Окатьев Константин Викторович
Москва 2009
1.1. Методические основы совершенствования безопасности банковской системы
Необходимость совершенствования безопасности банковской системы обусловлена дальнейшим успешным развитием как банковской системы в целом, так и повышением эффективности деятельности и устойчивости функционирования отдельных банков.
Такие факторы, как улучшение качества корпоративного управления, включая достижение большей прозрачности деятельности банков, эффективности риск-менеджмента, совершенствование отношений органов управления банков, акционеров и заинтересованных лиц, в значительной степени могут способствовать достижению цели повышения эффективности совершенствования безопасности банковской системы.
Формирование и дальнейшее улучшение банками систем управлениями рисками, приближение их к соответствующим международным стандартам позволяет уменьшить подверженность банковского сектора рискам, принимаемым на себя. Наряду с этим положительное влияние на риски банковской деятельности может оказывать проведение мер по согласованности динамики роста активов банковского сектора с темпами экономического роста.
Основным ориентиром совершенствования принципов и инструментов безопасности банковской системы следует считать приближение деятельности КБ в данной сфере к международным стандартам, включая международные стандарты по соглашениям относительно капитала (Базель II), а также использование подходов к банковскому регулированию и надзору, проверенных мировой практикой. Также, позитивное влияние на безопасность и результативность работы КБ может оказывать и последовательное уменьшение масштабов переноса рисков нефинансового сектора экономики на финансовый.
Структурно, система безопасности сейчас находится на пороге перехода к качественно иному состоянию. И в связи с этим, следует обратить особое внимание на популярный в последнее время принцип экономической целесообразности: нельзя допустить, чтобы он оказался ограничителем объективного развития банковской безопасности.
Активизация организованной преступности, рост ее финансовой мощи и технической оснащенности дает основание полагать, что тенденция осложнений в криминогенной обстановке вокруг банков в обозримое время сохранится. Поэтому определение и прогнозирование возможных угроз, оценка степени их опасности для банковской системы принципиально важны и необходимы при выборе и реализации соответствующих защитных мероприятий.
Весьма актуальным является совершенствование комплекса задач обеспечения информационной безопасности, внедрения и комплексного применения современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации. При этом, естественно, сохраняются задачи обеспечения сохранности материальных ценностей, физической охраны банков, соответствующего режима внутриобъектового и пропускного режима.
В доктрине информационной безопасности Российской Федерации (Доктрина информационной безопасности Российской Федерации, одобренная Советом Безопасности Российской Федерации на заседании 23 июня 2000 года)защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных систем рассматриваются как «четвертая составляющая национальных интересов Российской Федерации в информационной сфере».
Банк России особое внимание уделяет обеспечению безопасности электронных расчетов, так как основная масса расчетов между банками осуществляется через его расчетную систему.
Наряду с безусловными положительными моментами ускоренного развития инфраструктуры, платежных банковских технологий, перехода к централизованным формам обработки платежной информации, эти процессы сопровождаются возникновением дополнительных рисков. Это требует принятия целого ряда мер, направленных на исключение угроз информационной безопасности. Принципиально важно если не исключить полностью, то, по крайней мере, свести к минимуму ущерб от возможного хищения денежных средств из платежных систем. Решить эту задачу можно только на основе четко проводимой политики безопасности, а также реализации единого комплексного подхода при построении систем безопасности и внедрения их в платежные и информационные банковские технологии.
Банком России определены цели политики безопасности: обеспечение надежного бесперебойного функционирования платежной системы в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее безопасности и хищению денежных средств.
В диссертационной работе мы опираемся на принципы управления рисками в электронных банковских операциях. К ним в частности относятся:
идентификация клиентов, участвующих в электронных расчетах;
совершение электронных расчетов на основе установленной ответственности сторон;
четкое разграничение полномочий по доступу сотрудников к электронной банковской системе;
регламентация функциональных обязанностей;
организация надлежащего контроля за доступом в электронную банковскую систему и базу данных;
обеспечение целостности информации и программного обеспечения;
обеспечение конфиденциальности информации, циркулирующей в системе электронных расчетов.
Банки России реализуют эти принципы на основе единого комплексного подхода к обеспечению безопасности системы электронных расчетов, который предусматривает применение определенных технических, организационных и программных мер, обеспечивающих защиту на всех этапах подготовки, обработки, передачи и хранения платежных документов. Причем в непрерывном режиме.
В платежной системе в первую очередь обеспечивается идентификация пользователей, контроль целостности и подтверждение подлинности платежных документов, разграничение прав доступа, защита от несанкционированного доступа к ресурсам и, естественно, контроль за правильностью расчетов. Широко применяется криптографическая защита платежной информации. Чтобы не допустить сбоев в работе, делается резервирование программно-технических комплексов и информационных ресурсов. В целом, система построена таким образом, что выход из строя какого-то отдельного комплекса — из-за прекращения подачи электроэнергии, технологических нарушений или террористического акта — не может привести к остановке расчетов. В крайнем случае, он будет проходить через другие регионы.
В Банке России большая группа специалистов занята совершенствованием и развитием платежной системы. При этом работа идет параллельно в четырех основных направлениях: законодательное поле, информационное обеспечение, нормативная база и собственно защита.
Корпоративная сеть платежной системы отделена от других сетей и входит в единую транспортную банковскую сеть. Она обеспечивает взаимодействие между региональными платежными системами и информационной системой Банка России. Ее безопасность достигается благодаря применению средств межсетевой защиты — сертифицированных межсетевых экранов. Предпочтение при создании системы безопасности единой транспортной банковской сети было отдано программно-аппаратным средствам отечественной разработки. Фактически они позволяют отделить ее от глобальных телекоммуникационных систем, включая Интернет.
Среди современных средств защиты информации, применяемых в коммерческих банках, немаловажное значение имеет криптографическая защита информации, которая основывается на симметричных и несимметричных (ассиметричных) шифрах, на шифрах и алгоритмах Диффи-Хелмана, на стеганографии, на инфраструктуре открытых ключей (PKI) и на электронных цифровых подписях (ЭЦП).
Количество регистрируемых вирусных атак, особенно в сети Интернет, ежегодно растет. В соответствии с нормативными документами Банка России внедрена и постоянно поддерживается жесткая система обеспечения антивирусной защиты. Она позволяет не допустить проникновения вирусов в платежную систему. Однако, постоянно возникают новые виды угроз(Рис 1). Помимо вирусов, среди наиболее динамично развивающихся систем нарушения банковской безопасности можно выделить следующие:
СПАМ и Фишинг;
Фарминг;
Вишинг.
Рис. 1. Виды вредоносного ПО, с которым сталкивались участники опроса, проведенного компаниями Softline и Symantec в октябре 2007 года
Причины такого положения дел, как считает старший вирусный аналитик из «Лаборатории Касперского» Виталий Камлюк, заключаются в следующем:
прибыльность;
простота исполнения (как с технической, так и с моральной точки зрения);
низкий уровень риска, связанный прежде всего с экстерриториальностью сети;
появление новых сервисов, которые выгодно атаковать.
В результате по оценке Виталия Камлюка 96% вредоносного кода является инструментом криминального бизнеса, направленного на кражу информации, рассылку спама, шантаж, атаки на ресурсы конкурентов.
Еще одна важная проблема, которую предстоит решить, связана с критериями, на основании которых можно оценивать реальную защищенность банковских автоматизированных систем. Сегодня действуют нормативные документы Гостехкомиссии РФ, которые основываются на сложившихся в стране подходах к обеспечению информационной безопасности и оценке ее фактического уровня. В то же время мировое финансовое сообщество, частью которого является и Банк России, рекомендует использовать международные стандарты. Между этими двумя системами существуют определенные противоречия, и их, очевидно, в ближайшее время нужно будет снять.
Важное место в системе безопасности Банка России занимает создание инженерно-технических средств охраны объектов и обеспечения сохранности материальных ценностей. Не секрет, что в Центральном банке есть что охранять. В связи с этим на объектах Банка России находят широкое применение самая современная охранная, пожарная и тревожная сигнализация, телевизионная система охраны и наблюдения, лучевые системы, системы контроля и управления доступом. Их применение обеспечивает должный уровень защиты персонала, сохранность средств и материальных ценностей.