Поиск по сайту
Авторизация
Логин:
Пароль:
Забыли свой пароль?
Подписка на рассылку
Реклама

Концепция безопасности банковских систем описанная В.И. Ярочкиным

Концепция безопасности банковских систем описанная В.И. Ярочкиным

Концепция безопасности банковских систем описанная В.И. Ярочкиным

 Давайте посмотрим, как описана концепция безопасности банковских систем описанная В.И. Ярочкиным в книге БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ

 Концепция безопасности
Что такое безопасность?
1.   Безопасность - это гарантированная  конституционными, законодательными  и  практическими  мерами защищенность  и обеспеченность жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
2.  Безопасность:
- это наука, которую надо изучать и развивать;
- это искусство, которое надо постигать;
- это культура, которую надо воспитывать у предпринимателей. Культура безопасности - это умение человека использовать
соответствующим образом весь арсенал методов, средств и технологии безопасности в своей повседневной деятельности.

Общие положения

Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.
Под безопасностью банка понимается состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой составной частью деятельности банка. Состояние защищенности представляет собой умение и способность надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка.
Объектами безопасности являются:
-   персонал (руководство, ответственные исполнители,  сотрудники);
-  финансовые средства, материальные ценности, новейшие технологии;
-  информационные ресурсы (информация с ограниченным доступом, составляющая банковскую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
Субъектами правоотношений при решении проблемы безопасности являются:
-  государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
-  юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования банка как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг по безопасности, обслуживающий персонал, клиенты и др.);
-  службы безопасности банков и частные охранно-детективные структуры.
Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
 


Цели и задачи системы безопасности

Главной целью системы безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации.
Другими целями являются:
-  формирование целостного представления о системе безопасности банка и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;
- повышение имиджа банка и роста прибыли за счет обеспечения  высокого качества  предоставляемых услуг и  гарантий безопасности имущественных прав и интересов.
Общими задачами системы безопасности являются:
- прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;
-  отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов- к различным уровням уязвимости (опасности) и подлежащих сохранению;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании банка;
-  эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
-  создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности банка.
Принципы организации и функционирования системы безопасности
Организация   и   функционирование   системы   безопасности должны соответствовать следующим принципам:
1. Комплексности:
- обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
-  способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования банка.
Комплексность достигается:
-обеспечением соответствующего режима и охраны;
-  организацией специального делопроизводства с ориентацией на защиту банковских секретов;
- мероприятиями по подбору и расстановке кадров;
-  широким использованием технических средств безопасности и защиты информации;
-  развернутой информационно-аналитической и детективной деятельностью.
Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.
2.  Своевременности.
Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования экономической обстановки, угроз безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы банка.
3.  Непрерывности.
Считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.
4. Активности.
Защищать интересы банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.
5.  Законности.
Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации и защиты информации, частной детективной и охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
6. Обоснованности.
Используемые возможности и средства безопасности должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.
7. Экономичности.
Имеется ввиду экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность - стоимость"). Во всех случаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов угроз.
8. Специализации.
Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности и функциональных и обслуживающих подразделений.
9. Взаимодействия и координации.
Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб банка, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
10. Совершенствования.
Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
11.  Централизации управления.
Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и с централизованным управлением деятельностью системы безопасности банка.


Объекты защиты


К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
- персонал (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, осведомленные о сведениях, составляющих банковскую и коммерческую тайну, и другие);
- финансовые и материальные средства;
- сведения, составляющие служебную, банковскую и коммерческую тайну, а также иная конфиденциальная информация на бумажной,   магнитной,   оптической   основе,   информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера; информационные ресурсы с ограниченным доступом;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- технические средства и системы охраны и защиты финансовых, материальных и информационных ресурсов.
Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного финансового, материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую уязвимость представляют финансовые средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.


Основные виды угроз интересам банка

Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг банков в ближайшем будущем сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:
-  нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
-  невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
- снижение моральной, психологической и производственной ответственности граждан.
На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
В общем плане к угрозам безопасности личности относятся:
-  похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
-  убийства, сопровождаемые насилием, издевательствами и пытками;
- информационно-психологическое воздействие;
-  психологический террор, угрозы, запугивание, шантаж, вымогательство;
-  нападение с целью завладения денежными средствами, ценностями и документами.
Преступные посягательства в отношении помещений {в том числе и жилых), зданий и персонала проявляются в виде:
- взрывов;
- обстрелов из огнестрельного оружия;
-  минирования, в том числе с применением дистанционного управления;
- поджогов;
-  нападения, вторжения, захватов, пикетирования, блокирования;
- повреждения банкоматов, входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств, личных и служебных;
-аварий, пожаров. Цель подобных акций:
-  нанесение серьезного морального, финансового и материального ущерба;
- срыв на длительное время нормального функционирования;
-  вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) перед лицом террористической угрозы.
Угрозы финансовым ресурсам проявляются в виде:
- невозврата кредитных ссуд;
- мошенничества со счетами;
- подложных платежных документов и пластиковых карт;
- хищения финансовых средств из касс, банкоматов и инкассаторских машин.
Угрозы информационным ресурсам проявляются в виде: -разглашения конфиденциальной информации;
-  утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
-  несанкционированного доступа к охраняемым сведениям со стороны конкурирующих организаций и преступных формирований.
Осуществление угроз информационным ресурсам может быть произведено:
-  путем несанкционированного доступа и съема конфиденциальной информации;
- путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью;
- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических
средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программ не-математических воздействий на нее в процессе обработки и хранения;
-  путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
-  через переговорные процессы между иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
-  через отдельных сотрудников банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную заинтересованность.


Правовые основы безопасности

Правовые основы безопасности банка определяют соответствующие положения Конституции Российской Федерации, законы "О безопасности", "О банках и банковской деятельности", "О коммерческой деятельности" и другие нормативные акты.
Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и деловой репутации призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство.
Обеспечение информационной безопасности регулируется законами Российской Федерации "О государственной тайне", "Об информации, информатизации и защите информации".
Важное значение в этом деле имеют указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 № 644; "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 № 334; "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 № 9.
При практическом решении задач обеспечения безопасности банка необходимо опираться также на следующие правовые нормативные акты:
Постановление Правительства РСФСР от 05.12.91 № 35 "О перечне сведений, которые не могут составлять коммерческую тайну";
"Положение о сертификации средств защиты информации", утвержденное постановлением Правительства Российской Федерации от 26.06.95 № 608 "О сертификации средств защиты информации и системе лицензирования";
Указ Президента РФ от 03.06.97 № 188 "О конфиденциальной информации";
"Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам", утвержденное постановлением Правительства РФ от 15.09.93 №912-51;
"Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 № 10.
Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противодействие противоправным посягательствам на предпринимательскую деятельность в различных ее сферах.
Успешное и эффективное решение задач обеспечения безопасности конкретного банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с устава коммерческого банка и кончая функциональными обязанностями каждого сотрудника.


Организационные основы безопасности

Организационной основой обеспечения безопасности является система безопасности банка.
Служба безопасности банка является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю банка.
Возглавляет службу безопасности начальник службы в должности заместителя руководителя банка по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
- подразделения режима и охраны;
-   подразделения  обработки  сведений   конфиденциального характера (государственной, банковской и коммерческой тайн);
-  подразделения по обеспечению работы с кадрами, допущенными к конфиденциальной информации;
-подразделения инженерно-технической защиты;
-   подразделения   информационно-аналитической  деятельности.
Основными задачами службы безопасности являются:
-  обеспечение безопасности кредитно-финансовой деятельности и защиты конфиденциальной информации;
- организация работы по правовой, организационной и инженерно-технической защите объектов безопасности;
-организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся банковской и коммерческой тайной;
-  предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим банковские и коммерческие секреты;
-  выявление и локализация возможных каналов утечки конфиденциальной информации;
-  обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания;
-  обеспечение охраны зданий, помещений, оборудования и технических средств различного назначения;
-  обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
-  оценка валютно-финансовых ситуаций  и неправомерных действий злоумышленников и конкурентов.
В своей деятельности служба безопасности банка руководствуется:
- Положением о службе безопасности;
- Инструкцией по организации режима и охраны;
- Инструкцией по защите банковской и коммерческой тайны;
-  Перечнем сведений, составляющих банковскую и коммерческую тайну;
-  Инструкцией по работе с конфиденциальной информацией для руководителя, специалистов и технического персонала;
-  Инструкцией по инженерно-технической безопасности и защите информации;
-  Инструкцией о порядке работы с иностранными представителями и представительствами.
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право банка на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности, целесообразно выделить следующие основные направления деятельности по обеспечению безопасности:
- информационно-аналитических исследований и прогнозных оценок безопасности;
-безопасности персонала;
- сохранности и физической защиты материальных и финансовых средств и объектов;
- безопасности информационных ресурсов.
Инженерно-технические основы безопасности
К основным направлениям инженерно-технической безопасности правомерно отнести использование различных технических средств и систем, обеспечивающих безопасность банка, в том числе:
-аппаратные средства обеспечения безопасности;
-  программные средства защиты информации в технических средствах обработки;
-  математические способы защиты информации от различных угроз и несанкционированных действий.
На практике все мероприятия по использованию технических средств подразделяются на три группы:
- организационные;
- организационно-технические; -технические.
Классификация инженерно-технической защиты по характеру защитных мероприятий приведена на рисунке книги.


Рецензия на книгу:  Безопасность банковских систем
Автор рецензии:  Абрамов В.Е.
Рейтинг:  3.09

Возврат к списку

Информация
Порядок рецензирования