По словам Заместителя Председателя Банка России М. Сенаторова[28], защита в Банке России организована на двух фронтах: внутри сети Банка и на стадии передачи информации по внешним сетям в КФМ России. Осуществляется постоянный контакт с ФАПСИ России, которое отвечает за безопасность передачи информации через каналы связи, причем используются только сертифицированные отечественные средства, построенные, в частности, на базе криптографии с ключом длиной 512 бит. А в ближайшее время планируется внедрение криптографии длиной 1024 бит. Кроме ориентации только на российские средства криптографии осуществляется еще комплексная сертификация аппаратных средств каждого автоматизированного рабочего места (АРМ). «При организации обмена данными с коммерческими банками мы передаем им терминал с сертифицированными отечественными средствами защиты, а в остальном обычно не регламентируем, как и какие средства банки должны у себя применять – российские или сертифицированные международные... .» «В функции ЦБ входит надзор за коммерческими банками, поэтому у нас хранятся большие базы весьма конфиденциальной информации, за сохранность которой мы несем ответственность. Эти данные не выходят за рамки наших внутренних сетей и не передаются по внешним каналам связи. Внутри сети имеются жесткие разграничения доступа, например, контур платежной системы физически изолирован и абсолютно независим от систем, выполняющих обработку статистики, ведение внутреннего документооборота, работу с почтой.» там же
Поскольку Закон О Центральном банке [8] не предписывает использование только отечественного программного обеспечения, во внутрибанковской сети применяются необходимые для работы программы, однако каждое АРМ, включая аппаратуру зарубежного производителя, проходит обязательную сертификацию. Закон №115-ФЗ [6] обязывает Банк России и другие банки хранить информацию по финансовым транзакциям – электронным версиям платежных документов – не менее пяти лет. Поэтому кроме защиты абонентских мест, защиты доступа к компьютерам и сетям Банком России были введены организационные методы, например, операторам и программистам запрещено одновременно работать на одном компьютере.
«Офисная среда у нас [в Банке России] построена на базе Windows, но средства ее защиты – это наши собственные разработки, встроенные в систему. Имеются специальные шлюзы для обмена информацией между системами, а выход в Сеть осуществляется только через специально выделенный терминал. Если программистам требуется выход в Internet, например, для получения обновлений программ или поиска какой - либо информации, то на время работы с компьютера снимаются все жесткие диски. Предусмотрен фильтр контроля за утечкой информации при работе как с внутренней, так и с внешней почтой.» [там же]
Для несложного объяснения порядка информационного взаимодействия банков с КФМ России, необходимо разделить его на два этапа, определяющие, во-первых, порядок представления информации в КФМ России Банком России и, во-вторых, направления соответствующей информации в КФМ России от коммерческих и иных банков.
Порядок представления банками сведений в соответствии с российским законодательством в КФМ России
Законом [6] предусмотрено, что «Порядок представления информации в уполномоченный орган [КФМ России] устанавливается Правительством Российской Федерации, а в отношении кредитных организаций – Банком России».
Положением Банка России [28] установлен указанный порядок в соответствии с которым, определено, что представление из кредитной организации в КФМ России сведений осуществляется в виде Отчета в виде электронного документа (ОЭД), подписанного заверенной зарегистрированной электронной цифровой подписью (ЭЦП). Кредитная организация самостоятельно изготавливает ключи ЭЦП, которые она должна направить на регистрацию в территориальное управление (ТУ) Банка России по месту нахождения кредитной организации. Кредитная организация подписывает ОЭД электронной цифровой подписью, затем шифрует его, после чего зашифрованное сообщение повторно подписывает ЭЦП.
Доставка ОЭД в ТУ может быть произведена по каналам связи или на магнитном носителе. ОЭД может содержать более чем одну операцию о которой кредитная организация сообщает в КФМ России. В целях своевременного представления информации в КФМ России кредитная организация направляет ОЭД в ТУ до 16.00 по местному времени рабочего дня, следующего за днем совершения операции. Принятая информация в тот же день до 18.00 по местному времени передается из ТУ в Главный центр информатизации (ГЦИ) Банка России. В Положении [28] сказано, что порядок направления информации из ГЦИ в КФМ России осуществляется в порядке, устанавливаемом Банком России.
В целях установления порядка передачи сведений из ГЦИ в КФМ России было подписано Соглашение от 28.01.02 г. «Об информационном взаимодействии между Центральным банком Российской Федерации (Банком России) и Комитетом Российской Федерации по финансовому мониторингу (КФМ России), осуществляемом в соответствии с Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем» [36]. Приложением №1 к данному Соглашению устанавливается временный порядок доставки информации от банков до КФМ России, предусматривающий использование телекоммуникационной сети Банка России.
В частности, ГЦИ, получив файлы от ТУ, обрабатывает их в установленном для статистической отчетности порядке и до 24-00 московского времени помещает полученные зашифрованные файлы в директорию системы «Банком» для КФМ России. Тот, в свою очередь, забирает из системы «Банком» эти файлы, расшифровывает их с помощью СКЗИ «ВербаОW», полученного от Банка России во временное пользование, и помещает расшифрованные файлы (с ЭЦП кредитной организации) в архив. Ключи для расшифровки файлов КФМ России получает от Банка России. По результатам обработки шифрованных файлов КФМ России направляет в ГЦИ уведомление. В случае нерасшифрования отдельных файлов КФМ России направляет в ГЦИ через систему «Банком» уведомление. ГЦИ доводит эту информацию до ТУ, которое в свою очередь требует у кредитной организации повторную отправку нерасшифрованного файла.
Порядок предоставления информации Банком России в КФМ России
Законом [6] предусмотрено, что «Центральный банк Российской Федерации предоставляет уполномоченному органу [КФМ России] информацию и документы, необходимые для осуществления его функций, в порядке, согласованном Центральным банком Российской Федерации с уполномоченным органом». При этом в данном Законе отмечено, что приведенное положение не распространяется на информацию и документы, полученные Банком России при исполнении его надзорных функций[29]. Это означает, что Банк России не может предоставлять сведения в КФМ России, полученные, например, вследствие проведения проверок кредитных организаций.
В настоящее время, на основании Соглашения [36] КФМ России взял на себя обязательство по разработке типового автоматизированного рабочего места (АРМ) в целях передачи информации от кредитных организаций в КФМ России. В свою очередь, Банк России обязан обеспечить его внедрение в кредитных организациях, включая проведение испытаний и тиражирование, а также последующее обслуживание АРМ. КФМ России обеспечивает первоначальную поставку документации по управлению ключевой системой в кредитные организации, включая рекомендации по обеспечению информационной безопасности в кредитной организации при обработке и передаче информации по подозрительным операциям. Одновременно, Банк России должен приложить усилия для осуществления внедрения АРМ в возможно короткие сроки, а также довести до сведения кредитной организации согласованный порядок получения и возврата программного обеспечения АРМ.
Изучение теории вопроса, законодательных и нормативных актов, регулирующих банковскую деятельность и финансовый надзор, обобщение международного опыта осуществления банковского надзора и контроля за деятельностью кредитных организаций в зарубежных странах, анализ российской системы взаимодействия органов финансового надзора с кредитными организациями позволяют сделать следующие выводы и обосновать предложения по дальнейшему развитию эффективного взаимодействия банков с органами финансового надзора в отношении предотвращения отмывания денег через банковскую систему России.
1. Во-первых,[O1] необходимо отметить, что к настоящему времени в научной литературе не проведено глубокого анализа исследования системы эффективного взаимодействия финансово-надзорных органов с банками, кроме того, юридически не закреплено понятие «финансовый надзор», не приводиться четкого разделения понятий «надзора» от «контроля», а соответственно и «органов финансового надзора» от органов «нефинансового надзора». Также не проведено глубокого анализа сущности органов финансового надзора в аспекте взаимодействия с банками. Вместе с тем, такой анализ является необходимым элементом для исследования работы всей системы финансового надзора и определения в ней места банковскому сектору. Автор полагает первоочередным принятие мер по осуществлению скорейшего узаконения терминологии, основанной на понятийном аппарате, приведенном в данной работе. Решением этой проблемы могло бы явиться разработка и внедрение Концепции об основах финансового надзора в Российской Федерации, в которой бы были определены не только органы финансового надзора, но и их функции и полномочия.