Содержание:

ВВЕДЕНИЕ

Одной из важнейших проблем функционирования банка как такового является проблема его безопасности. Данная проблема очень многообразна, крупнейшими сферами банковской безопасности являются: обеспечение безопасности банковской информации (банковской тайны) и обеспечение безопасности банка как такового, то есть личной безопасности сотрудников и сохранности материальных и финансовых активов (имущества). Именно эту часть проблемы безопасности осуществляет, в первую очередь, служба безопасности банка.

Таким образом, в условиях рыночных отношений в России, в условиях развития (и довольно бурного, во многом стихийно-хаотичного, когда законодательная база очень часто отстает от развития новых для России экономических отношений) первой фазы рынка – периода первоначального накопления капитала, когда яростная конкурентная борьба за выживание, рост, процветание сопровождается всеми атрибутами этой борьбы, вплоть до криминальных, вызывает к жизни и остро ставят вышеперечисленные проблемы безопасности банковской системы в целом и Банка России, в частности, важнейшим элементом банковской безопасности является оберегание, сохранение "банковской тайны". Понятие "банковской тайны" традиционно трактуется в двух основных значениях:

1) в широком смысле банковская тайна понимается как разновидность коммерческой тайны, то есть конфиденциальные сведения, принадлежащие самому банку;

2) в узком смысле под ней подразумевают обязанность сохранять тайну по операциям клиентов, их вкладам и счетам.

Таким образом, видно, что банковская тайна по сущности является разновидностью тайны профессиональной, ибо она отличается от коммерческой тем, что ее носитель не имеет личной заинтересованности в ее конфиденциальности при производном характере его прав на эти сведения. Например, банку безразлично, станет ли известно об операциях по счетам его клиентов их конкурентам и т.д., в силу чего, такую заинтересованность устанавливает законодатель, налагая на банковских служащих обязанность соблюдения банковской тайны и превращая банки в гарантов исполнения этих обязанностей. Понимание действительной сущности "банковской тайны" служащими банка позволяет последним сохранять ее на уровне внутренне морального убеждения в действительной (а не мнимой, по принуждению) ее сохранности для поддержания репутации банка как надежного и ответственного учреждения.

С бурным развитием банковской системы России, развитием Банка России большое значение уделяется правовой (законодательной) охране банковских клиентов. В силу специфических особенностей деятельности банков этому вопросу огромное внимание уделяется не только в России, но и за рубежом. Например, общефедеральным законом в Германии установлено, что сотрудники Федерального банковского контроля и Немецкого Федерального банка, контролеры и аудиторы, которые в ходе своей деятельности или из официальных отчетов узнали факты, составляющие банковскую тайну, либо тайну третьих лиц (торговые и бизнес секреты), не имеют право передавать данные сведения кому бы то ни было или использовать их не для служебных целей, даже если они покинули службу и их деятельность закончена. В дореволюционной России в образцовых (примерных) Уставах Азовско-Донецкого коммерческого банка, Варшавского учетного банка, Тифлисского коммерческого банка, утвержденных в 1871 г. понятие банковской тайны определялось тем, что члены Совета и Правления и все служащие в банке были обязаны хранить тайну во всем, что касается вверяемых банку частных вкладов, коммерческих дел и расчетов. В послереволюционный период, в результате ликвидации частной собственности, централизации всей финансово-кредитной системы в руках государства, банковская тайна распространялась лишь на вклады граждан в сберегательных учреждениях. После качественных социальных, коренным образом затронувших как политику, так и экономику, преобразований в России (была ликвидирована государственная монополия на собственность, получила право на жизнь частная собственность и т.д.), что повлекло, в частности, образование и бурный рост частных, коммерческих банков, расширились и усилились требования, как к безопасности самих банков, так и к банковской тайне, носителями которой они являются.

Понятие и содержание банковской тайны было закреплено в Федеральном законе "О банках и банковской деятельности в РСФСР". В главе III, ст. 26 "Банковская тайна" определено, что: кредитная организация, Банк России гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией. Передача сведений, составляющих банковскую тайну возможна, согласно данной статье Закона, строго определенному кругу государственных организаций в основном для проведения проверок, связанных с нарушением установленного Законодательства. Особо оговаривается роль и место Центрального Банка России в сохранении банковской тайны: он не вправе разглашать сведения не только о счетах, вкладах а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных Федеральными Законами.

Аудиторские организации не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученных в ходе проводимых ими проверок, за исключением случаев, предусмотренных Федеральным Законом. Четко в законе сформулирована и ответственность: за разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном Федеральным Законом. Таким образом, являясь центральным пунктом, в системе банковской безопасности, банковская тайна является предметом постоянной защиты со стороны государства, банков, с одной стороны и постоянных попыток ее незаконного раскрытия в целях корысти, хищений, подрыва конкурентов и т.д.

1. направления обеспечения безопасности банка россии

В Банке России интенсивно развиваются системы информатизации и телекоммуникаций. К сожалению, этот процесс проходит на фоне обострения криминогенной ситуации в сфере банковской деятельности, и поэтому боль­шое значение приобретают проблемы развития и совершенствования систе­мы обеспечения информационной безопасности.

Преступные посягательства в сфере банковской деятельности приоб­ретают все более интеллектуальный характер. Большой ценностью для пре­ступных элементов становится информация о системах организации банков­ских платежных и информационных технологий, а также о системах обеспе­чения их безопасности. Поэтому служба безопасности и защиты информации использует комплекс мер защиты по целому ряду направлений:

- техническая защита информации;

- защита платежных документов;

- внутренняя безопасность;

- личная безопасность и т.д.

1.1. Банковский шпионаж

Защита банковской информации становится все более актуальной, выдвинувшись на первое место относительно физической охраны и средств технической защиты помещения банков. Одним из главных методов овладения банковской информацией, является банковский шпионаж.

Под банковским шпионажем понимается незаконное, скрытое, тайное добывание банковской информации с целью ее противозаконного использования. Основными каналами утечки информации являются:

1. Перехват электроакустических преобразований в аппаратуре, имеющей линии связи, путем подключения к этим линиям аппаратуры.
2. Перехват информативных побочных электромагнитных излучений и наводок, возникающих при работе технических средств.
3. Перехват разговоров, ведущихся в служебных помещениях с помощью чувствительных микрофонов, лазерных систем, реагирующих на колебание стекол окон (где ведется разговор).
4. Перехват визуальной информации из распечаток, полученных с использованием ЭВМ и других служебных документов путем использования высокочувствительных оптических и фотосредств.

Кроме данных паразитных (побочных) технических каналов утечки могут создаваться и утечки информации с помощью миниатюрных закладных устройств-приборов для несанкционированного сбора и передачи информации на расстояния до нескольких сот метров, "клопы" на одежде, "жучки" в остальных случаях. К техническим каналам утечки информации относится также непосредственный перехват информационных сигналов, передаваемых по линиям связи, путем гальванического и бесконтактного подключения к этим линиям специальной аппаратуры. Банком России, другими банками проводятся работы по блокировке систем на договорной основе со специализированными организациями.

В настоящее время создается и в некоторых сферах уже реально су­ществует рынок сертифицированных средств защиты информации и банки, в том числе Банк России, заинтересованы в его дальнейшем развитии.

Защитные меры от утечки информации по техническим каналам носят различный характер в зависимости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной вычислитель­ной системы или программы. Такими мерами могут быть: доработка аппара­туры с целью уменьшения уровня сигналов, установка специальных фильт­ров, параллельно работающих аппаратных генераторов шума, специальных экранов и другие меры.

Выбор спецсредств очень широк - это приемники, сканеры, уст­ройства для контроля телефонных линий, переносные автомобильные радиостанции, устройства акустического контроля, блокираторы «жучков», устройства для обнаружения радио-закладок и защиты от прослушивания, системы видео-наблюдения, видео-домофоны и т.д., всего более 300 уст­ройств. Например, шумогенератор, размером с пачку сигарет, обеспечивает конфиденциальность переговоров в помещении. Включенный шумогенера­тор с выдвинутой антенной оставляет на внешних подслушивающих устрой­ствах только сплошной шум.

В числе мер защиты большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей, кото­рые обладают следующими преимуществами: отсутствием электромагнитно­го излучения во внешнюю среду, устойчивостью к внешним электромагнит­ным излучениям, большой помехозащищенностью, скрытностью передачи, малыми габаритами (что позволяет прокладывать их рядом с уже сущест­вующими кабельными линиями), устойчивостью к воздействиям агрессивной среды.

С точки зрения защиты информации волоконно-оптические кабели имеют еще одно преимущество: подключение к ним с целью перехвата пере­даваемых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения.

Специалисты фирмы IBM в Цюрихе продемонстрировали новый ме­тод передачи данных между различными устройствах в пределах одного ре­гионального центра информатизации с использованием ИК-систем. Беспро­водная передача данных с помощью ИК-системы может быть особенно по­лезна в учреждениях с большим общим рабочим залом. Среди главных пре­имуществ такой системы отмечается невосприимчивость ИК-каналов пере­дачи данных к электромагнитным и другим различным излучениям.

1.2. Утечка информации из компьютерных сетей

Распространенными способами незаконного использования банковской информации стали многочисленные способы организации утечки информации из компьютерных сетей. Истории с фальшивыми авизо, мемориальными ордерами, ложными телетайпами являются следствием отсутствия надежной защиты каналов передачи банковской информации, программных и аппаратных средств вычислительной техники. Как показывает зарубежный опыт, например в США, убытки, понесенные фирмами от данного вида преступлений, составляет 4-6 млрд. долларов ежегодно. Основными источниками угроз безопасности информации в компьютерных системах являются – мошенничество, саботаж персонала, действия профессиональных хакеров (взломщиков), ошибки в деятельности человека и сбои самого оборудования. Перехватывание паролей, ключей, информации с магнитных носителей – все это современные виды компьютерной преступности.

В качестве основных факторов, способствующих расширению масштабов компьютерной преступности, можно назвать следующие: использование компьютеров без тщательного анализа с позиций защищенности информации; недостаточное выделение средств на меры защиты; отсутствие плана мероприятий по защите компьютерных сетей; отсутствие взаимосвязанности принимаемых мер (программного, организационно-технического, законодательного характера). Международный банковский опыт показывает, что отдельные, разрозненные усилия банков по защите информации оказываются малоэффективными перед лицом преступных группировок и лиц, активно использующих объединенный опыт технического компьютерного прогресса и достижений электроники. Понимая это, крупные американские и европейские банки решали вопросы информационной безопасности сообща, наряду со стандартизацией систем кодирования банковских операций и финансовых сообщений. В 1973 году они создали общество SWIFT, члены которого перешли на международные стандарты использования ЭВМ и средств телекоммуникаций в банковском деле, обеспечив тем самым надежную, стандартизированную, шифрованную передачу информации. Организация программных средств банков общества SWIFT контролируют процедуры подключения терминалов к сети, обеспечивают регистрацию и шифрование сообщений, контролируют достоверность сообщений и источник информации. Западные банки защищают свои главные ЭВМ, их сети специальными устройствами. Они выполняют, как правило, роль сетевых контролеров, управляют модемами, проверяют номера телефонов абонентов, подключающихся к сети, регистрируют успешные и безуспешные попытки соединиться с центральной ЭВМ. Все эти меры, в совокупности, во-первых, ускоряют оборот информации и, во-вторых, надежно защищают его от несанкционированного проникновения.

По мнению специали­стов, службам обеспечения защиты информации осо­бое внимание сегодня следует уделять тем видам компьютерных манипуляций в банковской сфере, ко­торые трудно обнаружить, используя традиционные методы.

К этим видам пресечения компьютерных преступ­лений следует отнести:

борьбу с мошенничеством в области электронного перевода вкладов;

выявление махинаций с предоставлением займов;

меры безопасности по обеспечению сохранности вкладов.

По данным экспертов по вопросам безопасности банковских операций, в зависимости от видов банков­ских счетов и способов передачи указаний о переводах вкладов, можно выделить, по крайней мере, 18 раз­новидностей противозаконных операций.

Методы первичной обработки данных.

Коман­ды пользователя на перевод вклада банк может полу­чать по телефону, телексу, в записи на дискете, компакт-диске или другом носителе. Поэтому в случае обнаружения факта мо­шенничества лицо, производящее расследование, должно в первую очередь и незамедлительно выяс­нить, от кого поступила команда.

Анализируются все ранее поступившие команды от владельца банковского счета, их формат и язык. Особое внимание следует обращать на отсутствие или частичное изменение в файлах данных пользо­вателя при сравнении с аналогичными записями в мас­сиве данных банка. Проводится сверка ключевых слов и кода.

Кроме того, подвергается проверке и личность са­мого вкладчика. В случае сомнений, возникающих в подлинности его команд, необходимо выяснить, по­чему для мошенничества был выбран именно этот счет, какое лицо имело информацию о его существова­нии, денежных суммах, находящихся на нем, и т. д.

Важно также установить способ передачи ложных команд и введения в заблуждение средств идентифи­кации пользователя. При расследовании должны по­лучить объяснение все факты задержек выплат по чекам клиента. Необходимо также проверить аппара­туру, по которой его указания поступают в банки и передается обратная информация, а также носители, с которых команда поступает к оператору, и все по­метки на них.

Аналитические методы выявления мошенниче­ства с использованием электронных средств связи.

После первоначальной обработки оператор вводит в компьютер команду клиента для учета и подготовки даль­нейших команд банку-получателю. На этой стадии важно внимательно изучать способ подготовки данных и ввода их в компьютер, обращая особое внимание при этом на возможность замены оригинала фальшивкой.

Большинство систем содержит комплекс про­граммных и аппаратных средств, позволяющих иден­тифицировать пользователя. При расследовании изу­чаются и фиксируются также все изменения, отклоне­ния, пометки к имеющимся на носителях и введенным в ЭВМ ключевым словам и другим ча­стям программы.

Аналогичные мероприятия проводятся и при про­верке линий связи, по которым команда передается из банка-отправителя в банк-получатель.

Обычно последний подтверждает получение посла­ния по проводной или компьютерной линии связи. Поступившее подтверждение также должно быть тща­тельно изучено уполномоченным сотрудником банка, службой безопасности. На заметку бе­рутся малейшие отклонения в процедуре передачи дан­ных, незначительные изменения в языке, способе передачи команд и их записи.

На заключительном этапе перемещенные средства проходят через ряд операций, прежде чем будут выда­ны наличными. Здесь, по возможности, необходимо проверить личность получателя, в случае подозрения задержать выдачу вклада и принять меры к задержа­нию мошенника.

Методики выявления махинаций со ссудами.

Невозвращение банковских ссуд возможно в результате махинаций ссудополучателей, служащих банков или других лиц. Весьма вероятны случаи обмана бан­ковского служащего, дачи ему взятки, фальсификации документов самим служащим и т. п.

При раскрытии мошенничества такого рода внима­ние сотрудников службы безопасности банка должно быть сосредоточено на поиске доказательств проти­воправных действий подобных лиц и реализации мер по возмещению ущерба, нанесенного финансовому учреждению.

При этом сотрудникам службы безопасности необ­ходимо:

выяснить, поддерживал ли «потерпевший» банк не­посредственный контакт с получателем или являлся одним из посредников;

определить пути и способы поступления в банк запроса о выдаче ссуды;

изучить всю документацию, связанную с получени­ем денег, обращая внимание на возможные изменения и искажения в ней;

получить все сведения о ссудополучателе и всех компаниях, с которыми он когда-либо сотрудничал, их директорах и рядовых работниках;

пресечь возможные попытки ссудополучателя изба­виться от полученных средств, растратить их и т. д.;

осмотреть все материалы, составленные банков­ским служащим, оформившим ссуду;

получить о нем характеризующие сведения, вклю­чая данные о его возможных отношениях со ссудопо­лучателями;

ознакомиться с поступлениями на его личный теку­щий счет, регистрационными номерами транспортных средств, принадлежащих ему и членам его семьи;

установить основные источники доходов (возмож­но, с привлечением частных сыскных агентств);

опросить указанного служащего по вопросам, свя­занным с выдачей ссуды, сравнив его ответы с дан­ными, полученными при анализе содержания телефон­ных переговоров, личного дневника, текущего счета.

Все перечисленные мероприятия должны быть на­правлены на то, чтобы обеспечить возмещение утра­ченные средств пострадавшим лицам или финансовым учреждениям.

Меры безопасности по обеспечению сохранно­сти вкладов.

Так, для снятия с текущего счета вкладчика или перевода в другой банк определенной денежной суммы преступники применяют такой прием, как инсцениро­вание ошибки или сбоев в ходе выполнения программы. Сигнал о подобных ошибках обычно поступает от самого вкладчика.

В таких случаях также проводятся тщательное изучение всей документации, сравнение массивов данных, хранящихся в банке. Следует отметить то, что если совершено хищение в небольших размерах, вероят­ность его раскрытия мала. В подобных случаях, как правило, приходится ждать повторения подобных случаев, в результате анализа которых может быть установлен преступник.

1.3. Защита платежных документов

В целях повышения эффективности контроля за прохождением рас­четных документов, обеспечения их сохранности и исключения несанкцио­нированного доступа к банковской информации при экспедировании между подразделениями расчетной сети и другими учреждениями Банка России на территории Российской Федерации введено Положение № 15-П от 13.01.98 «О порядке экспедирования, оформления и регистрации расчет­ных документов подразделениями расчетной сети ЦБ РФ, расположенными на территории Российской Федерации».

Кредитные организации (филиалы), бюджетные и другие организации представляют (получают) расчетные документы на бумажном носителе учетно-операционным работникам РКЦ ЦБ РФ через собственных курьеров или представителей специализированных служб доставки расчетных документов (Федерального управления Фельдъегерской связи, территориального подраз­деления Главного центра Специальной связи или Российского объединения инкассации) на основании доверенностей и документов, подтверждающих личность доверенного лица.

ГРКЦ и РКЦ все исходящие расчетные документы на бумажных носи­телях сортируют и вкладывают в отдельные конверты (пакеты) для отправки в ГРКЦ, РКЦ-получателям, кредитным и бюджетным организациям.

В конверты с расчетными документами вкладываются описи отправ­ляемых документов (описи вложений в конверт), в которых указываются но­мер конверта, наименование получателя и отправителя и БИК (БИК - бан­ковский идентификационный код), дата составления описи и отправки рас­четных документов, номер, дата и сумма самого документа, фамилия и ини­циалы ответственного за отправку конверта. Опись вложений в конверт со­ставляется в двух экземплярах. Первый экземпляр вместе с расчетными до­кументами вкладываются в конверт. Второй экземпляр остается в ГРКЦ, РКЦ-отправителя, где хранятся в подразделении, осуществляющем экспеди­рование расчетных документов, и передается в архив в установленном по­рядке.

Затем конверты запечатываются клеем и на всех местах склейки про­ставляется оттиск штампа ГРКЦ, РКЦ-отправителя, содержащий наименова­ние и БИК.

На всех этапах экспедирования сотрудники экспедиций участников расчетной сети проверяют целостность упаковки и правильность адресования пакетов в присутствии представителя службы доставки расчетных докумен­тов или курьеров.

В целях предотвращения проникновения в документооборот фиктив­ных и подложных расчетных документов, доступ посторонних лиц в поме­щение, в котором работники экспедиции осуществляют прием, выдачу и ре­гистрацию входящих и исходящих расчетных документов должен быть огра­ничен. При этом помещение должно быть изолировано и оборудовано кодо­выми замками.

Не допускается прием подразделениями Банка России от кредитных организаций (филиалов) в адрес других кредитных организаций (филиалов) документов, не связанных с расчетными операциями, осуществляемыми рас­четной сетью Банка России.

1.4. Внутренняя безопасность. Личная безопасность сотрудников

Обеспечение внутренней безопасности банка включает широкий круг вопросов. Сюда входит и правильное проектирование и строительство банковских помещений и оптимальное размещение различных банковских служб и обеспечение личной безопасности сотрудников и клиентов банка, сюда же входит и изучение оперативной обстановки вокруг банка, кроме того служба безопасности банка должна оперативно реагировать на все случаи возникновения угроз сотрудникам банка и членам их семей.

Современная концепция проектирования и строительства банковских помещений с точки зрения обеспечения безопасности включает:

установку современных средств защиты от проник­новения грабителей;

создание просторных холлов, удобных для раз­мещения клиентов и выполнения мелких денежных операций (переводы, перечисления и т. п.);

выделение специально защищенных кабин для проведения операций с крупными наличными сред­ствами;

разделение банковских операций, проводимых в интересах организаций и частных лиц;

создание отделенных от общего холла зон для бесед с клиентами, имеющих конфиденциальный характер;

использование современной мебели и оборудова­ния, которые создавали бы уютную обстановку для клиентов и в случае необходимости могли бы легко переоборудоваться;

выделение и строительство специальных помеще­ний для самообслуживания.

Безопасность банковских служа­щих, работающих в этих помещениях, обеспе­чивается с помощью современной техники. Каждый из сотрудников имеет радиотрансмиттер, работаю­щий на определенной частоте и включающийся в слу­чае угрозы.

Зона клиентского зала просматривается с помощью телевизионных камер, сигналы с которых регулярно передаются на контрольное табло службы безопасно­сти банка и позволяют сотрудникам постоянно наблюдать за обста­новкой в основном зале.

Зоны, в которых содержатся наличные деньги, в це­лях безопасности располагаются как можно дальше от входа в банк. Вход в эти зоны хорошо просматривает­ся из общего холла.

В банках, строящихся в соответствии с новой кон­цепцией, уже не используют традиционных хранилищ наличных денег, выполненных из бетона. Современная промышленность изготавливает самые разнообразные готовые конструкции и модули для хранения налич­ности и ценных бумаг. Модули различны по размерам и конфигурации, легко монтируются и демонтируются в соответствии с потребностями банка.

Вдоль периметра банка новой конструкции устана­вливается сигнальная аппаратура. Вводится более сложная система доступа для лиц, обслуживающих технические средства охраны.

Охрана денег осуществ­ляется автоматически. В залах самообслуживания монтируются фото- или телекамеры для фотографи­рования и видеозаписи входящих лиц или для конт­роля за обстановкой в зале во время выполнения операций с наличностью.

Большое внимание при организации охраны банков уделяется работе, свя­занной с вопросами оценки безопасности прилегаю­щих территорий, зон, объектов. Служба безопасности банка должна иметь четкие представления по следующим вопросам:

Кто проживает по соседству с банком? Имеются ли в этой части города другие охраня­емые коммерческие учреждения? Могут ли грабители незаметно покинуть банк в дневное и ночное время (например, влившись в боль­шой поток транспорта или пешеходов)? Останавливают ли сотрудники патрульно-постовой службы подозрительных лиц, появляющихся в зо­не банка в ночное время? Как далеко расположен пост милиции и ско­лько времени потребуется его сотрудникам, чтобы прибыть в банк в случае получения сигнала тревоги или телефонного звонка, содержащего определенные условности или срочные просьбы?

Необходимо улучше­нное уличное освещение в районах и зонах расположе­ния банков. Здравый смысл подсказывает, что чем большее число клиентов бан­ков будут достаточно уверены в себе, выходя на ули­цы, тем меньшими станут возможности у грабителей и воров скрыться. Кроме того, в районах расположе­ния банковских учреждений следует устанавливать со­временное оборудование систем замкнутого телевиде­ния и шире вовлекать население в работу по предотв­ращению преступлений.

С учетом ответов на вышеперечисленные и некоторые другие вопросы рекомендуется составить план обеспече­ния безопасности банка. В дневное время планом защиты следует преду­сматривать включение сигнала тревоги в следующих случаях: нападение грабителей; исчезновение налич­ных денежных средств; нападение на сотрудника бан­ка; при пожаре; в ночное — при проникновении в банк посторонних лиц, в случае пожара или повреждения системы водоснабжения и некоторых других обсто­ятельствах.

В дежурной части банка должна быть подготовлена и заранее передана службе безопасности минимальная фиксированная информация, которая может быть ис­пользована при включении сигнала тревоги (адрес бан­ка, номера телефонов). Эта информация выдается на контрольный пункт автоматически вместе с получени­ем сигнала тревоги.

Одним из элементов обеспече­ния защиты банков является создание особой програм­мы действий на случай похищения управляющего бан­ком, служащих, членов их семей.

Служба безопасности должна, пре­жде всего, определить, кто из работников банка может быть объектом подобных действий преступников. На каждого служащего, который входит в группу риска, службой безопасности должна заводиться учетная кар­точка, в которой отражаются необходимые данные, в том числе медицинского характера, сведения о за­нятиях спортом, других увлечениях с указанием ад­ресов клубов, друзей, школ, где учатся дети, при­ложением фотографий, образца почерка, описания вне­шнего вида и т. д.

Каждое из этих лиц должно знать, что похищению предшествует слежка, поэтому ответственным сотруд­никам банка рекомендуется сообщать в службу безопа­сности обо всех неожиданных происшествиях с ними (предложение подбросить на машине и т. п.), обращать внимание на все, что является необычным.

2. Службы банка россии, обеспечивающие безопасность банковской деятельности

Состав, организационная структура и меры безопасности служб обеспечивающих безопасность Банка России регламентируются Инструкцией Банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях Банка России" и предназначены для ознакомления узкому кругу лиц служащих Банка России и банковских учреждений.

3. Виды электронных банковских технологий

3.1. Отечественные автоматизированные системы банковских технологий

Автоматизация банковских систем переживает этап несколько противоречивого, но достаточно активного развития Он может быть охарактеризован как состояние, когда в организации банков­ских технологий одновременно могут уживаться и примитивные программные продукты, позволяющие решать только вопросы, свя­занные с созданием нескольких выходных форм для отчетности, и достаточно интеллектуальноемкие комплексы, решающие задачи управления банком. В первом случае это традиционные СУБД, вос­принимаемые на рынке программных технологий, как нечто само собой разумеющееся, во втором — адаптируемые западные комплек­сы, приносящие в российскую действительность достижения запад­ной банковской мысли

Активно процессы автоматизации банковских технологий стали проявляться в конце 80-х начале 90-х годов. Естественным обра­зом это было связано с банковской реформой 1989 г., когда сущес­твующие банки получили большую самостоятельность и наряду с бывшими государственными банками на рынке банковских услуг появились новые коммерческие банки. При этом вычислительные центры, на которых осуществлялась обработка банковской инфор­мации, уже не могли предоставлять банкам весь спектр услуг, не­обходимых для уменьшения рутинной работы и для анализа и про­гнозирования финансового состояния банков.

Количество используемой техники в основном определяется размерами банка, наличием филиалов, сложившимися связями и другими факторами. В последнее время по причине роста объемов работ, набора услуг, числа филиалов, клиентов и связей проявля­ется тенденция приобретения банками более мощных компьюте­ров и более развитого программного обеспечения. Если техничес­кое обеспечение, как правило, целиком зарубежное, то в програм­мном доля зарубежных систем значительно меньше. На рынке программных средств действует несколько десятков поставщиков и оптимальный выбор продукта в таком изобилии представляет со­бой весьма сложную задачу. Кроме того, следует отметить высо­кую активность банков в разработке собственного программного обеспечения. Доля приобретаемых систем примерно равна доле собственных. Это, прежде всего, касается инструментальных средств, что говорит об активности банков, готовых разрабатывать собственное программное обеспечение.

Набирает силу распространение сетевых банковских технологий. Ввиду того, что подавляющее большинство банков в России — ма­лые, примерно 80% из них имеют локальную вычислительную сеть (ЛВС). Сетевой парк становится все более разнообразным. Около 90% рынка России принадлежит сетевой операционной системе "NetWare" фирмы "NOVELL".

Следует отметить и ускоренное развитие средств межбанковс­кой телекоммуникации. Большое распространение получило ми­ровое сообщество SWIFT. Число банков, являющихся членами SWIFT, достигло 200 и в ближайшее время может существенно вырасти. Распространяются различные телекоммуникационные системы типа системы "Клиент-банк". Для повышения производи­тельности банковских, финансовых и других структур увеличились поставки операционных "UNIX-систем", имеющих более широкие возможности по сравнению с MS DOS.

Дополнительное воздействие на сетевое оснащение банков ока­зывает использование пластиковых карточек. Растет число банков, заявивших о начале эмиссии собственных "электронных денег".

Надежность автоматизированных банковских технологий тре­бует мер по безопасности и защите информации.

К наиболее значимым по числу внедрений фирмам разработчи­кам систем автоматизации банковской деятельности следует отнести такие как "Инверсия", "Diasoft", "Rstyle", "Програмбанк", "Асофт" и др. Все эти фирмы (кроме "Rstyle") являются членами секции бан­ковского программного обеспечения, действующей в рамках Ассоци­ации разработчиков программного обеспечения в области экономики. Ассоциация является независимой организацией, имеющей целью защиту интересов разработчиков и своих клиентов

Интересен подход к автоматизации банковских технологий, ре­ализованный в программных продуктах "АСУ комбанк", разрабо­танных совместно фирмой "Инверсия" и техническим центром "Кредобанка". Здесь разработчики пошли по оригинальному пути, их технические решения впоследствии широко использовались другими фирмами Технология "АСУ комбанк" предусматривает получение выходных форм за любой промежуток времени, а также различные формы фильтрации и индексации, позволяющие выво­дить строго определенную, но глубоко варьируемую информацию. Фирмой предложена ориентированная на работу главного бухгал­тера связь синтетического и аналитического учета, обеспечиваю­щая контроль соответствия показателей (сетевая ЛВС "Novell Net­Ware" версия программных продуктов, широко распространенная реализация валютного операционного дня и промышленно исполь­зуемая система "Клиент-банк"). В "АСУ комбанк" реализуется сис­тема контроля ведения банковских договоров, которая позволяет не только вычислять проценты по кредитным, депозитным и т.п. договорам, но и оценивать по достаточно просто закладываемым работниками банка методикам ход кредитной работы, выявлять узкие места, ожидаемое состояние банка на любую будущую дату и выполнять большой объем других аналитических услуг, как в цифровом, гак и аналитическом виде. Концепция, основанная на построении фундамента в виде ОДБ в национальной валюте и в мультивалютном режиме с достаточно широкой "периферией" в виде программ "Ведение банковских договоров", "Платежные по­ручения", "Касса", "Ведение неторговых операций", "Ведение пере­водных операций" и т.п., позволила фирме "Инверсия" широко распространить разработанную технологию, установить свой про­граммный продукт (в разной конфигурации) в более чем пятистах банках разных регионов страны. Программный комплекс ОДБ пос­тоянно развивается как за счет "периферии", так и за счет созда­ния принципиально новых программных комплексов, автоматизи­рующих аналитические и другие банковские функции.

Технологии и программные комплексы фирм "Асофт" и "Diasoft" имеют несколько меньшее число внедрений. В частности, фирма "Асофт" внедрила свои разработки примерно в ста банках, а "Diasoft" — в двухстах. На рынке банковских технологий фирма "Асофт" несколько уступает своим конкурентам, в то время как добротный, хорошо отработанный продукт фирмы "Diasoft" пользуется вполне заслуженным спросом. Получили широкое распрос­транение традиционный ОДБ, совмещающий рублевые и валют­ные операции, технология контроля расчета процентов по банков­ским договорам и многие другие. Охарактеризуем важнейшие сто­роны информационной технологии фирмы "Diasott".

Система автоматизации банковской деятельности "Diasott" ори­ентирована на применение в крупных и средних коммерческих бан­ках, характерными особенностями которых являются: развитая сеть филиалов и отделений банка; предоставление широкого спек­тра банковских услуг клиентам, как в банке, так и вне его; поддер­жка операций на внешнем рынке; расширение видов деятельности (операции на фондовом рынке, залоговые и трастовые операции, хранение и учет ценностей); осуществление электронного обмена данными, подключение к глобальным информационным сетям.

АО "Diasoft" предлагает решение банковских проблем в виде трех систем, непосредственная автоматизация деятельности банков "Diasoft Bank", автоматизация операций по частным вкладам "Di­asoft Card" и банковский депозитарный комплекс "Diasoft Depo".

В основу функционирования системы автоматизации банковс­кой деятельности ("Diasoft Bank") положен принцип раздельного ведения операций в различных валютах Система имеет ряд направ­лений, связанных с ведением счетов, обработкой платежного доку­ментооборота, формированием бухгалтерской отчетности, ведени­ем договоров и анализом деятельности банка, управлением систе­мой автоматизации.

"Diasoft" специализируется в области создания новых техноло­гий прикладных банковских систем. Новые технологии базируют­ся на архитектуре "клиент-сервер", на использовании объектно-ориентированного подхода при создании прикладных систем и других современных достижений в области компьютеризации бан­ковского дела

Например, по частным вкладам ("Diasoft Card") ведутся соот­ветствующие счета, обрабатываются документы по вкладам, начис­ляются проценты, поддерживается связь с ОДБ.

Банковский депозитарный комплекс ("Diasoft Depo") предна­значен для использования в банках, инвестиционных и финансо­вых институтах. Комплекс может применяться для организации собственной сети депозитариев, иметь связь с другими сетями де­позитариев. При совместной работе с системой автоматизации ком­мерческого банка могут автоматически формироваться и переда­ваться проводки денежных средств, сопровождающие операции на рынке ценных бумаг. К таким операциям могут быть отнесены учет эмитентов и ценных бумаг, расчет н выплата дивидендов, пла­та за обслуживание хранения ценных бумаг, расчет налогов на операции с ценными бумагами, контроль остатков на лицевых сче­тах участников сделки.

Фирма "Програмбанк" предлагает свою концепцию автомати­зации банковской деятельности. Следует отметить высокий уро­вень программирования и широту охвата автоматизации банков­ских услуг. В рамках ОДБ заложена возможность получать вы­ходные формы практически за любой календарный период. Наряду с жестко определенными отчетными сроками наличие программ "Касса", "Платежные поручения", "Учет основных средств и малоценного имущества банка" позволяет комплексно автоматизировать деятельность бухгалтерии. Этой фирмой раз­работаны и другие программные продукты, например, програм­мы по автоматизации ведения операций с иностранной валютой. Программные продукты этой фирмы рассчитаны на мелкие и средние банки, что в первую очередь связано с отсутствием воз­можностей его работы в операционной среде "Novell NetWare". Несколько архаичная система обмена информацией между компь­ютерами затрудняет работу в банке при его росте и увеличении числа пользовательских мест. Однако наличие достаточно силь­ной группы сопровождения и внедрения позволило "Програмбанку" добиться внедрения своего продукта более чем в двухстах пятидесяти банках страны.

Банковский комплекс фирмы "Програмбанк" включает програм­мы (подсистемы), обеспечивающие широкий спектр услуг.

Так, автоматизация технологий внутрибанковских операций в рублях реализуется в рамках подсистем: операционный день, ар­хивация операционного дня, начисление всех видов процентов, кредитно-депозитная работа, расчет экономических нормативов и свод балансов по филиалам, генерация консолидированных балансов, обработка платежных и кассовых документов. Автоматизированы также расчет заработной платы, учет основных средств и малоцен­ного имущества банка, которые имеют связь с ОДБ.

Подсистема "Клиент-банк" служит для пересылки документов между банками и клиентами, ее использование сокращает время прохождения документов и улучшает контроль за их состоянием.

Подсистема учета операций с ценными бумагами автоматизи­рует депозитарный и бухгалтерский учет ценных бумаг, все основные функции фондового отдела банка. Система работает с разно­образными ценными бумагами.

Подсистема внутрибанковских операций в иностранной валюте включает операционный день с архивацией, автоматизацию рабо­ты валютного обменного пункта. Для выполнения в автоматичес­ком режиме валютных кассовых операций и обработки валютных кассовых документов предназначена валютная касса, которая фор­мируется в виде информационного массива и связана с валютным операционным днем. Предусмотрена возможность работы с инди­видуальными валютными вкладами, начисления валютных процен­тов, обработки валютных платежных документов.

Подсистема автоматизации расчетов с использованием специ­альных карточек "Карт-банк" рассчитана на многофилиальный банк (или объединение банков), обслуживающий торговую сеть и операции по вкладам физических и юридических лиц. Система имеет программно-аппаратные модули: фронт-офис, бэк-офис, мо­дули магазина. Фронт-офис ориентирован на работу с клиентами банка. Модуль фронт-офис используется при открытии и закры­тии счетов, обслуживании клиентов, формировании отчетности для клиентов и бухгалтерии. Бэк-офис поддерживает работу бухгалте­рии и взаимодействие со всей банковской системой. В модуле бэк-офис имеются списки участников платежей и их счетов для отра­жения операций. К функциям модуля магазина относится автома­тизация обработки данных пластиковых карточек и проверки платежеспособности клиентов. В частности, осуществляются опе­рации ввода, оплаты и печать чека, составление отчетов о прода­жах и выручке. Обмен данными между банком и магазином обес­печивается специальными программными модулями. В них обра­батываются платежные поручения валютных операций, перевод средств за границу и др.

Подсистема электронных межбанковских расчетов обслуживает банки, уменьшая время выполнения операций и контролируя их прохождение. В нее входят банки-пользователи и обслуживающий их центр. Каждый банк имеет в центре, как правило, несколько корреспондентских счетов. Центр, в свою очередь, имеет свои сче­та в РКЦ ЦБ и в других центрах и банках России и других стран СНГ. Все межбанковские расчеты сводятся к модификации кор­респондентских счетов и выполнению безбумажного документо­оборота. Технология позволяет вести обслуживание банков, не яв­ляющихся пользователями подсистемы. В этом случае применяет­ся схема взаимных расчетов. Возможна автоматизация как клиринговых операций, так и работа с коррсчетами банков. Кроме безопасности и конфиденциальности расчетов предусмотрено вза­имодействие с внутрибанковскими расчетами операционного дня.

Одним из основных направлений деятельности фирмы "Rstyle" является комплексная автоматизация деятельности банков, полу­чившая название — система "RS-Bank". Система "RS-Bank" непре­рывно развивается, она опирается на базовую подсистему ОДБ, в которой выполняются все необходимые операции. В частности, организована работа с валютой, формируются балансы по каждой валюте и сводный рублевый баланс. Для эффективного использо­вания кредитных ресурсов автоматизированы работы по кредит­ным договорам, ссудным и расчетным счетам клиентов, произво­дится обслуживание физических лиц. В подсистеме "Учет акций банка" ведется реестр акционеров, расчет дивидендов, учитывают­ся платежи по акциям и налогам. Подсистема электронных расче­тов работает с межбанковскими документами, возможна автомати­ческая квитовка документов. Система "RS-Bank" подготавливает файлы балансов и отчетностей по любому количеству филиалов и выдает сводный баланс. Организована система в виде набора авто­матизированных рабочих мест, каждое из которых может включать одну или несколько ПЭВМ с общедоступной базой данных.

Разработки фирмы "Асофт" для коммерческих банков дают воз­можность автоматизировать ведение операционно-учетных работ и бухгалтерского учета, межбанковских расчетов, кассовых операций; решение кредитных задач, информационное обеспечение руковод­ства банка. Кроме того, с их помощью реализуются телекоммуни­кационная связь клиент—банк с использованием электронной поч­ты и электронной подписи, система безналичных расчетов банков­скими пластиковыми карточками, ведение компьютерной технологии обработки вкладов населения, работа обменных пунк­тов и др.

В основу рассмотрения технологии решения функциональных задач банковских систем в данном учебном пособии положены ма­териалы ряда фирм, занимающихся в настоящее время созданием и реализацией на рынке программных продуктов, и, прежде всего разработки научно-производственной фирмы "Инверсия". Эта фирма, основанная в 1990 г., накопила достаточный опыт в созда­нии и внедрении новых информационных технологий .банковской деятельности. Причем фирма ведет работу в тесном сотрудничест­ве со специалистами управления автоматизации обработки банков­ской информации "Кредобанка", который является основным полигоном апробации новых проектных решений и программных продуктов. Разработки фирмы "Инверсия" открыты для расшире­ний, действуют в сети "Novell NetWare" в режиме файл-сервер; программное обеспечение базируется на средствах Clipper и языка С: коммуникационная часть подсистемы "Клиент-банк" ориен­тирована на ОС UNIX. В процессе эксплуатации число одновре­менно работающих, может достигать 80 человек, а число обрабаты­ваемых за день документов - 5000. В функциональном плане система предусматривает получение баланса в любой момент вре­мени, возможность работы в нескольких одновременно открытых операционных днях, наличие в качестве основной единицы систе­мы документа; для нее характерна высокая степень интегрирован­ности всех информационных, технических и технологических эле­ментов.

3.2. Зарубежные системы автоматизации банковской деятельности

Первые автоматизированные банковские системы появились за рубежом в 50-х годах. Первоначально это были автономные систе­мы, обеспечивающие подсчеты балансов и подготовку отчетной до­кументации.

В 60-х годах ЭВМ применялись преимущественно для реше­ния задач моделирования, оптимизации и планирования, а также для создания автоматизированных архивов. Дальнейшее развитие электронной вычислительной техники и, в частности, появление возможностей телеобработки, привело к формированию в сфере банковской деятельности системы коллективного пользования, в которой доступ к вычислительным ресурсам наряду с аналитиками получали служащие банков, выполняющие работы рутинного характера или занятые непосредственно обслуживанием клиентов. К концу 70-х годов главной целью банков стало увеличение объ­емов банковских услуг, поэтому типичная банковская система представляла собой мощную обрабатывающую ЭВМ, к которой через относительно медленные каналы связи подключались регио­нальные концентраторы и групповые терминальные контролеры, обеспечивавшие распределение информации на местах. На рынке банковских систем доминировали такие фирмы как IBM, "Univac", в то же время появились первые системы телеобработки дан­ных, позволившие связать центральные конторы банков с удален­ными филиалами, создавая тем самым системы электронных меж­банковских расчетов (SWIFT и др.).

Для сложившейся в то время системы централизованной обра­ботки характерны высокая стоимость средств телекоммуникации, значительные накладные расходы, связанные с управлением связью и организацией вычислительных процессов, а также слож­ность настройки системного и разработки и отладки прикладного программного обеспечения.

В начале 80-х годов появились высокопроизводительные мини-ЭВМ, их использование позволило улучшить качество банковс­ких услуг за счет автоматизации обработки информации на рабо­чих местах, т.е. в учреждениях, где непосредственно выполнялись банковские операции и велось обслуживание клиентов. Именно в это время многие банки, имеющие разветвленные структуры, об­ратили внимание на ЭВМ фирмы DЕС (США), для которых было создано сетевое программное обеспечение, позволяющее поддер­живать связи практически с любыми, имеющимися на рынке ЭВМ. На базе вычислительных машин этой фирмы стали создавать не­большие системы автоматизации банковских офисов, которые мог­ли интегрироваться в более крупные, а сама фирма стала одной из лидирующих компаний на рынке банковских и деловых систем.

Ускоренное развитие финансового сектора рынка, характерное для 90-х годов, потребовало от банков дальнейшего повышения эф­фективности обслуживания клиентов, гибкого экономического ма­неврирования, предотвращения снижения прибылей за счет приня­тия правильных, с точки зрения минимизации рисков, решений. Поэтому чрезвычайно актуальной стала проблема интеграции и обес­печения целостности оперативно используемой информации, что можно было достичь только при условии применения эффективных средств распределенной обработки данных и связи.

Для обеспечения деятельности финансовых организаций в но­вых условиях нужны были интегрированные системы, в которых результаты всех банковских транзакций могли бы незамедлитель­но отражаться и учитываться в операциях всех входящих в них подразделений. Только такая автоматизированная обработка бан­ковской информации могла обеспечивать руководству банков со­гласованное управление рисками, ликвидностью, активами и обя­зательствами. Однако перестройка действующих автоматизирован­ных систем обработки данных оказывалась очень дорогой, требовался новый подход к созданию систем, который был найден в сотрудничестве крупнейших банков и организаций, специализи­рующихся в области банковских технологий и способных предло­жить комплексное решение проблемы.

В результате на рынке появился новый вид программно-техни­ческой и интеллектуальной продукции, получивший название "банковская платформа". "Банковские платформы" от систем ста­рого типа отличает то, что они, с одной стороны, реализуются на базе новейших информационных технологий и технических средств, а с другой — концентрируют опыт и знания большого количества банковских специалистов (экспертов) высшей квали­фикации. Таким образом, "банковские платформы" — продукты совместной деятельности банков и компьютерных фирм, в кото­рых нельзя отдать предпочтение какой-либо одной из участвую­щих в их создании сторон. "Банковские платформы" строятся по модульному принципу и обеспечивают использование единой уни­фицированной функциональной базы для решения всех банковс­ких задач.

По данным независимого аналитического обзора "Компьютери­зация банковской деятельности", наибольших успехов в качестве партнеров банков и других финансовых организаций в разработ­ках банковских платформ достигли фирмы IBM (США), DEC (США), "Siemens" (Германия), "Oliwetti" (Италия), "Bull" (Фран­ция).

Являясь мировым лидером в производстве оборудования ши­рокой номенклатуры и производительности, фирма IBM для обес­печения оперативного и экономически эффективного функциони­рования финансово-кредитных учреждений предлагает несколько программных пакетов, построенных на модульном принципе и ориентированных на плат­форму.

Пакет программ IBIS/AS "International Banking Informational Systems" предназначен для всестороннего управления финансовы­ми и деловыми отношениями кредитно-финансового учреждения. Его использование отвечает интересам всего персонала банковс­кой системы; создает единую интегрированную базу данных, предоставляет гибкие средства обработки операций, возможность подключения новых модулей без нарушения целостности сущес­твующей системы; обеспечивает пользователей всех уровней об­ширными стандартными отчетами и справками, необходимыми им для эффективной деятельности.

Программный пакет "Midas ABC" английской фирмы "BIS Ban­king System", также рекомендуемый фирмой IBM, обеспечивает комплексное решение традиционных задач банковской деятельнос­ти и основывается на использовании передовых архитектурных ре­шений, содействующих дальнейшему развитию аппаратной и про­граммной частей. Его применение расширяет возможности защи­ты данных от несанкционированного доступа в операционной системе; восстановления информации; удовлетворения сетевых и коммуникационных потребностей (представляются возможности взаимодействия фактически с любыми другими системами).

Полный пакет "Midas ABC" обеспечивает полную автоматиза­цию деятельности банка. Он построен на модульном принципе и включает 40 стандартных подсистем, каждая из которых служит для решения конкретной банковской задачи. В частности, предос­тавляется возможность коммуникации с внешними сетями ("Te­lex SWIFT") и взаимодействие с другими финансовыми пакетами фирмы "BIS Banking System"; поддержки и проведения рознич­ных и оптовых торговых операций; решения кредитных и бухгал­терских задач; ведения единой информационной базы; формиро­вания баланса; управления риском и т.п.

Значительное распространение получили банковские платфор­мы фирмы DEC (США). С участием этой фирмы головным разра­ботчиком международной компании "Werter Pertners" была созда­на международная банковская система 90-х годов IBS-90 ("Inter­national Banking System for 1990). Компания "Werter Pertners" в течение двух десятилетий является одним из лидирующих постав­щиков систем для мирового финансового сообщества, активно ра­ботает в США, Германии, Великобритании, Гонконге и Сингапу­ре, Австралии, Индонезии, Кувейте и других странах. Продукция компании установлена более чем в 400 точках в 35 странах, а за­казчиками помимо прочих являются 50 финансовых организаций мира. IBM-90 полностью интегрированная, работающая в реаль­ном масштабе времени банковская система, обеспечивает в режи­ме обработки транзакций одновременные операции с множеством разных валют в множестве географически удаленных регионов, ав­томатизирует оптовые банковские услуги, казначейские операции, инвестиционную деятельность, международные банковские расче­ты и пр.

Совместно с разработчиками "Citidak of Amerika" и специали­зированной компанией ITB ("Information Technology for Banks") фирма DEC разработала банковскую платформу будущего. Она получила название FSA (Foundation Software Architecture) и пре­доставляет в распоряжение разработчиков программного обес­печения конкретных банковских систем все необходимые струк­турные элементы, оформленные в виде проверенных и оптими­зированных с точки зрения производительности модулей Разработанные на базе FSA системы в настоящее время установ­лены в 10 крупнейших мировых финансовых центрах, включая Лондон, Нью-Йорк, Гонконг.

Для универсального банка фирмой DEC ("Sancher Computer Associates") создана еще одна банковская платформа, которая по­лучила название "Profile". Она допускает генерацию и настройку трех типов систем под конкретные требования заказчиков:

собственно интегрированной банковской системы ("Profile/ IBM"), автоматизирующей все виды розничных услуг, т.е. реали­зует операции с вкладами, займами, управления финансами, об­служивания клиентов и интеграции информации;

интегрированной системы управления финансами ("Profile/ FMS"), решающей задачи общего характера - бухгалтерского уче­та, учета платежей, подведения балансов, подготовки финансовых отчетов;

системы автоматизации деятельности банка на вторичных рын­ках ("Profile/M"), обеспечивающей выполнение вкладных опера­ций на заемных средствах и отслеживающей прохождение и под­готовку всех документов и отчетов, имеющих отношение к исполь­зованию займов.

В настоящее время реализованные на основе "Profile" системы работают в США, Канаде, Ирландии, Норвегии, Венгрии. Значи­тельная часть разработок находится в названных и других странах в стадии внедрения. Общее количество финансовых организаций, использующих "Profile" — более двухсот.

Фирма "Siemens" (Германия), являясь крупнейшим произво­дителем в Европе вычислительной техники и поставщиком средств новых информационных технологий, решает в частности и про­блему оптимизации организационной внутренней структуры фи­нансово-кредитных учреждений и повышения сервисных возмож­ностей при работе с клиентами. При этом фирма "Siemens" пред­лагает многопользовательскую операционную систему "Sinix" (это UNIX производства "Siemens"), обеспечивающую распределенную обработку данных и реализующую эффективную и экономичную технологию объединения рабочих мест (компьютеров) в единую локальную сеть.

Для обеспечения работы финансовых учреждений фирма пред­лагает диалоговую систему KORDOBA. Это специальное банков­ское программное обеспечение реализует все банковские операции во всех отделениях с одного рабочего места. Система представля­ет собой пакет программ модульной структуры, включающий на­логовую, информационную и организационную части. Система со­держит все стандартные функции основных отделов универсаль­ных кредитных учреждений и реализует денежные и валютные операции, кредит в рассрочку, печать выписок и счетов, компен­сации процентов, работу с ценными бумагами, операции с инос­транными банками и ряд других функций. Системы, поставляе­мые фирмой "Siemens" гибки и могут быть настроены на потреб­ности конкретного банковского учреждения. Особое внимание в реализуемых пакетом функциях уделено достоверности информа­ции и надежности принимаемых решений. Достоверность инфор­мации обеспечивается проведением формального и содержатель­ного контроля вводимой информации, а надежность принимаемых решений повышается за счет современной обработки данных о клиентах и счетах дня.

Фирма "Olivetti Systems Networks (OS N)", включающая в себя около 220 компаний из 30 стран мира и находящаяся в составе "Olivetti Group", имеет большой опыт автоматизации различных сфер бизнеса и, в частности, предлагает свою "банковскую плат­форму" (Platform for banking-PB) для автоматизированного банка ("Automatic banking"). Это комплексное решение, отвечающее тен­денции построения открытых систем, обеспечивает создание гиб­кой и способной к расширению системы банковских учреждений, реализацию полного набора банковских функций в среде распре­деленных услуг и приложений в условиях локальной сети и возможность выхода в глобальную сеть. Банковская платформа "Olivetti" включает ряд составляющих, которые реализуют конкрет­ные функции в узлах автоматизированной банковской сети. В час­тности, служба управления сетью осуществляет поддержку раз­личных протоколов обмена данными; организует доступ к удаленным базам, коммуникацию с доступными линиями связи; обеспечивает устойчивую работу внутренней локальной сети и т.п.

Среда управления данными осуществляет взаимодействие сис­тем хранения, поиска, доступа и управления базой данных Oragle. Базовое окружение включает поддержку среды распределенных услуг и приложений локальной вычислительной сети ("Olinet LAN", "LAN Manager"), использование различных операционных систем (DOS, OS/2, Windows, UNIX), обеспечение общего интер­фейса пользовательских приложений.

Коммуникационное окружение организует функционирование локальной вычислительной сети в учреждении банка на основе ло­кальной системы контроля "Lokal Monitoring System" и взаимо­действие с глобальной (географически) сетью на базе (системы светового управления) фирмы "Olivetti" или на базе IBM "Net View Gateway". Делая упор на создание среды распределенных банковских услуг и приложений в условиях локальной сети, со­здатели платформы фирмы "Olivetti" предусмотрели развитый ин­терфейс пользователя, среду ручной обработки документов, на­дежную службу защиты информации, предусмотрев проверку до­ступа к комплексу и действий пользователя, защиту программного обеспечения, устройств хранения данных и коммуникационных частей комплекса путем широкого использования магнитных карт с соответствующими устройствами считывания, записи и програм­мных приложений.

Фирма "Olivetti" накопила большой опыт в создании специ­альных банковских устройств и автоматов, в том числе для систем самообслуживания клиентов банка — принтеров, устройств иден­тификации, автоматов по выдаче наличных денег, устройств рабо­ты со сберкнижками, магнитными картами, сертификатами и т.д Выпускаемые фирмой устройства выполняют разнообразные фун­кции: выдачу наличных денег, печать состояния счетов, оформле­ние вкладов и сберкнижек, электронный перевод денег и ряд дру­гих.

Объединение "Bull" (Франция) входит в десятку крупнейших мировых поставщиков информационных систем и претворяет в своей деятельности концепцию "Distributed Computing Model" ("Распределенная вычислительная модель"), представляющую новую модель распределенной и открытой архитектуры. Этот подход положен в основу проекта клиринговой системы Фран­ции SIT ("Systeme Interbancaire de Telecompencation"), разработ­ка которой началась в начале 80-х годов по инициативе банков Франции.

Главными целями создания межбанковской системы телерасче­тов SIT являются ускорение обработки межбанковских операций, обеспечение непрерывности обмена межбанковскими сообщения­ми, сокращение стоимости межбанковских сообщений. При созда­нии системы телекоммуникаций SIT была поставлена задача децентрализации системы расчетов; банки, финансовые учрежде­ния и Французский банк были соединены между собой системой SIT/MP ("Moyens de Paiement" — "Средства оплаты"). Коммуни­кационная вычислительная система SIT/MP обеспечивает быст­рые и надежные обмены между банками (взаиморасчеты освобож­дают от необходимости передачи сопутствующих материальных носителей — денежные суммы, платежные поручения и т.д.), а сис­тема SIT/B — быструю и гарантированную передачу биржевых распоряжений. На протяжении более десяти лет система постоян­но развивается и позволяет автоматизировать:

передачу банковских и биржевых операций (перевод со счета на счет, подтверждения по изъятию денежных сумм и т.п.) и рас­поряжений;

обработку предъявляемых чеков;

маршрутизацию корреспонденции;

обработку извещений по банковским и брокерским операциям;

широкое распространение рыночной информации.

В состав сети SIT входят станции приема-передачи операций, центры банковской обработки, центры биржевой обработки. Центра­ми, общими для всех членов сети, стали центр управления и расчет­ный центр (SIT/MP), а также общий центр защиты (SIT/B).

Для поддержки задач отделений и международных отделов лю­бых по размерам банков фирма "Bull" рекомендует систему ICBS. Она состоит из модулей, функционирует под управлением ОС ONIX и реализует клиринговые операции и оформление необхо­димых отчетов по ним; выполняют функции контроля и управле­ния доходами, курсами валют, ставками, ценами. Эта система ре­шает и задачи взаимодействия с центральным банком; обеспечивает проведение международных операций, используя в реальном масштабе времени широкий набор финансовой, экономической, клиентской информации, справочные показатели и таблицы; а так­же осуществляет подготовку и прием сообщений сетей SWIFT и "Telex", ведет разнообразные информационные операции и взаи­модействие с доступными другим модулям базами данных.

Исследование современного состояния и перспектив развития банковского дела в западных странах свидетельствует о наличии общих тенденций в создании электронных систем расчетов, кото­рые предусматривают создание систем электронного клиринга, ав­томатизированных систем по управлению наличностью, систем электронных платежей в организации торговли, автоматизирован­ных международных межбанковских систем и т.п.

3.3. Системы защиты информации от утечки по техническим каналам

Набор мероприятий для предотвращения нарушений многооб­разен и вытекает из природы побудительных мотивов. Он может содержать соответствующую подготовку пользователей, поддер­жание здорового рабочего климата в коллективе, подбор персо­нала, своевременное обнаружение потенциальных злоумышлен­ников и т. д.

При организации защиты автоматизированных банковских систем (АБС) желательно попытаться опреде­лить вероятность каждого конкретного вида угрозы и потенци­альный ущерб, который понесут пользователи и владельцы АБС, если угроза осуществится. Предпринимаемые меры защиты долж­ны быть адекватны вероятности осуществления и степени угрозы и обеспечивать оптимальную защиту от нее (с учетом затрат на организацию защиты).

Под системой защиты АБС обычно понимают единую совокуп­ность правовых и морально-этических норм, организационных (административных), технологических мер и программно-техни­ческих средств, направленных на противодействие угрозам АБС с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

При построении системы защиты сложилось два подхода к ре­шению проблемы безопасности АБС, которые можно условно на­звать фрагментарным и комплексным.

Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Напри­мер, специализированные средства, автономные средства шифро­вания и т. д. Главное достоинство фрагментарного подхода — его высокая избирательность относительно конкретной угрозы. Но с этим связан и недостаток — локальность действия, т.е. фрагмен­тарные методы защиты обеспечивают эффективную защиту кон­кретных объектов АБС от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффектив­ности защиты.

При комплексном подходе объединяются разнородные меры противодействия угрозам (правовые, организационные, програм­мно-технические и т. д.). В целом все меры формируют политику безопасности. При комплексном использовании мер создается за­щищенная среда обработки информации.

Комплексный подход применяют для защиты крупных АБС, нарушение безопасности в которых может нанести огромный ма­териальный ущерб, как банкам, так и их клиентам. Но комплекс­ный подход может быть использован и для небольших АБС, обра­батывающих дорогостоящую информацию или выполняющих от­ветственные задачи.

Комплексного подхода придерживаются большинство государ­ственных и крупных коммерческих предприятий и учреждений. Он находит отражение в различных стандартах. Например, он це­ленаправленно проводится в жизнь Министерством обороны США в лице Национального центра компьютерной безопасности. Недо­статками комплексного подхода являются сложность управления и ограничения на свободу действий пользователей АБС.

Построение систем защиты включает ряд этапов. Этапы пос­троения системы защиты сходны с этапами создания самих АБС, можно выделить следующие этапы:

анализ возможных угроз АБС;

разработка системы защиты;

реализация системы защиты;

сопровождение системы защиты.

На этапе анализа возможных угроз АБС, исходя из ее состоя­ния на данный момент времени, определяются возможные возму­щающие действия на каждый элемент системы защиты. Построе­ние абсолютно надежной системы защиты, видимо, невозможно. Поэтому из всего множества воздействий выбираются лишь те, которые могут реально произойти и нанести наиболее серьезный ущерб.

На этапе разработки возможно комплексное использование сле­дующих видов защиты: правовые (законодательные), морально-этические, административные, физические, технические (програм­мно-аппаратные).

К правовым мерам относятся действующие в стране законы, ука­зы, нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. Эти меры являются сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся все­возможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ЭВМ и АБС в стране и в мире или специально разрабатываются Морально-эти­ческие нормы могут быть неписаные (например, честность), либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденны­ми, но поскольку их несоблюдение приводит к падению прести­жа организации (банка), они считаются обязательными для ис­полнения Характерным примером таких предписаний является "Кодекс профессионального поведения членов Ассоциации поль­зователей ЭВМ США" Например, считаются неэтичными умыш­ленные либо неумышленные действия, которые вызывают допол­нительные неоправданные затраты ресурсов (машинного време­ни, памяти), нарушают интересы других законных пользователей и т.д.

Административные меры защиты — это меры организационно­го характера, регламентирующие процессы функционирования АБС, использования ее ресурсов, деятельность персонала и т.д. Цель этих мер — в наибольшей степени затруднить или исключить возможность реализации угроз безопасности Административно-организационных мер много. Приведем лишь некоторые:

разработка правил обработки информации в АБС;

организация защиты от установки прослушивающей аппарату­ры в помещениях вычислительного центра или расположения АРМ;

мероприятия при подборке персонала (проверка новых сотруд­ников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки);

организация надежного пропускного режима;

организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

распределение реквизитов разграничения доступа (паролей, профилей полномочий и т. д.);

организация скрытого контроля за работой пользователей и персонала АБС;

другие мероприятия.

Административные меры играют значительную роль в обеспе­чении безопасности АБС. Эти меры необходимо использовать тог­да, когда другие методы и средства защиты (например, аппаратно-программные) недоступны (отсутствуют или слишком дороги). Очевидно, что в структурах с низким уровнем правопорядка, дис­циплины и этики ставить вопрос о защите информации другими средствами просто бессмысленно. Надо, прежде всего, решить пра­вовые и организационные вопросы.

Физические меры защиты — это разного рода механические, электронные или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятст­вий на возможных путях проникновения и доступа потенциаль­ных нарушителей к компонентам защиты и защищаемой инфор­мации.

Техническими (аппаратно-программными) средствами защи­ты называются различные электронные и специальные програм­мы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты. Некоторые примеры таких функций идентификация и аутентификация (отвечающие требованиям на верность, правильность) пользователей или процессов, разграничение и контроль доступа к ресурсам, ре­гистрация и анализ событий, криптографическая защита инфор­мации (шифровка данных), резервирование ресурсов и компо­нентов АБС.

Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АБС и комплексном исполь­зовании обеспечения мер защиты на всех этапах жизненного цик­ла системы, начиная с самых ранних стадий ее проектирования. Однако, где это возможно, другие меры надо заменять более надежными современными физическими и техническими сред­ствами.

На российском рынке предлагается ряд систем и комплексов защиты информации, обрабатываемой в локальных вычислительных системах (ЛВС). Рассмотрим некоторые из них.

Система "Снег-ЛВС" предназначена для выполнения законодатель­ных и нормативных требований по защите информации от несанкционированного доступа при ее обработке в локальных вычислительных се­тях Netware фирмы Novell (США).

Основой системы защиты информации (СЗИ) ЛВС является комби­нированный комплекс средств защиты, включающий защищенную вер­сию MS DOS (систему "Снег-1") и защищенную сетевую оболочку (сис­тему "Снег-ЛВС"), устанавливаемые на все рабочие станции ЛВС. Систе­ма "Снег-1" (ВТГА.7101-01) обеспечи­вает разделение ресурсов рабочей станции (дисков, каталогов, файлов) между несколькими пользователями от полной изоляции до совместного использования. Функции надзора за безопасностью информации в ЛВС выполняются со специальной рабочей станции администратора безопас­ности информации, с которой осуществляется оперативное сопровожде­ние всей системы.

СЗИ "Снег-ЛВС" включает в себя аттестованную (сертифицированную) государственной экспертной организацией криптографическую подсисте­му, состоящую из системы криптографической защиты информации (СКЗИ) "Иней-ЛВС" для обеспечения гарантированной защиты конфи­денциальной информации при ее хранении на файл-сервере и передаче по линиям связи ЛВС и системы криптографической защиты данных (СКЗД) "Иней" для гарантированной защиты конфиденциальной информации при ее хранении на магнитных дисках ПЭВМ рабочих стан­ций ЛВС.

Безопасность ресурсов файл-сервера в системе "Снег-ЛВС" обеспечи­вается:

• механизмом ядра операционной системы (Netware OS) по разгра­ничению доступа пользователей к каталогам и файлам файл-сервера;

• средствами контроля запуска программ;

• средствами управления потоками конфиденциальной информации между "закрытыми" каталогами томов файл-сервера и дисковыми нако­пителями с учетом их грифа секретности;

• сетевой криптографической подсистемой "Иней-ЛВС";

• оперативными средствами постоянного контроля целостности (подлинности) рабочих станций ЛВС;

• средствами сигнализации о попытках нарушения безопасности на АРМ администратора ЛВС;

• средствами оперативного сопровождения СЗИ "Снег-1.0" на рабо­чих станциях ЛВС и надзора за безопасностью ЛВС со стороны АРМ ад­министратора ЛВС;

• средствами расширенной регистрации работ пользователей, прово­димых с файл-сервером, в системном журнале ЛВС.

Централизованный механизм разграничения доступа к ресурсам файл-сервера Netware OS осуществляет контроль доступа пользователей и их программ к следующим ресурсам:

• к файл-серверу (по паролю, по номеру рабочей станции, по дням недели и времени суток);

• к каталогам, подкаталогам и к содержащимся в них файлам по операциям чтения, записи, открытия, создания, удаления, поиска, моди­фикации, установке прав доступа;

• по режиму доступа к файлам: запрет (разрешение) удаления, пере­именование, копирование, только чтение, только исполнение, систем­ный, архивный, скрытый, транзакционный, обезличиваемый, единич­ный или множественный;

• к служебным программам и режимам их работы: LCONSOLE PCONSOLE, FCONSOLE, SYSCON, SESSION, MAKEUSER и др.

Каждому отдельному пользователю или группе пользователей могут устанавливаться индивидуальные (групповые) права доступа к каталогам и файлам файл-сервера.

Центральным пунктом надзора и управления безопасностью ЛВС в СЗИ "Снег-ЛВС" является специальная рабочая станция ЛВС со строго закрепленным сетевым адресом – АРМ безопасности информации, в качестве которой может быть выбрана произвольная рабочая станция. Ее полный сетевой адрес задается при установке или при изменении конфигурации СЗИ с помощью программы SETPAR.EXE.

АРМ безопасности ЛВС включает необходимые программные средст­ва для ведения всех параметров и характеристик СЗИ "Снег-ЛВС" и про­ведения оперативного контроля за целостностью СЗИ рабочих станций (резидентный модуль RADAR.EXE) и состоянием безопасности ЛВС, а также для выполнения необходимых воздействий на попытки наруше­ния. В процессе работы ЛВС на АРМ администратора выдается сигнали­зация о попытках нарушения защиты файл-сервера со стороны пользо­вателей рабочих станций. Сигнализация осуществляется в виде инфор­мационных сообщений и звуковых сигналов.

СЗИ "Снег-ЛВС" предназначена для работы в ЛВС с одним файл-сер­вером, что для КСА, объединяющих несколько ЛВС, потребует доработ­ки соответствующего ПО в случае создания одного рабочего места служ­бы безопасности информации для данных ЛВС.

DALLAS LOCK. Ассоциация защиты информации "Конфидент" пред­лагает программно-аппаратный комплекс защиты информации DALLAS LOCK. По данным журнала "Сети" №9 за 1995 г., аппаратная часть ком­плекса обеспечивает:

перенесение ПО на различные вычислительные платформы;

блокировку загрузки компьютера;

корректность выполнения специальных процедур;

аутентификацию с помощью карточек Touch Memory;

сокрытие защитных механизмов;

удобство обслуживания комплекса защиты.

Учитывая пожелания многих руководителей служб автоматизации не вмешиваться в работу файл-сервера на начальном этапе создания систе­мы защиты, было принято решение встроить систему защиты для ЛВС в рамки проекта Dallas Lock.

В соответствии со спецификациями версия Dallas Lock 3.1 должна обеспечивать полномасштабную защиту рабочей станции, а также связь со станцией мониторинга. Модификация этой версии для NetWare явля­ется защищенным рабочим местом администратора безопасности (АБ) сети, на котором отображена необходимая информация, получаемая от станций. Информация о происходящих событиях записывается в недоступные пользователям журналы файловых операций, попыток входа и запуска задач.

В журнале файловых операций учитываются операции откры­тия, чтения, записи, удаления файлов. (Напомним, что для операцион­ной системы копирование состоит именно из этих действий.).

В журнале попыток входа фиксируются 14 типов событий, свя­занных с удачными и неудачными действиями пользователя с целью ак­тивизировать рабочую станцию.

Журнал запуска задач содержит записи об использовании сис­темной функции ЕХЕС, передающей управление программам, находя­щимся в исполняемых файлах. Регистрация операций запуска в отдель­ном журнале связана с тем, что число запусков задач обычно намного превышает число других файловых операций.

Во всех трех журналах фиксируются имя субъекта доступа, дата и вре­мя события. Заполнение происходит циклически, по принципу FIFO ("первым вошел – первым вышел").

Размер журналов задается администратором в пределах от 10 Кбайт до 10 Мбайт. Для облегчения анализа регистрируемых событий можно ис­пользовать фильтры, разграничивающие записи по следующим критери­ям: имени пользователя; времени работы; типу файловой операции.

Доступ к данным журналов администратор безопасности может полу­чить либо непосредственно на контролируемой рабочей станции, либо на своем рабочем месте. Для передачи данных используются протоколы IPX/SPX и TCP/IP, что позволяет размещать защищенные станции в разных сегментах сети. Такой принцип построения дает возможность применять средства защиты не только в среде NetWare.

Со своего рабочего места АБ может получить список активных станций в сети и запросить у любой из них нужный в данный момент журнал. По­следний автоматически переписывается на диск компьютера администра­тора, а на рабочей станции – приводится в исходное состояние. Содержи­мое журналов при необходимости выводится на файл или печатается.

Иногда АБ "негласно" может просматривать содержимое экрана рабо­чей станции, используя как текстовый, так и графический экраны. Помимо режима реального времени преду­смотрено пошаговое отображение содержимого экрана станции, полу­чаемое в определенный момент по команде, В составе версии Dallas Lock 3.1 for NetWare в качестве утилиты можно использовать копировщик эк­рана (grabber), позволяющий нажатием нескольких клавиш копировать изображение экрана в графический файл.

Очевидно, что помимо традиционных методов защиты сети проект Dallas Lock должен иметь комплекс возможностей, препятствующих вмешательству злоумышленников в работу драйверов сетевых протоко­лов:

• запрет на модификацию файлов AUTOEXEC.BAT и CONFIG.SYS;

• контроль целостности маркированных файлов;

• контроль целостности передаваемых пакетов;

• ограничение запуска задач.

Последняя возможность требует дополнительных пояснений, по­скольку она не была реализована в предыдущих версиях, а появилась только в последней Dallas Lock 3.1 for NetWare: для каждого пользовате­ля создается список задач, которые он не имеет права запускать на дан­ной рабочей станции, или, наоборот, список разрешенных для запуска задач.

Рабочее место АБ сети Dallas Lock 3.1 for NetWare пока не интегриро­вано с системой управления доступом в помещения. Тем не менее, ПО по­следней можно установить на компьютере АБ как отдельное приложение.

Узкое место в защите локальной сети – парольная идентификация. Даже в самых надежных системах, построенных на "стойких" криптогра­фических алгоритмах, вход по паролю остается наименее защищенным. Для сравнения: значение криптостойкости алгоритма, описанного в ГОСТ 28147–89, равно 10⁷⁰, а число вариантов паролей, состоящих из пяти символов, – 10⁹. На практике в качестве паролей применяют, как правило, только комбинации, имеющие семантические связи (номера телефонов, имена, фамилии, должности и т. п.).

Проект Dallas Lock предусматривает регистрацию пользователя на ра­бочей станции и вход его в сеть посредством касания электронной кар­точки Touch Memory. В ее памяти записаны 64 символа сетевого имени и столько же символов сетевого пароля. Их значения генерируются дат­чиком псевдослучайных чисел и не известны пользователю. Число вари­антов серийных номеров Touch Memory – 48 триллионов. При хранении идентифицирующего кода в памяти прибора оно возрастает до 10²⁸⁰.

Естественно, хранение секретных параметров в открытой памяти и их передача по линии связи должны быть исключены. Поэтому перед тем как имя и пароль записать на карточку Touch Memory, их необходимо предварительно зашифровать по алгоритму DES. После аутентификации карточки процедура регистрации обеспечивается стандартными средства­ми NetWare.

Подход, включающий применение карточки Touch Memory, предлага­ет сложный сетевой пароль, а также повышает ответственность пользо­вателей, поскольку компрометация идентифицирующей информации в данном случае возможна только в результате умышленных действий или утери электронной карточки, т. е. копирование информации с нее, за ис­ключением карточки типа DS1991, в принципе возможно.

Комплекс Dallas Lock обеспечивает:

• возможность доступа к компьютеру и загрузки операционной сис­темы только по предъявлении личной электронной карты пользователя Touch Memory и вводе личного пароля;

• многоуровневое разграничение полномочий пользователей по от­ношению к ресурсам компьютера;

• защиту системных файлов операционной системы;

• регистрацию в системных журналах событий по входу, выходу и работе пользователей;

• автоматическую и принудительную блокировку компьютера с га­шением экрана дисплея на время отсутствия пользователя;

• установку для пользователей опции гарантированного стирания файлов при их удалении;

• возможность замены личных паролей пользователей;

• защиту собственных файлов и контроль целостности среды;

• восстановление функций защиты при частичном разрушении среды;

• сохранение состояния системных областей незащищенного компь­ютера на мастер-дискете и восстановление в случае его полной останов­ки из-за разрушения системы защиты. Администратор безопасности может:

• формировать и корректировать списки пользователей;

• контролировать журналы "входа";

• назначать списки приложений, доступных к запуску пользовате­лями;

• осуществлять контроль за файловыми операциями при помощи журналов работы и создавать для пользователей индивидуальную среду;

• оперативно просматривать системные журналы в соответствии со своими запросами при помощи специальных фильтров;

• устанавливать промежутки времени работы пользователей на ком­пьютере;

• устанавливать полномочия пользователей по доступу к ресурсам компьютера (логическим разделам "винчестера", таймеру, периферий­ным устройствам).

Кроме того, комплекс оснащен дополнительными программами-ути­литами, расширяющими возможности защиты информации:

• защитой входа в локальную вычислительную сеть;

• защитой от вирусов при помощи модуля Cerber Lock;

• возможностью создания дополнительных защищенных логических разделов, каталогов и дискет пользователей, данные в них защищаются при помощи индивидуального пароля пользователя;

• помехоустойчивым кодированием файлов для их надежного хране­ния при помощи модуля Return to Life.

Sekret Net. Ассоциация "Информзащита" предлагает систему защиты Sekret Net, предназначенную для защиты хранимой и обрабатываемой информации на персональных компьютерах в ЛВС от НСД и противо­действия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта вы­ступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, работаю­щих под управлением операционной системы Novell Netware 3.1 (файло­вые серверы), объединенных при помощи сетевого оборудования Ethernet, Arknet или Tocen-Ring. Данная система включает средства:

• идентификации и аутентификации пользователей;

• разграничения доступа к ресурсам;

• контроля целостности;

• регистрации;

• управления средствами защиты.

Система Sekret Net имеет сертификат Гостехкомиссии РФ.

В данной системе отсутствуют средства шифрования информации, которые могут быть выбраны заказчиком. Их применение возможно при согласовании с ассоциацией "Информзащита".

При выборе одной из названных систем следует учитывать, что они строились на базе существующей концепции защиты. Однако именно в случае контроля и разграничения доступа к информации упомянутые системы могут оказаться достаточно эффективными. Насколько? Покажут время и оценка прочности по предлагаемым в данной книге методикам и на конкретной ЛВС. Попутно заметим, что проводимая в настоящее время сертификация подобных систем, к сожалению, не имеет смысла, так как их невозможно применять самостоятельно, а при установке на конкретной ЛВС они приобретают в новых условиях новое качество, т. е. в любом случае потребуются их проверка и испытания на конкретном изделии Внедрение перечисленных систем в разрабатываемую ЛВС потребует их адапта­ции к структуре и технологии обработки информации, присущим только данному объекту автоматизации

3.4. Классификация, кодирование и контроль  технико-экономической информации

Автоматизированные системы обработки информации (АСОИ) или ав­томатизированные системы обработки данных (АСОД) в настоящее время получили различное воплощение. Поэтому классификация АСОД по видам может иметь структуру, пред­ставленную в приложении 1.

Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы защиты информации, но и потому, что все перечисленные виды АСОД могут входить в состав одной и той же ре­гиональной или глобальной вычислительной сети или АСУ. Очевидно, что концепция безопасности информации, теория и основные прин­ципы построения ее защиты в них должны быть едиными. Такому под­ходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах АСОД строятся на базе типовых методов и средств. Поиск подобных методов и средств в обеспечении безопасности информации также является основной задачей при про­ектировании АСОД.

Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Госу­дарственной Думой 25 января 1995 г.

В приведенном ниже перечне сведения сгруппированы по тематическо­му принципу. Предлагаемое разделение на группы носит рекомендатель­ный характер и может быть изменено в зависимости от специфики сведе­ний, составляющих коммерческую тайну конкретного предприятия (орга­низации). Сведения, включенные в данный перечень, могут быть коммер­ческой тайной только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности:

прибыль, кредиты, товарооборот;

финансовые отчеты и прогнозы;

коммерческие замыслы;

фонд заработной платы;

стоимость основных и оборотных средств;

кредитные условия платежа;

банковские счета;

плановые и отчетные калькуляции.

2. Информация о рынке:

цены, скидки, условия договоров, спецификация продукции;

объем, история, тенденции производства и прогноз для конкретного продукта;

рыночная политика и планы;

маркетинг и стратегия цен;

отношения с потребителями и репутация;

численность и размещение торговых агентов;

каналы и методы сбыта;

политика сбыта;

программа рекламы.

3. Сведения о производстве и продукции:

сведения о техническом уровне, технико-экономических характери­стиках разрабатываемых изделий;

сведения о планируемых сроках создания разрабатываемых изделий;

сведения о применяемых и перспективных технологиях, технологиче­ских процессах, приемах и оборудовании;

сведения о модификации и модернизации ранее известных техноло­гий, процессов, оборудования;

производственные мощности;

состояние основных и оборотных фондов;

организация производства;

размещение и размер производственных помещений и складов;

перспективные планы развития производства;

технические спецификации существующей и перспективной продук­ции;

схемы и чертежи отдельных узлов, готовых изделий, новых разработок;

сведения о состоянии программного и компьютерного обеспечения;

оценка качества и эффективности;

номенклатура изделий;

способ упаковки;

доставка.

4. Сведения о научных разработках:

новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;

программы НИР;

новые алгоритмы;

оригинальные программы.

5. Сведения о системе материально-технического обеспечения:

сведения о составе торговых клиентов, представителей и посредни­ков;

потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей;

транспортные и энергетические потребности.

6. Сведения о персонале предприятия:

численность персонала предприятия;

определение лиц, принимающих решение.

7. Сведения о принципах управления предприятием:

сведения о применяемых и перспективных методах управления про­изводством;

сведения о фактах ведения переговоров, предметах и целях совеща­ний и заседаний органов управления;

сведения о планах предприятия по расширению производства;

условия продажи и слияния фирм.

8. Прочие сведения:

важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам;

принципы организации защиты коммерческой тайны.

Законом Российской Федерации от 2 декабря 1990 г. "О банках и бан­ковской деятельности" введено понятие "банковской тайны".

Под банковской тайной (БТ) подразумевается обязанность кредитно­го учреждения сохранять тайну по операциям клиентов, ограждение бан­ковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.

Защита информации методом криптографического преобразования, или кодирование, заключается в преобразовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов или аппаратных решений и кодов ключей, т.е. в приведении её к неявному виду. Для озна­комления с кодированной информацией применяется обратный процесс - декодирование. Использование криптографии является одним из распростра­ненных методов, значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в устройствах памяти, и при обмене инфор­мацией между удаленными объектами.

Для кодирования обычно используется некоторый алгоритм или уст­ройство, реализующее заданный алгоритм. Управление процессом кодирова­ния осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа по­зволяет просто и надежно декодировать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алго­ритме кодирования.

Классификация криптографических методов преобразования инфор­мации, в частности, кодирования информации, приведена в приложении 2.

Основными требованиями, предъявляемыми к кодированию инфор­мации, являются:

1) применяемый метод кодирования должен быть устойчивым к по­пыткам раскрыть исходный текст, имея только зашифрованный текст;

2) объем ключа не должен затруднять его запоминание и пересылку;

3) длина закодированного текста не должна превышать длину исход­ного текста;

4) необходимые временные и стоимостные ресурсы на кодирование и декодирование информации должно определяться требуемой сте­пенью зашиты информации.

Множество современных методов защитных преобразований можно классифицировать на четыре большие группы: перестановки, замены (под­становки), аддитивные и комбинированные.

Метод перестановки и подстановки характеризуются короткой длиной ключа, а надежность их защиты определяется сложностью алгоритмов пре­образования.

Для аддитивного метода характерен простой алгоритм преобразова­ния, а их надежность основана на увеличении длины ключа.

Комбинация методов перестановки и подстановки дает в результате сложное преобразование, называемое производным шифром. Этот шифр об­ладает более сильными криптографическими возможностями, чем отдельная перестановка и подстановка. Этот метод используется в федеральном стан­дарте NBS США, называемом также стандартом DES, и отечественном ГОСТе 28147-89, введенном в действие с 1990 года.

Все перечисленные методы относятся к так называемому симметрич­ному кодированию: один и тот же ключ используется для кодирования и де­кодирования.

В последнее время появились методы асимметричного кодирования:

один ключ для кодирования (открытый), второй - для декодирования (закры­тый).

Криптография с открытым ключом наиболее эффективна при кодиро­вании передаваемых данных, а не данных, хранящихся в запоминающих уст­ройствах. Кроме того, она прекрасно подходит для замены обычной подписи электронной, так называемой электронной подписью, применяемой в систе­мах электронных платежей и при передаче сообщений с помощью устройств телесвязи.

В приложении 3 приведены сильные и слабые стороны классического крип­тографического алгоритма DES и криптографического алгоритма с открытым ключом RSA (название от первых букв фамилий авторов - Rivest, Shamir, Adelman).

В настоящее время создаются все более сложные криптосистемы, вскрытие которых становится почти невозможным.

Средства централизованного контроля и управления защитой информа­ции в ЛВС включают:

• персональное автоматизированное рабочее место службы безопас­ности информации (АРМ СБИ);

• специальное программное обеспечение (СПО);

• организационные мероприятия.

В качестве АРМ СБИ (приложение 4) в больших ЛВС лучше всего использо­вать специально выделенную ПЭВМ, введенную в состав сети и разме­щенную в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы ЛВС не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления ЛВС на ПЭВМ администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необ­ходимо разделить между СБИ и руководством фирмы, в конторах — между СБИ и владельцем ЛВС. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух ПЭВМ: администра­тора и руководителя.

Нормальный режим работы ЛВС — когда функции управления вы­полняет администратор, а руководитель контролирует его действия и, при необходимости, может в этот процесс вмешаться. Все изменения, вносимые администратором (руководителем) в систему, должны авто­матически регулироваться и сообщаться на ПЭВМ руководителя (адми­нистратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администра­тор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий пе­риод времени, функций обнаружения и блокировки НСД, а также кон­троля функционирования средств защиты.

Специальное программное обеспечение СЦКУ безопасности инфор­мации включает следующие программы:

• ввода списков идентификаторов пользователей сети;

• генерации и ввода кодов ключей-паролей (КП);

• ввода и контроля полномочий пользователей;

• регистрации и отображения сообщений о фактах НСД: несовпаде­ний КП, нарушений полномочий с указанием времени, места и даты со­бытия;

• регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты вы­дачи информации;

• ведения журнала учета и регистрации доступа к информации;

• формирования и выдачи необходимых справок по НСД;

• контроля целостности программного обеспечения ЛВС;

• контроля конфигурации ЛВС;

• управления шифрованием информации;

• периодического тестирования и контроля функционирования пер численных функций;

• документирования перечисленных работ;

• ведения статистики НСД.

Особое внимание следует обратить на необходимость постоянного контроля НСД и выработки сигнала тревожной сигнализации на АРМ СБИ, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображе­ния сигнала НСД с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выпол­нение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам.

Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения цен­трализованной защиты на ЛВС в целом, а также для дублирования в це­лях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты — залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только авто­матика, а не человек со всеми слабостями человеческой натуры.

4. Организация службы внутренней безопасности

4.1. Порядок организации охраны, пропускного режима

Для ответа на этот вопрос необходимы данные Инструкции Банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях Банка России".

4.2. Порядок организации противопожарной охраны

Противопожарные мероприятия проектируются в соответствии с требованиями СНиП 2.01.02-85 "Противопожарные нормы" и других норма­тивных документов.

Степень огнестойкости зданий должна быть не ниже П.

Автоматической пожарной сигнализацией оборудуются все помеще­ния (в том числе коридоры и холлы), за исключением помещений с мокрыми технологическими процессами.

В здании банка предусматривается централизованная система опове­щения о пожаре. В одно-двухэтажных зданиях для оповещения о пожаре ис­пользуются звонки и сирены, отличающиеся по тональности от других сиг­налов.

Помещение пожарного поста, в том числе совмещенного с помещени­ем охраны, должно иметь естественное освещение и размещаться на первом или в цокольном этаже здания.

Эвакуация из операционных и кассовых залов, разделенных барьером на зоны, должна обеспечиваться самостоятельно для каждой зоны. На первом этаже лестница должна выходить в изолированный (выделенный перегород­ками с дверями) отсек коридора. Кладовые ценностей оборудуются установ­ками автоматического пожаротушения.

Противодымную защиту помещений следует организовывать в соот­ветствии с требованиями СНиП 2.04.05-91 «Отопление, вентиляция и конди­ционирование».

Помещение вычислительных центров, центральных ЭВМ локальных сетей, коммутационных ЭВМ оборудуются установками автоматического га­зового пожаротушения в соответствии с нормами проектирования помеще­ний для ЭВМ.

В помещениях, оснащаемых персональными ЭВМ, не подлежащих оборудованию системами автоматического пожаротушения, следует преду­сматривает устройство автоматической пожарной сигнализации, реагирую­щей на появление дыма, и оснащаются эти помещения первичными средст­вами пожаротушения (переносными или передвижными порошковыми огне­тушителями) из расчета не менее двух огнетушителей на 20 кв.м. площади помещения.

Помещение архивов финансовых документов, за исключением случа­ев использования несгораемых сейфов, оборудуются установками автомати­ческого пожаротушения. Применяемые при этом огнегасящие составы не должны повреждать документы при тушении.

Сургучница и другие электронагревательные приборы должны уста­навливаться на несгораемом основании.

Акустическая отделка помещений должна выполняться из несгорае­мых или трудно сгораемых материалов.

Предел огнестойкости перекрытий над встроенными гаражами, стоян­ками должен быть не менее 1,5 часов.

4.3. Видеоохранные устройства

Телевизионная система охраны и наблюдения (ТСОН) предназначена для наблюдения за подходами к банку, участками периметра, въездными во­ротами, территорией внутреннего двора, главным входом, кассовым и опера­ционным залом, коридорами отдельными помещениями и запасными выхо­дами, а также для видеодокументирования событий, происходящих в зонах видеоконтроля.

Применение ТСОН позволяет производить круглосуточный видеоконтроль за обстановкой на охраняемом объекте, создает предупреждающее воз­действие на криминальный элемент, улучшает условия выполнения служеб­ных задач личным составом охраны, помогает администрации банка наблю­дать за работой служащих, контролировать действия охраны банка.

Круглосуточный режим работы ТСОН обеспечивает постоянную за­пись на видеорегистратор обстановки на охраняемом объекте, документиро­вание видеоинформации, ретроспективный просмотр сотрудниками службы безопасности событий на объекте, позволяет анализировать действия лично­го состава охраны и служащих банка в случае возникновения нештатных си­туаций, совершенствовать взаимодействие личного состава охраны, сотруд­ников службы безопасности и служащих банка вовремя проведения учебных «тревог».

ТСОН в сочетании с извещателями охранно-пожарной сигнализации (ОПС) позволяет создать качественно новые рубежи охраны. При пересече­нии нарушителем зоны обнаружения датчика охранной сигнализации вклю­чается соответствующая видеокамера. Начиная с этого момента, он находит­ся под наблюдением службы охраны банка, и это позволяет службе охраны оперативно влиять на события и производить упреждающие мероприятия. В этих условиях, благодаря применению ТСОН, получается качественно новый способ охраны, который позволяет быстро оценить сложившуюся обстановку и эффективно реагировать на возникшую ситуацию.

Для размещения центра управления ТСОН должна быть предусмотре­на отдельная аппаратная комната.

Камеры должны быть установлены только официально и все сотруд­ники банка должны знать о видеокамерах, иначе можно вступить в противо­речие с Гражданским Кодексом Российской Федерации.

При выборе ТСОН для банка следует руководствоваться размерами объекта, его конфигураций, количеством мест, необходимых для визуального контроля.

5. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ ЦЕНТРАЛЬНОГО БАНКА РОССИИ

В целях эффективного обеспечения личной безопасности сотрудников Центрального Банка России и членов их семей ЦБ РФ в лице Управления безопасности и защиты информации разработало подробнейшую памятку о действиях своих сотрудников в случае угрозы их безопасности и безопасности членов их семей. В ней особо подчеркивается, что если до недавнего времени к числу наиболее распространенных угроз личной безопасности относили стихийные бедствия, пожары, катастрофы, то в настоящее время все чаще приходится сталкиваться с проявлениями терроризма, захвата заложников, вымогательством и другими преступлениями направленными против личности. Сотрудник Центрального Банка России должен знать свои права и обязанности при действиях в экстремальных ситуациях, руководствоваться правилами поведения, позволяющими исключить или уменьшить вероятность попадания в опасные ситуации, психологически быть готовым к самозащите. Сотруднику предлагается смоделировать свое поведение в различных условиях, быть готовым своевременно распознать и правильно оценить опасную для здоровья и жизни ситуацию, ограничить внезапность возможного нападения со стороны злоумышленников, защитить себя и своих близких от преступных посягательств. В данной памятке раскрыты основные действия по различным угрозам, которые могут возникнуть. Рассмотрим некоторые из них.

Действия сотрудников при возникновении угроз их жизни, здоровью и имуществу. При возникновении такой угрозы сотруднику должен немедленно проинформировать свое руководство и подать письменное заявление. Для обеспечения безопасности сотрудников и членов их семей подразделение, обеспечивающее безопасность банка может применить следующие особые меры безопасности:

а) личная охрана, охрана жилища и имущества;

б) выдача специальных средств индивидуальной защиты и оповещения об опасности;

в) временное помещение в безопасное место;

г) обеспечение конфиденциальности сведений о сотруднике;

д) перевод на другую работу, изменение места работы или учебы.

Если в ходе проверки поступившего от сотрудника заявления будет установлено, что угрозы имеют реальный характер, однако их причина не обусловлена выполнением сотрудником служебных обязанностей, материалы передаются для принятия мер в соответствующий орган внутренних дел. Таким образом, Центральный Банк РФ в лице своей службы безопасности берет под специальную защиту своих сотрудников в случае угрозы сотруднику, прямо связанными с интересами ЦБ РФ. Инструкция требует также не разглашать сведения о принимаемых и принимавшихся в отношении сотрудника особых мерах безопасности без разрешения подразделения, осуществляющего эти меры. Регламентированы также: действия сотрудников при поступлении угроз по телефону; при поступлении угроз по почтовому каналу и каналу связи; действия сотрудников в случае похищения или захвата в качестве заложников членов их семей; действия при похищении или захвате в качестве заложника; меры безопасности на работе; меры безопасности при передвижении по городу; меры безопасности при передвижении на автомобиле; действия сотрудников при попадании в дорожно-транспортные происшествия; обеспечение личной безопасности при проживании в гостинице; первая медицинская помощь в экстренных случаях и т. д. Вся эта подробнейшая регламентация должна помочь принятию правильных решений по нейтрализации угроз не только в целях личной безопасности сотрудников, но и в определенной степени, нейтрализации угроз самому ЦБ РФ как специфическому институту государства. Заботясь в плане безопасности о своих сотрудниках он заботится в конечном итоге и о государственных интересах.

ЗАКЛЮЧЕНИЕ

Забота о безопасности пронизывает всю систему Центрального Банка России. Ее организация ведется через Главное Управление безопасности и защиты информации. В Банке России интенсивно развиваются системы информации и телекоммуникаций. Не секрет, что этот процесс проходит на фоне обострения криминогенной ситуации в сфере банковской деятельности и поэтому большое значение приобретают проблемы развития и совершенствования системы обеспечения информационной безопасности. Опираясь на основные, базовые принципы принятые как в международной практике, так и в России Главное Управление безопасности и защиты информации ЦБР в последнее время активно принимает комплекс мер защиты по целому ряду направлений.

1. Проводится анализ проектов нормативных документов и иных правовых актов, разработанных структурными подразделениями ЦБ РФ, в частности Положение о порядке подготовки и вступления в силу нормативных актов ЦБ РФ; Инструкции о порядке взаимодействия с правоохранительными органами по вопросам банковского регулирования и надзора за деятельностью кредитных организаций; Положение о Территориальном учреждении ЦБ РФ и др.
2. Разрабатываются усовершенствованные организационно-методические документы, регламентирующие в учреждениях ЦБ РФ внутренний и пропускной режим деятельность администраторов информационный безопасности, работу со сведениями ограничивающего применения.
3. Для практического применения криптографических средств защиты информации в банковских телекоммуникационных системах ускоряются темпы создания средств криптографической защиты информации, чтобы использовать в новейших средствах и системах информации и телекоммуникаций.

Для банков сейчас опасен не столько технический шпионаж со стороны иностранных разведок, сколько существование почти повсеместной угрозы посягательств отечественных преступных элементов. Например, новым элементом в криминализации финансового рынка стала деятельность различных инвестиционных групп, которые, якобы представляя крупные банки Запада или частных инвесторов, выходят на российские кредитные учреждения или органы власти с предложениями организовать инвестирование социально- экономических проектов, при условии предоставления банковских или правительственных гарантий. Резко возросло количество махинаций с пластиковыми карточками, изготовление которых возможно без государственного контроля. Активно проявляется тенденция по внедрению своих людей в ЦБ РФ, привлечение сотрудников к сотрудничеству с криминалом. Участились случаи подкупа, шантажа, угроз. Особое значение имеет обеспечение безопасности электронных платежных технологий. В настоящий момент уровень безопасности электронных платежей (документов) в ЦБ РФ выше, чем бумажных.

Сфера банковской безопасности сложна, многообразна. Она решает трудные задачи. Но, как говориться, в какой-то степени, банк тогда чего-нибудь стоит, когда умеет себя защитить.

приложения

Приложение 1

Приложение 2

Криптографическое закрытие информации

Приложение 3

Характеристики криптографических алгоритмов

Характеристика	DES	RSA
Скорость работы	Быстрая	Медленная
Используемая функция	Перестановка и подстановка	Возведение в степень
Длина ключа	56 бит	300...600 бит
Наименее закрытый криптоа­нализ	Перебор по всему ключевому пространству	Разложение модуля
Временные затраты на анализ	Столетия	Зависят от длины ключа
Время генерации ключа	Миллисекунды	Десятки секунд
Тип ключа	Симметричный	Асимметричный

Приложение 4

Структурная схема автоматизированного рабочего места службы безопасности информации

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Федеральный закон РФ от 21.07.93 № 5485-1 "О государственной тайне" с изменениями и дополнениями.
2. Федеральный закон Российской Федерации от 03.02.96 № 17-ФЗ "О банках и банковской деятельности" с изменениями и дополнениями.
3. Инструкция банка России от 25.05.98 № 73-И "Об организации внутриобъектового и пропускного режима в учреждениях банка России"
4. Банковская система России. Настольная книга банкира. Книга III. – М.: Дека, 1995, с. 382-464.
5. Гайкович В., Перший А. Безопасность электронных банковских систем. – М.: Единая Европа, 1994, с. 116-148, 180-243.
6. Действия работников организации и членов их семей в чрезвычайных ситуациях: Памят­ка / Под ред. Л.В. Войлукова. – М.: Банк России, 1995.
7. Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность. Учебное пособие / Под ред. Г.А. Краюхина. – СПб.: СПб. ГИЭА, 1996, с. 3-75.
8. Компьютеризация банковской деятельности / Под ред. Г.А. Титоренко. – М.: Финстатинформ, 1997, с. 6-18, 249-298.
9. Крысин А.В. Безопасность предпринимательской деятельности. – М.: Финансы и стати­стка, 1996.
10. Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика: Электроинформ, 1997, с. 59-102, 286-346.
11. Российские банкноты образца 1995 года. ЦБ РФ. Изд-во АО "Консалтбанкир", 1995.