИТНАЯ НИТЬ В бумагу банкнот введена металлизированная нить, которая на просвет имеет вид темной вертикальной полосы в левой части живописного поля лицевой стороны денежного билета. СПОСОБЫ ПЕЧАТИ Средняя часть банкнот (живописное поле) лицевой и оборотной сторон выполнена металлографской (основное изображение) и офсетной (фон) печатью. Основное изображение включает в себя тематический рисунок, а также текстовые и цифровые изображения номиналов банкнот, наименование банка и другие сведения. С помощью металлографской печати достигается высокая точность воспроизведения рисунка на банкнотах, вплоть до мельчайших его элементов (например микротекст), а также рельефность изображений, хорошо воспринимающаяся на ощупь (например метки для людей с ослабленным зрением, текст БИЛЕТ БАНКА РОССИИ). Многоцветное фоновое изображение на лицевой стороне банкнот выполнено офсетной печатью с орловским эффектом/ характеризующимся резким изменением цвета линий узоров и рисунков без разрывов и сдвигов, и с ирисовым раскатом, имеющим плавный переход одного цвета в другой без четко выраженной границы. Офсетной многокрасочной печатью выполнены фоновые сетки, орнаменты и отдельные фрагменты на оборотной стороне. КИПП-ЭФФЕКТ На новых банкнотах всех достоинств в металлографской печати лицевой стороны применен кипп-эффект - скрытое изображение букв РР (российский рубль), обнаруживаемое при рассматривании банкноты в косопадающем свете. МИКРОПЕЧАТЬ На оборотной стороне в верхней и нижней частях банкнот расположен микротекст, который можно прочитать только при значительном увеличении. МЕТКИ ДЛЯ ЛЮДЕЙ С ОСЛАБЛЕННЫМ ЗРЕНИЕМ В нижней части узкого купонного поля лицевой стороны банкноты расположены условные знаки в виде небольших кружков и прямоугольников, имеющих повышенный рельеф, позволяющий установить достоинство банкноты на ощупь (на банкнотах разных достоинств отпечатано разное количество кружков и прямоугольников). ИЗОБРАЖЕНИЯ, ОБНАРУЖИВАЕМЫЕ ВУФ-ЛУЧАХ При рассматривании банкноты в УФ-лучах видны светящиеся изображения: на лицевой стороне банкноты - невидимая при обычном освещении фигурная плашка на широком купонном поле имеет розовое свечение; на оборотной стороне - отдельные участки банкноты люминесцируют желто-зеленым светом. СЕРИЙНЫЙ НОМЕР На всех банкнотах отпечатано два семизначных номера с серией из двух букв: один - красно-коричневого цвета, в середине узкого купонного поля, другой - зеленого, в нижней части правого купонного поля (последний в УФ-лучах имеет зеленое свечение). ЗАЩИТА ОТ КСЕРОКОПИРОВАНИЯ И СКАНИРОВАНИЯ Представлена в виде узоров из тончайших концентрических волнистых линий на узком и широком купонных полях; при попытке воспроизвести банкноту на сканирующей технике появляются искажения - радиальные светлые и темные полосы (муар). ОПИСАНИЕ БАНКНОТЫ ДОСТОИНСТВОМ 10 000 РУБЛЕЙ ЛИЦЕВАЯ СТОРОНА Билет Банка России образца 1995 г. достоинством 10 000 рублей изготовлен на тонированной бумаге, имеющей светло-желтый оттенок, с хаотично внедренными в бумажную массу защитными волокнами фиолетового, красного и светло-зеленого цветов. Размер банкноты - 150 х 65 мм. Сюжет - вид на мост через р. Енисей и памятник XIX в. - часовня в г. Красноярске. Защитная нить - металлизированный пластик в левой части банкноты, при рассматривании на просвет имеет вид темной полосы. Водяные знаки расположены на узком и широком купонных полях. Двухцветной металлографской печатью выполнены: темно-зеленой краской - вид на мост через р. Енисей в г. Красноярске, номинал 10 000, напечатанный оттененным наклонным шрифтом, гиль-оширная орнаментальная лента со словом КРАСНОЯРСК, слово РОССИИ с повышенным рельефом, слова ДЕСЯТЬ ТЫСЯЧ, метка для людей с ослабленным зрением в виде кружка и четырех прямоугольников, имеющая повышенную рельефность; темно-коричневой краской - часовня, слова БИЛЕТ БАНКА в правой верхней части банкноты, имеющие повышенную рельефность, слово РУБЛЕЙ в правом нижнем углу, эмблема - двуглавый орел с текстом под ним БАНК РОССИИ, текст ПОДДЕЛКА БИЛЕТОВ БАНКА РОССИИ ПРЕСЛЕДУЕТСЯ ПО ЗАКОНУ. Офсетным способом печати с орловским эффектом выполнены: вертикальная орнаментальная полоса со стилизованным изображением хвойных ветвей с шишками, фон под изображением часовни, фоновая сетка вдоль верхнего и нижнего краев банкноты с ирисовым раскатом. Способом высокой печати выполнены: серийный номер, напечатанный дважды: слева посередине узкого купонного поля - красно-коричневого цвета и справа внизу - зеленого. Серия состоит из двух букв, номер - из семи цифр. ОПИСАНИЕ БАНКНОТЫ ДОСТОИНСТВОМ 10 000 РУБЛЕЙ ОБОРОТНАЯ СТОРОНА Сюжет - вид на плотину Красноярской ГЭС. Двухцветной металлографской печатью выполнены: темно-зеленой краской - вид на плотину, ниже, под рисунком, - микротекст в виде пяти полос, обозначение достоинства словами ДЕСЯТЬ ТЫСЯЧ РУБЛЕЙ внизу слева; темно-коричневой краской- номинал 10 000 справа внизу, напечатанный объемным прямым шрифтом, номиналы 10 000 справа и слева вверху банкноты, напечатанные оттененным наклонным шрифтом, микротекст в виде шести полос - под числом 10 000. Офсетным способом печати выполнены: вертикальная орнаментальная полоса со стилизованным изображением хвойных ветвей с шишками и молодыми побегами (часть деталей рисунка не окрашена), фоновая сетка вдоль верхнего и нижнего краев банкноты с ирисовым раскатом, микроузор на широком и узком купонных полях, внешне воспринимающийся в виде ровного серого поля, и год выпуска - 1995 коричневого цвета. Основные признаки, подтверждающие подлинность банкноты ЛИЦЕВАЯ СТОРОНА Размер банкноты - 150 х 65 мм. Бумага тонирована, имеет светло-желтый оттенок, содержит хаотично внедренные защитные волокна фиолетового, красного и зеленого цветов. Преобладающие цвета - темно-зеленый, темно-коричневый. Сюжет -вид на мост через р. Енисей и памятник XIX в. - часовня в г. Красноярске. ВОДЯНОЙ ЗНАК На узком купонном поле - многотоновый локальный водяной знак в виде вертикально расположенного светлого изображения числа 10 000 с цифрами, оттененными с нижней и правой сторон (1). ВОДЯНОЙ ЗНАК На широком купонном поле - многотоновый локальный водяной знак: изображение часовни в темном прямоугольном ореоле (2). ФОНОВАЯ ПЕЧАТЬ Орнаментальная полоса выполнена офсетным способом с эффектом многокрасочной орловской печати: цвета штриховых элементов точно совмещены друг с другом, без разрывов и смещений (3). МЕТАЛЛОГРАФИЯ Справа вверху текст БИЛЕТ БАНКА РОССИИ (4); слева внизу, на купонном поле,- метка для людей с ослабленным зрением в виде одного кружка и четырех прямоугольников (5), обладают повышенной рельефностью, воспринимаемой на ощупь. КИПП-ЭФФЕКТ При рассматривании банкноты в косопадающем свете на узорной гильоширной ленте зеленого цвета в средней части видны буквы РР (российский рубль) (6). СЕРИЙНЫЙ НОМЕР Состоит из серии (две буквы) и семизначного номера, напечатан дважды: слева посередине узкого купонного поля - красно-коричневого цвета (7), люминесценции не имеет, обладает ферромагнитными свойствами; в правой нижней части на широком купонном поле - зеленого цвета (8), в УФ-лучах имеет зеленое свечение. ОБОРОТНАЯ СТОРОНА Преобладающие цвета - темно-зеленый, темно-коричневый. Сюжет - вид на плотину Красноярской ГЭС. ЗАЩИТНАЯ НИТЬ Шириной 1 мм расположена в правой части банкноты и при рассматривании на просвет имеет вид непрерывной темной полосы (9). МИКРОУЗОР Расположен на широком и узком купонных полях, образован концентрическими волнистыми линиями, внешне воспринимается в виде ровного серого поля. При сканировании банкноты превращается в чередование темных и светлых полос и разводов (10). ФОНОВАЯ СЕТКА Вдоль верхнего (11) и нижнего краев банкноты фоновая защитная сетка плавно изменяет свой цвет от розового по краям до зеленого посередине (ирисовый раскат). МИКРОТЕКСТ расположен в нижней части банкноты под рисунком и номиналом 10 000 в виде полос (в две строки), образованных микротекстом непрерывно повторяющегося словосочетания БАНКРОССИИ (12). СОВМЕЩАЮЩИЕСЯ ИЗОБРАЖЕНИЯ При рассматривании банкноты на просвет неокрашенные части ветвей и шишек оборотной стороны заполняются цветом рисунка лицевой стороны (13). ЛЮМИНЕСЦЕНЦИЯ БАНКНОТЫ ДОСТОИНСТВОМ 10 000 РУБЛЕЙ В УЛЬТРАФИОЛЕТОВЫХ ЛУЧАХ ЛИЦЕВАЯ СТОРОНА По всей поверхности банкноты красным и светло-зеленым светом люминесцируют хаотично внедренные в бумажную массу защитные волокна. В нижней части широкого купонного поля невидимая в обычном освещении фигурная плашка имеет розовое свечение. Серийный номер, расположенный в правой нижней части банкноты, имеет зеленое свечение. ОБОРОТНАЯ СТОРОНА По всей поверхности банкноты красным и светло-зеленым светом люминесцируют хаотично внедренные в бумажную массу защитные волокна. Орнамент в левой половине банкноты, выполненный зеленой краской, имеет зеленое свечение.8 5. Организация службы внутренней безопасности 5.1. Порядок организации охраны, пропускного режима Для ответа на этот вопрос необходимы данные Инструкции Банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях Банка России". 5.2. Порядок организации противопожарной охраны Противопожарные мероприятия проектируются в соответствии с требованиями СНиП 2.01.02-85 "Противопожарные нормы" и других нормативных документов. Степень огнестойкости зданий должна быть не ниже П. Автоматической пожарной сигнализацией оборудуются все помещения (в том числе коридоры и холлы), за исключением помещений с мокрыми технологическими процессами. В здании банка предусматривается централизованная система оповещения о пожаре. В одно-двухэтажных зданиях для оповещения о пожаре используются звонки и сирены, отличающиеся по тональности от других сигналов. Помещение пожарного поста, в том числе совмещенного с помещением охраны, должно иметь естественное освещение и размещаться на первом или в цокольном этаже здания. Эвакуация из операционных и кассовых залов, разделенных барьером на зоны, должна обеспечиваться самостоятельно для каждой зоны. На первом этаже лестница должна выходить в изолированный (выделенный перегородками с дверями) отсек коридора. Кладовые ценностей оборудуются установками автоматического пожаротушения. Противодымную защиту помещений следует организовывать в соответствии с требованиями СНиП 2.04.05-91 "Отопление, вентиляция и кондиционирование". Помещение вычислительных центров, центральных ЭВМ локальных сетей, коммутационных ЭВМ оборудуются установками автоматического газового пожаротушения в соответствии с нормами проектирования помещений для ЭВМ. В помещениях, оснащаемых персональными ЭВМ, не подлежащих оборудованию системами автоматического пожаротушения, следует предусматривает устройство автоматической пожарной сигнализации, реагирующей на появление дыма, и оснащаются эти помещения первичными средствами пожаротушения (переносными или передвижными порошковыми огнетушителями) из расчета не менее двух огнетушителей на 20 кв.м. площади помещения. Помещение архивов финансовых документов, за исключением случаев использования несгораемых сейфов, оборудуются установками автоматического пожаротушения. Применяемые при этом огнегасящие составы не должны повреждать документы при тушении. Сургучница и другие электронагревательные приборы должны устанавливаться на несгораемом основании. Акустическая отделка помещений должна выполняться из несгораемых или трудно сгораемых материалов. Предел огнестойкости перекрытий над встроенными гаражами, стоянками должен быть не менее 1,5 часов. 5.3. Видеоохранные устройства Телевизионная система охраны и наблюдения (ТСОН) предназначена для наблюдения за подходами к банку, участками периметра, въездными воротами, территорией внутреннего двора, главным входом, кассовым и операционным залом, коридорами отдельными помещениями и запасными выходами, а также для видеодокументирования событий, происходящих в зонах видеоконтроля. Применение ТСОН позволяет производить круглосуточный видеоконтроль за обстановкой на охраняемом объекте, создает предупреждающее воздействие на криминальный элемент, улучшает условия выполнения служебных задач личным составом охраны, помогает администрации банка наблюдать за работой служащих, контролировать действия охраны банка. Круглосуточный режим работы ТСОН обеспечивает постоянную запись на видеорегистратор обстановки на охраняемом объекте, документирование видеоинформации, ретроспективный просмотр сотрудниками службы безопасности событий на объекте, позволяет анализировать действия личного состава охраны и служащих банка в случае возникновения нештатных ситуаций, совершенствовать взаимодействие личного состава охраны, сотрудников службы безопасности и служащих банка вовремя проведения учебных "тревог". ТСОН в сочетании с извещателями охранно-пожарной сигнализации (ОПС) позволяет создать качественно новые рубежи охраны. При пересечении нарушителем зоны обнаружения датчика охранной сигнализации включается соответствующая видеокамера. Начиная с этого момента, он находится под наблюдением службы охраны банка, и это позволяет службе охраны оперативно влиять на события и производить упреждающие мероприятия. В этих условиях, благодаря применению ТСОН, получается качественно новый способ охраны, который позволяет быстро оценить сложившуюся обстановку и эффективно реагировать на возникшую ситуацию. Для размещения центра управления ТСОН должна быть предусмотрена отдельная аппаратная комната. Камеры должны быть установлены только официально и все сотрудники банка должны знать о видеокамерах, иначе можно вступить в противоречие с Гражданским Кодексом Российской Федерации. При выборе ТСОН для банка следует руководствоваться размерами объекта, его конфигураций, количеством мест, необходимых для визуального контроля. 6. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ ЦЕНТРАЛЬНОГО БАНКА РОССИИ В целях эффективного обеспечения личной безопасности сотрудников Центрального Банка России и членов их семей ЦБ РФ в лице Управления безопасности и защиты информации разработало подробнейшую памятку о действиях своих сотрудников в случае угрозы их безопасности и безопасности членов их семей. В ней особо подчеркивается, что если до недавнего времени к числу наиболее распространенных угроз личной безопасности относили стихийные бедствия, пожары, катастрофы, то в настоящее время все чаще приходится сталкиваться с проявлениями терроризма, захвата заложников, вымогательством и другими преступлениями направленными против личности. Сотрудник Центрального Банка России должен знать свои права и обязанности при действиях в экстремальных ситуациях, руководствоваться правилами поведения, позволяющими исключить или уменьшить вероятность попадания в опасные ситуации, психологически быть готовым к самозащите. Сотруднику предлагается смоделировать свое поведение в различных условиях, быть готовым своевременно распознать и правильно оценить опасную для здоровья и жизни ситуацию, ограничить внезапность возможного нападения со стороны злоумышленников, защитить себя и своих близких от преступных посягательств. В данной памятке раскрыты основные действия по различным угрозам, которые могут возникнуть. Рассмотрим некоторые из них. Действия сотрудников при возникновении угроз их жизни, здоровью и имуществу. При возникновении такой угрозы сотруднику должен немедленно проинформировать свое руководство и подать письменное заявление. Для обеспечения безопасности сотрудников и членов их семей подразделение, обеспечивающее безопасность банка может применить следующие особые меры безопасности: а) личная охрана, охрана жилища и имущества; б) выдача специальных средств индивидуальной защиты и оповещения об опасности; в) временное помещение в безопасное место; г) обеспечение конфиденциальности сведений о сотруднике; д) перевод на другую работу, изменение места работы или учебы. Если в ходе проверки поступившего от сотрудника заявления будет установлено, что угрозы имеют реальный характер, однако их причина не обусловлена выполнением сотрудником служебных обязанностей, материалы передаются для принятия мер в соответствующий орган внутренних дел. Таким образом, Центральный Банк РФ в лице своей службы безопасности берет под специальную защиту своих сотрудников в случае угрозы сотруднику, прямо связанными с интересами ЦБ РФ. Инструкция требует также не разглашать сведения о принимаемых и принимавшихся в отношении сотрудника особых мерах безопасности без разрешения подразделения, осуществляющего эти меры. Регламентированы также: действия сотрудников при поступлении угроз по телефону; при поступлении угроз по почтовому каналу и каналу связи; действия сотрудников в случае похищения или захвата в качестве заложников членов их семей; действия при похищении или захвате в качестве заложника; меры безопасности на работе; меры безопасности при передвижении по городу; меры безопасности при передвижении на автомобиле; действия сотрудников при попадании в дорожно-транспортные происшествия; обеспечение личной безопасности при проживании в гостинице; первая медицинская помощь в экстренных случаях и т. д. Вся эта подробнейшая регламентация должна помочь принятию правильных решений по нейтрализации угроз не только в целях личной безопасности сотрудников, но и в определенной степени, нейтрализации угроз самому ЦБ РФ как специфическому институту государства. Заботясь в плане безопасности о своих сотрудниках он заботится в конечном итоге и о государственных интересах. ЗАКЛЮЧЕНИЕ Забота о безопасности пронизывает всю систему Центрального Банка России. Ее организация ведется через Главное Управление безопасности и защиты информации. В Банке России интенсивно развиваются системы информации и телекоммуникаций. Не секрет, что этот процесс проходит на фоне обострения криминогенной ситуации в сфере банковской деятельности и поэтому большое значение приобретают проблемы развития и совершенствования системы обеспечения информационной безопасности. Опираясь на основные, базовые принципы принятые как в международной практике, так и в России Главное Управление безопасности и защиты информации ЦБР в последнее время активно принимает комплекс мер защиты по целому ряду направлений. Проводится анализ проектов нормативных документов и иных правовых актов, разработанных структурными подразделениями ЦБ РФ, в частности Положение о порядке подготовки и вступления в силу нормативных актов ЦБ РФ; Инструкции о порядке взаимодействия с правоохранительными органами по вопросам банковского регулирования и надзора за деятельностью кредитных организаций; Положение о Территориальном учреждении ЦБ РФ и др. Разрабатываются усовершенствованные организационно-методические документы, регламентирующие в учреждениях ЦБ РФ внутренний и пропускной режим деятельность администраторов информационный безопасности, работу со сведениями ограничивающего применения. Для практического применения криптографических средств защиты информации в банковских телекоммуникационных системах ускоряются темпы создания средств криптографической защиты информации, чтобы использовать в новейших средствах и системах информации и телекоммуникаций. Для банков сейчас опасен не столько технический шпионаж со стороны иностранных разведок, сколько существование почти повсеместной угрозы посягательств отечественных преступных элементов. Например, новым элементом в криминализации финансового рынка стала деятельность различных инвестиционных групп, которые, якобы представляя крупные банки Запада или частных инвесторов, выходят на российские кредитные учреждения или органы власти с предложениями организовать инвестирование социально- экономических проектов, при условии предоставления банковских или правительственных гарантий. Резко возросло количество махинаций с пластиковыми карточками, изготовление которых возможно без государственного контроля. Активно проявляется тенденция по внедрению своих людей в ЦБ РФ, привлечение сотрудников к сотрудничеству с криминалом. Участились случаи подкупа, шантажа, угроз. Особое значение имеет обеспечение безопасности электронных платежных технологий. В настоящий момент уровень безопасности электронных платежей (документов) в ЦБ РФ выше, чем бумажных. Сфера банковской безопасности сложна, многообразна. Она решает трудные задачи. Но, как говориться, в какой-то степени, банк тогда чего-нибудь стоит, когда умеет себя защитить. приложения Приложение 1 Приложение 2 Криптографическое закрытие информации Приложение 3 Характеристики криптографических алгоритмов Характеристика DES RSA Скорость работы Быстрая Медленная Используемая функция Перестановка и подстановка Возведение в степень Длина ключа 56 бит 300...600 бит Наименее закрытый криптоанализ Перебор по всему ключевому пространству Разложение модуля Временные затраты на анализ Столетия Зависят от длины ключа Время генерации ключа Миллисекунды Десятки секунд Тип ключа Симметричный Асимметричный Приложение 4 Структурная схема автоматизированного рабочего места службы безопасности информации СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ Федеральный закон РФ от 21.07.93 № 5485-1 "О государственной тайне" с изменениями и дополнениями. Федеральный закон Российской Федерации от 03.02.96 № 17-ФЗ "О банках и банковской деятельности" с изменениями и дополнениями. Инструкция банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях банка России" Банковская система России. Настольная книга банкира. Книга III. - М.: Дека, 1995, с. 382-464. Гайкович В., Перший А. Безопасность электронных банковских систем. - М.: Единая Европа, 1994, с. 116-148, 180-243. Действия работников организации и членов их семей в чрезвычайных ситуациях: Памятка / Под ред. Л.В. Войлукова. - М.: Банк России, 1995. Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность. Учебное пособие / Под ред. Г.А. Краюхина. - СПб.: СПб. ГИЭА, 1996, с. 3-75. Компьютеризация банковской деятельности / Под ред. Г.А. Титоренко. - М.: Финстатинформ, 1997, с. 6-18, 249-298. Крысин А.В. Безопасность предпринимательской деятельности. - М.: Финансы и статистка, 1996. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика: Электроинформ, 1997, с. 59-102, 286-346. Российские банкноты образца 1995 года. ЦБ РФ. Изд-во АО "Консалтбанкир", 1995. РЕЦЕНЗИЯ ПРЕПОДАВАТЕЛЯ 1 Федеральный закон Российской Федерации от 03.02.96 № 17-ФЗ "О банках и банковской деятельности" с изменениями и дополнениями, глава III, ст. 26. 2 Крысин А.В. Безопасность предпринимательской деятельности. - М.: Финансы и статистка, 1996, с. 87-90. 3 Крысин А.В. Безопасность предпринимательской деятельности. - М.: Финансы и статистка, 1996, с. 80-86. 4 Компьютеризация банковской деятельности / Под ред. Г.А. Титоренко. - М.: Финстатинформ, 1997, с. 6-18. 5 Компьютеризация банковской деятельности / Под ред. Г.А. Титоренко. - М.: Финстатинформ, 1997, с. 249-258. 6 Компьютеризация банковской деятельности / Под ред. Г.А. Титоренко. - М.: Финстатинформ, 1997, с. 265-282. 7 Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика: Электроинформ, 1997, с. 289-346. 8 Российские банкноты образца 1995 года. ЦБ РФ. Изд-во АО "Консалтбанкир", 1995. 1 1 Работа на этой странице представлена для Вашего ознакомления в текстовом (сокращенном) виде. Для того, чтобы получить полностью оформленную работу в формате Word, со всеми сносками, таблицами, рисунками, графиками, приложениями и т.д., достаточно просто её СКАЧАТЬ. |
|
Copyright © refbank.ru 2005-2024
Все права на представленные на сайте материалы принадлежат refbank.ru. Перепечатка, копирование материалов без разрешения администрации сайта запрещено. |
|