Банковская безопасность

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО НАУКИ, ОБРАЗОВАНИЯ, МОЛОДЕЖИ И СПОРТА УКРАИНЫ

ОДЕССКИЙ НАЦИОНАЛЬНЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

Институт бизнеса, экономики и информационных технологий

Кафедра менеджмента внешнеэкономической деятельности и инновационных систем в менеджменте

КУРСОВАЯ РАБОТА

на тему: «Банковская безопасность»

выполнила

ст. группы ОВ-101

Вакуленко О.Д.

проверил

к.э.н. Заяц М. А.

Одесса-2012

Содержание

Введение

1. Основные положения теории безопасности банковской деятельности

2. Угрозы безопасности банков

3. Цели и задачи системы безопасности банка

4. Служба безопасности банка

5. Информационная безопасность банковской деятельности

6. Безопасность банковских зданий. Специальная защита банковских объектов

7. Безопасность ведения делопроизводства

Заключение

Список литературы

Введение

Обеспечение экономической безопасности Украины, её способность противодействовать как внешним, так и внутренним угрозам является одним из ключевых условий перехода страны к устойчивому развитию.

Период становления и развития рыночных отношений в Украине характеризуется ухудшением криминогенной обстановки, ростом преступных посягательств в экономике, в том числе в банковской сфере. Здесь проявилось значительное число острых проблем, характерных для экономики переходного периода: отставание нормативно-законодательной базы от реалий, складывающихся в банковской деятельности, несовершенство многих существующих банковских технологий и структур обеспечения безопасности кредитных организаций в сравнении с общепринятыми в мире, повышенный интерес криминальных структур к этой сфере, где проходят основные денежные потоки, как «кровеносной системы» экономического организма страны. Ведь кредитные организации служат весьма важным инструментом реформирования отечественной экономики. Они активно участвуют в развитии рыночных отношений, финансировании разнообразных государственных и региональных, в том числе социальных программ, обеспечивают финансово-кредитное обслуживание, как предприятий всех форм собственности, так и значительной части населения. В этом контексте банковская деятельность является наиболее характерным индикатором состояния финансовой системы, уровня нормализации денежных потоков и расчетных отношений, степени защищенности интересов вкладчиков, развития российского финансового рынка, обеспечения необходимых условий для активизации инвестиционной деятельности. Параметры указанной деятельности во многом определяют пороговые значения экономической безопасности страны в финансово-кредитной сфере, т.е. можно констатировать, что обеспечение безопасности банковской системы эквивалентно обеспечению безопасности самого государства.

1. Основные положения теории безопасности банковской деятельности

Термин «безопасность» появился в Европе в 1190 г. и означал «спокойное состояние духа человека, считавшего себя защищенным от любой опасности». В начале XVII века с формированием государственных систем данное понятие обрело иную трактовку «создание условий спокойствия в результате отсутствия реальной опасности (как физической, так и моральной) в материальной, политической и экономической сферах»

Опасность можно охарактеризовать как наличие и действие сил (факторов), которые являются деструктивными и дестабилизирующими по отношению к какой-либо конкретной системе (банку).

Деструктивными и дестабилизирующими следует считать те силы (факторы), которые способны нанести ущерб данной системе, временно вывести её из строя или полностью уничтожить

Угроза:

- возможная опасность, запугивание, обещание причинить кому-либо неприятность, зло;

- наиболее конкретная и непосредственная форма опасности, создаваемая целенаправленной деятельностью откровенно враждебных сил и т.д.

Источники опасности - условия и факторы, которые таят в себе и при определенных условиях сами по себе, либо в различной совокупности обнаруживают враждебные намерения, вредоносные свойства, деструктивную природу и по своему генезису имеют естественно-природное, техногенное и социальное происхождение

Главная цель безопасности банковской деятельности - обеспечение устойчивого функционирования банка и предотвращение внутренних и внешних угроз. Также, защита его законных интересов от противоправных посягательств, безопасность и охрана здоровья персонала, недопущение хищения финансовых и материальных средств, порча и уничтожение имущества, ценностей, разглашение коммерческой тайны, утечки и несанкционированного доступа к служебной информации, нарушения работы технических средств обеспечивающих банковскую деятельность

2. Угрозы безопасности банков

В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках безопасности учитываются объективно существующие внешние и внутренние условия, влияющие на банковскую систему в целом.

Источники угроз банковской деятельности:

-природные (редкое явление);

-технические (связанные с техникой);

-социальные (общество-человек).

Следует обратить внимание, что именно социальные угрозы наиболее опасные.

Таковыми являются:

- нестабильная политическая, социально-экономическая обстановка, обострение криминогенной ситуации, криминальная конкуренция и т.д.;

- невыполнение законодательных актов, правовой нигилизм, отсутствие некоторых законов по жизненно важным вопросам;

- снижение моральной, психологической, производственной ответственности работников банка и т.д.

Виды угроз безопасности банковской деятельности:

Внутренние угрозы - это источники, порождаемые внутренними противоречиями или иными факторами, которые могут исходить непосредственно от коллектива, групп людей и отдельных личностей, наделенных определенными полномочиями при выполнении своих обязанностей в данном учреждении.

Внешние угрозы - это источники, которые существуют или могут появляться за рамками организации, в частности банка, и воздействовать на его интересы извне. Основу внешних угроз, как правило, составляет социальные источники опасности (люди), а также и природные.

Классификация потенциальных угроз безопасности банков:

Первая группа - физические угрозы.

Вторая группа - технические угрозы.

Третья группа - интеллектуальные угрозы

Физические угрозы, как воздействие физических лиц, совершающих противоправные действия методом физического насилия, также и природные, техногенные катастрофы.

К физическим угрозам относятся:

- похищения и угрозы похищения сотрудников банка, членов их семей и близких родственников;

- убийства, сопровождаемые насилием, издевательствами и пытками; разбойные нападения с целью завладения денежными средствами, ценностями и документами;

- уничтожение собственности банка и собственности банковских работников; угроза безопасность банковская

- террористические акции, т.е. совершение преступления в форме взрыва, поджога, применения или угрозы применения взрывных устройств, химических, биологических, токсических ядов, веществ, а также захват заложников, транспортных средств и т.д.;

- чрезвычайные обстоятельства - это события вызванные аварией и приведшее на определенной территории к угрозе жизни и здоровью людей, ущербу государственным, коммерческим и иным видам собственности, личного имущества граждан и природной среде.

Технические угрозы - это совокупность мероприятий и технических средств, направленных на получение нужной информации, а также на нарушение, нейтрализацию аппаратных средств и программного обеспечения интересующего объекта (банка), к ним относятся:

- перехват информации;

- радиоразведка связи и управления;

- искажение информации;

- ввод ложной информации;

- информационное нападение;

- уничтожение информации и т. д.

Цель - перехватить, исказить, уничтожить информацию

Интеллектуальные угрозы - это угрозы направленные на продукт интеллектуального труда, умственные способности индивида.

- «Беловоротничковые угрозы (преступления)».

«Белые воротнички» - представители административно-бюрократического аппарата всех сфер управления

«Беловоротничковые угрозы» - это когда предприниматели, государственные служащие, банкиры и другие представители административного аппарата, обладают возможностью по характеру предоставляемых им полномочий совершать такие экономические преступления, как: нарушение антитрестовского законодательства; мошенничества с ценными бумагами, на фондовой бирже, с получением кредитов и ссуд; присвоением банковских средств, уклонение от уплаты налогов, взяточничество и др.

- "Золотые воротнички" - новая категория персонала, обладающая высокой компьютерной грамотностью: программисты управляемых производственных комплексов, операторы роботизированных систем, специалисты по сверхновым материалам и т.д.

Мошенничество:

- хищение чужого имущества или приобретения права на чужое имущество путем обмана или злоупотребления доверием;

- получение кредита путем обмана или злоупотребления доверием и его присвоение.

Мошеннические действия на финансовом рынке Украины совершаются при следующих операциях:

1. Продажа и покупка ценных бумаг.

2. Предоставление и получение кредита.

3. Предоставление вексельного кредита.

4. Инкассирование векселей.

5. Вексельное поручительство банка.

6. Предоставление залога в обеспечение возвратности выданных ссуд.

7. Проведение расчетов по кредитным картам.

8. Страхование кредитов и сделок.

9. Операции по «уничтожению, обрушению» банка по выдаче невозвратного долга.

10.Получение кредита за взятку, данную сотруднику банка.

11.Получение кредита подставной фирмой.

12. Фальшивое авизо.

13. Умышленные неплатежи и т.д.

Лжепредпринимательство - создание коммерческих организаций без намерения осуществлять предпринимательскую или банковскую деятельность, с целью получения кредитов, освобождения от налогов, извлечение других имущественных выгод или прикрытие запрещенной деятельности.

Цель - создание банков и других кредитных организаций предназначенных для привлечения и последующего хищения денежных средств других лиц.

Лжепредпринимательство - один из обязательных элементов по отмыванию нелегально полученных доходов через банковскую систему.

Преступления с использованием пластиковых платежных средств:

- операции с поддельными картами;

- операции с украденными/поддельными картами;

- многократная оплата услуг и товаров;

- мошенничество с почтовыми/телефонными заказами ;

- многократное снятие со счета;

- мошенничество с использованием подложных слипов;

- использование для выдачи наличных денег через банкомат;

- подключение электронного записывающего устройства к POS - терминалу/банкомату, “Skimming” и другие виды мошенничества.

Основные способы подделки пластиковой карты:

- изменение информации на магнитном носителе;

- изменение информации записанной на лицевой стороне;

- их сочетание;

- подделка подписи законного владельца и т.д.

Скимминг - тщательное и полное копирование всего содержимого магнитных треков (дорожек)

За последние три года число мошенничеств по пластиковым картам выросло в 180 раз! В Украине около 5% кредитных карточек - фальштвые.

Кардинг - мошенничество с кредитными каточками (кража номеров кредитных карт, продажа поддельных кредитных карт и т.д.)

Фишинг - получение информации от владельцев пластиковых карточек путем рассылки по электронной почте с фальшивыми веб-страницами, имитирующие легитимные сайты, запросов от имени банков и платежных систем.

За первые месяцы прошлого года в мире 57 млн. человек подверглись фишинговым атакам. За прошедший год мошенники «заработали» 450 млн. долларов!

Нигерийские письма. Приходят в виде электронного письма или в виде факс-сообщения. Необходим счет в любом зарубежном банке для перечисления «грязных» денег. В качестве вознаграждения за помощь 10-30% от заявленной суммы.

3. Цели и задачи системы безопасности банка

Система безопасности банковской деятельности - это совокупность специальных органов, служб, средств, методов, взаимосвязанных мероприятий правового характера, осуществляемых в целях защиты банка от внутренних и внешних угроз (реальных или потенциальных противоправных действий физических или юридических лиц).

Организация деятельности системы безопасности определяется Положением о системе безопасности банка.

Цели системы безопасности банка:

- защита прав банка, его структурных подразделений и сотрудников;

- сохранение и эффективное использование финансовых, материальных и информационных ресурсов;

- своевременное выявление и устранение угроз, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развития банка;

- отнесение информации к категории ограниченного доступа к различным уровням уязвимости;

- создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций функционирования;

- эффективное пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности;

- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями для ослабления негативных влияний последствий нарушения безопасности на достижение стратегических целей.

Задачи системы безопасности банка:

- обеспечение безопасности функционирования банка, его кредитно-финансовой деятельности и защиты конфиденциальной информации;

- организация работы по правовой, организационной и инженерно-технической защите материальных, финансовых и информационных ресурсов;

- организация специального делопроизводства, исключающего несанкционированного получения конфиденциальных сведений;

- выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

- обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровнях;

- обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения деятельности банка;

- обеспечение безопасности персонала;

- информационно-аналитическая деятельность в интересах оценки ситуации и выявления неправомерных действий злоумышленников и конкурентов.

- обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровнях;

- обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения деятельности банка;

- обеспечение безопасности персонала;

- информационно-аналитическая деятельность в интересах оценки ситуации и выявления неправомерных действий злоумышленников и конкурентов.

4. Служба безопасности банка

Служба безопасности (СБ) банка -- подразделение, специально созданное для защиты его законных прав и интересов от криминальной конкуренции со стороны социальных организаций и физических лиц.

Затраты зарубежных фирм только на охрану коммерческой тайны достигают 25% всех расходов на производство. В Западной Европе ассигнования на мероприятия, связанные с обеспечением безопасности, составляют от 15 до 20% стоимости охраняемых ценностей. В Украине эти цифры не превышают 1%. Вместе с тем отказ предприятий от необходимых мер защиты, экономия на защитных мероприятиях, по сути, способствуют развитию преступности

Основные задачи службы безопасности:

-обеспечение безопасности кредитно-финансовой деятельности и защита информации и сведений, составляющих банковскую тайну;

- организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной) защите банковской тайны;

- организация специального делопроизводства, исключающего несанкционированное получение сведений, представляющих банковскую тайну;

- выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

- обеспечение режима безопасности при проведении всех видов деятельности, а также охрана зданий, помещений и т.п.;

- обеспечение личной безопасности руководства и ведущих сотрудников банка и т.д.

Служба безопасности в своей деятельности руководствуется:

- инструкцией по организации режима и охраны;

- инструкцией по защите банковской тайны;

- перечнем сведений, составляющих банковскую тайну;

- инструкцией по работе с конфиденциальной информацией для руководителей, специалистов и технического персонала;

- инструкцией по организации хранения дел, содержащих конфиденциальную информацию, в архиве;

- инструкцией по инженерно-технической защите информации;

- инструкцией о порядке работы с иностранными представителями и представительствами и т.д.

Требования к руководителю и ведущим специалистам службы безопасности банка:

Необходимо обладать знаниями в следующих областях:

- информационно-аналитическая работа;

- методы разведки и контрразведки;

- оперативная работа;

- социальная психология и психология личности;

- основы банковского дела и бухгалтерский учет;

- основы менеджмента и маркетинга;

- административное, гражданское и уголовное право.

Специалист службы безопасности банка обязан:

- разработать комплексные меры по обеспечению безопасности банка и личной безопасности его руководства;

- осуществить защиту конфиденциальной информации;

- уметь применять технические средства скрытого наблюдения и прослушивания;

- противодействовать проведению аналогичных мероприятий конкурентами;

- разбираться в финансовой отчетности;

- заниматься профилактикой правонарушений;

- проводить внутреннее расследование случаев воровства, мошенничества, саботажа и финансовых преступлений;

- организовывать проверки (в т.ч. негласные) благонадежности сотрудников;

- предупреждать (выявлять) случаи сотрудничества персонала банка с конкурентами или криминальными структурами;

- взаимодействовать со следственными органами и милицией при расследовании преступлений или иных происшествий;

- разрешать конфликты между сотрудниками и т.д.

Основные виды планов при возникновении противоправных действий со стороны криминала:

- план действий при угрозе взрыва.

- план действий при захвате заложников или похищении сотрудников.

- план действий при нападении на инкассаторов.

- план действий при нападении на помещение банка.

- план действий при вымогательстве и т.д.

Данные документы составляются в 2-3 экз.

Один экземпляр у руководителя, другой - начальника охраны и третий может быть у лица, заменяющего руководителя банка в его отсутствие.

Внутренняя защита банка.

Внутренние источники опасности деятельности банка - это источники, порождаемые внутренними противоречиями и иными факторами, действующими внутри банка, которые делятся на технологические и социальные.

К технологическим источникам опасности относятся отклонения от технологии деятельности организации (банка), которые таят в себе опасность причинения любого ущерба

К социальным источникам опасности относятся противоречия между индивидами, различными группами банковских работников, которые могут парализовать всю деятельность банка

Основной источник внутренних угроз банка.

Внутренний злоумышленник может быть любой сотрудник банка, вступивший в сговор с преступной группой

Внутренний злоумышленник может быть враждебно настроенный служащий, психически неуравновешенные люди или служащие, подвергающиеся шантажу или угрозам со стороны преступников

Внутренний злоумышленник - служащий банка или сотрудник охраны, имеющий доступ на объект, располагающий определенной информацией о режиме работы банка и, может быть, системе охраны

Мотивом преступления является, как правило, личное обогащение. Но, может быть: месть начальству или сотруднику, психическое расстройство и т.д.

Методы активного воздействия - подкуп, шантаж, жесткая угроза, физическое и психологическое воздействие, специфический форсированный допрос, игра на эмоциях, убеждение, фармакологическое воздействие и т.д.

Внутренняя защита банка - это комплекс мероприятий, действий, исключающих нанесения внутреннего ущерба банковской деятельности

5. Информационная безопасность банковской деятельности

Технические средства обеспечения: телефоны, телефонная связь, телевизоры, установки, радиоприемники, усилительные системы, охранные и пожарные системы и т.д.

Публикации: книги, статьи, обзоры, сообщения, доклады, тезисы, рекламные проспекты и т.д.

Технические носители: бумажные носители, кино-, фотоматериалы, магнитные носители, видеодиски, распечатка данных, информация на экранах ЭВМ, табло индивидуального и коллективного пользования и д.р.

«По имеющимся оценкам, из общего числа фактов утечки информации финансово-кредитной сферы подкуп, шантаж, переманивание служащих достигает 43%, копирование программного продукта -- 24%, проникновение в компьютер -- 18%, кражи документации -- 10%, подслушивание телефонных переговоров -- 5%»

Основные способы несанкционированного доступа - лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах банка (компании).

Инициативное сотрудничество - отношение между сотрудничающими сторонами, строящиеся на определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, или просто алчных и жадных, готовых на любые противоправные действия

Склонение к сотрудничеству - как правило, насильственное действие со стороны вербующей стороны, осуществляемое путем подкупа, запугивания, шантажа.

Подслушивание:

- перехват или запись данных, передаваемых по тех. средствам связи.

- несанкционированный

- перехват данных при их передаче.

Выпытывание:

- стремление под видом невинных вопросов получить определенные сведения.

- техника получения информации посредством пытки или подготовленного пыточного воздействия.

Преступные покушения на компьютерные и телекоммуникационные системы:

- совершение преступных действий, направленных на вывод из строя и уничтожение компьютерных и телекоммуникационных систем реализуется по сетям питания, по проводным линиям, по эфиру.

Одной из причин преступных покушений на компьютерные и телекоммуникационные системы является их уязвимость за счет широкого распространения глобальных открытых компьютерных сетей типа Интернет, построенных на основе телекоммуникационных магистралей общего пользования, а также из-за возможности применения средств вычислительной техники с программным обеспечением, позволяющим легко модифицировать, уничтожать или копировать обрабатываемую информацию

Компьютерные преступления:

- любое деяние, влекущее незаконное вмешательство в имущественные права, возникающие в связи с использованием ЭВМ;

- преступления, прямо или косвенно связанные с ЭВМ, включающих в себя незаконные акты, совершаемые либо с помощью системы электронной обработки данных, либо против неё;

- любое преступление, совершенное с помощью специальных знаний компьютерной технологии.

Виды компьютерных преступлений:

Уничтожение (разрушение):

- технических средств;

- носителей информации;

-программного обеспечения;

- информации (файлов, данных);

- паролей и ключевой информации

Подмена (модификация):

-операционных систем;

-систем управления базами данных;

- прикладных программ;

- информации (данных), отрицание факта отправки сообщения;

- паролей и правил доступа.

Кража:

-технических средств;

-носителей информации;

- информации;

- средств доступа.

Нарушение нормальной работы (прерывание):

- скорости обработки информации;

- пропускной способности каналов связи;

- объемов свободной оперативной памяти;

- объемов свободного дискового пространства;

- электропитания технических средств.

Перехват информации:

- за счет побочных электромагнитных излучений от технических средств;

- за счет наводок по линиям электропитания;

- за счет наводок по посторонним проводникам;

- по акустическому каналу при обсуждении вопросов;

- при подключении к каналам передачи информации;

- за счет нарушения установленных правил доступа (взлом).

Причины и условия совершения компьютерных преступлений.

Отсутствие надлежащего контроля за доступом сотрудников банка, не имеющих соответствующих полномочий.

Халатность сотрудников банка при выполнении требований по использованию средств вычислительной техники.

Низкий уровень прикладного программного обеспечения банковских компьютерных сетей, который не имеет контрольной защиты.

Несовершенство парольной системы от несанкционированного доступа к информационным ресурсам банка

Отсутствие должностного лица, отвечающего за режим и безопасность банковской информации, в части защиты её от несанкционированного доступа.

Отсутствие четкой системы доступа по категориям персонала к документации строгой финансовой отчетности.

Вирус-невидимка - вирус, который скрывает созданные им изменения в файле или загрузочных записях.

Вирус-спутник - программа, которая вместо того, чтобы модифицировать какой-либо существующий файл, создает новую программу (совершенно неожиданно для пользователя).

Полиморфный фирус - программа-вредитель, которая продуцирует непохожие друг на друга копии самой себя, полагая, что программы-канеры не смогут обнаружить разновидности этого вируса.

Логическая бомба - заранее внедряемая в информационно-управляющие центры, компьютерные сети, программно-технические средства, которые самостоятельно (в установленный период - пятница 13) или по специальному сигналу приводятся в действия, уничтожая, модифицируя информацию или дезорганизуя их работу

Временная бомба - разновидность логической бомбы, которая срабатывает при достижении определенного момента в установленное время (12.00 12.12.09)

Противодействие компьютерным вирусам.

Наиболее часто для борьбы с компьютерными вирусами применяются антивирусные программы, программы-вакцины (фильтры), противоинфекционные (постоянно контролирующие процессы в системе), реже - аппаратные средства защиты.

Основной способ защиты от вирусов в локальных вычислительных сетях банка является антивирусное программное обеспечение, которое размещается на сетевом сервере. Антивирусный продукт обязан быстро реагировать на новые вирусы, что предполагает регулярное обновление антивирусных баз. В тоже время, хорошему антивирусу необходим набор определенных механизмов.

Эвристический механизм для борьбы с еще не известными программе вирусами. Принцип действия эвристики (в общем) таков: по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. В любом подобном механизме возможны ложные срабатывания; однако процент таких отказов должен быть минимальным, и именно он определяет качество эвристики.

Наиболее часто для борьбы с компьютерными вирусами применяются антивирусные программы, программы-вакцины (фильтры), противоинфекционные (постоянно контролирующие процессы в системе), реже - аппаратные средства защиты.

Стандарт DECT (Digital Enhanced Cordless Telephony - цифровая усовершенствованная система беспроводной телефонии) рассчитан в основном на применение в офисах, учреждениях и производствах, позволяя организовать локальную сотовую сеть и обеспечить пользователей устойчивой цифровой связью.

Система связи на основе стандарта DECT обеспечивает покрытие широкой географической зоны, позволяет осуществлять роуминг и "бесшовную" динамическую передачу вызовов при переходе пользователя из зоны действия одной базовой станции в зону действия другой и представляет пользователю качество связи, не отличающееся от качества связи на фиксированных линиях.

Цифровая передача радиосигналов обеспечивает высокий уровень защиты вызова от прослушивания.

Особенности практики защиты информации и информационных систем в банковской сфере:

- все сотрудники подписывают обязательство о неразглашении сведений в качестве условия приема на работу;

- сотрудникам не разрешается приносить программные средства из дома или других внешних источников, а также выносить магнитные носители;

- обучение сотрудников банка мерам безопасности проводится минимум раз в полгода;

- все пользователи компьютерных систем имеют пароли, составленные методом случайной генерации;

- все случаи нарушения информационной безопасности тщательно расследуются и докладываются руководству банка;

- осуществляется постоянный контроль доступа к информации, со стороны сотрудников банка;

- ежегодные проверки объектов банковской инфраструктуры по защите информации и информационных систем и т.д.

Комплексный подход к обеспечению безопасности информационной системы банка - это создание защищенной среды обработки информации, объединяющей разнородные меры противодействия (правовые, организационные, программно-технические) угрозам и обеспечивающей защиту объекта от нежелательных воздействий.

Мобильные телефоны-источники утечки информации

Оказывается, чем «круче» мобильный телефон, тем больше шпионских функций на нем можно задействовать: визуальное фотографирование, акустический контроль, прослушивание всех входящих и исходящих телефонных разговоров, SMS и электронной почты с последующей архивацией, дистанционное задействование GPS-функций, дистанционное прослушивание разговоров через микрофон телефона, даже если основная батарея вынута.

Данные технологии контроля за мобильными телефонами разрабатывались в рамках борьбы с террористами и криминальными элементами и при производстве простых мобильных телефонов указанные функции были реализованы на аппаратном уровне и активизировались только по специальным запросам, которые были известны соответствующим западным спецслужбам. При развитии технологии мобильной связи с появлением смарт-телефонов и коммуникаторов, соединяющих функции телефона и компьютера, реализация «специальных» или, как их называют, «полицейских» функций легла и на операционные системы, которые используются в мобильных технологиях. Перераспределение специальных функций с аппаратной части на программную привела к тому, что опытные программисты стали ее ловко использовать и создали целый ряд так называемых «spy» (шпионских) телефонов на базе серийно выпускаемых мобильных телефонов известнейших в мире производителей.

Существует компактный портативный прибор для подавления сотовой связи на территориях, где ее использование нежелательно: в конференц-залах, на совещаниях, в учебных аудиториях, в режимных учреждениях, банках. Устройство также эффективно против приборов аудио- и видеонаблюдения, определения местоположения объекта, дистанционного управления, работающих на основе сотовых телефонов.

Подавитель сотовых телефонов.

Устройство для подавления сигналов сотовой связи стилизовано под обычные настольные электронные часы. Оно поможет заблокировать работу аппаратов мобильной связи, приборов незаконной прослушки, видеонаблюдения, исполнительных устройств, которые работают на частотах сотовой связи. Прибор создает узкополосные помехи приемным каналам мобильных телефонов, тем самым блокируя их работу.

6. Безопасность банковских зданий. Специальная защита банковских объектов

Инженерно-техническая защита - совокупность организационных, организационно-технических и технических мероприятий, обеспечивающих защиту персонала банка, материальных и экономических интересов банка и их клиентов от преступных посягательств.

Инженерно-техническая защита применяется для:

- охраны территории и наблюдения за ней;

- охраны зданий, внутренних помещений и наблюдения за ними;

- охраны оборудования, хранилищ и перемещаемых носителей информации;

- контроль доступа в защищаемые зоны, охраняемые помещения и хранилища;

- создание препятствий визуальному наблюдению, подслушиванию и фотографированию;

- исключение возможности перехвата электромагнитных излучений средств связи, информации и ЭВТ и т.д.

В основе разработки системы защиты объекта и организации её функционирования лежит принцип создания последовательных рубежей безопасности, на которых угрозы должны быть своевременно обнаружены. Такие рубежи должны располагаться последовательно, от забора вокруг территории объекта до главного, особо важного помещения, такого, как центральное хранилище.

Инженерно-техническая система охраны банка, ее насыщенность средствами инженерной и технической защиты определяются моделью «нарушителя», категорией и особенностями объекта охраны

Модель «нарушителя» допускает разную степень детализации, но в целом она должна определять:

- категории (типы) нарушителей, которые способны воздействовать на объект;

- цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и проч.;

- типовые сценарии вероятных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе

По уровню подготовки и технической оснащенности "нарушителя" условно можно классифицировать или разделить на следующие типы:

- случайные (не знающие, что объект охраняется и не имеющие специальной цели проникновения на объект);

- неподготовленные (проникающие на объект со специальной целью и предполагающие возможность охраны объекта, но не имеющие информации о структуре и принципах действия системы охраны);

- подготовленные (имеющие информацию о возможных методах обхода технических средств охраны и прошедшие соответствующую подготовку);

- обладающие специальной подготовкой и оснащенные специальными средствами обхода;

- сотрудники банка (последние два типа нарушителей можно объединить термином "квалифицированный")

Техническая укрепленность банка - это состояние охраняемой территории, здания, помещений, обеспечивающее необходимое противодействие несанкционированному проникновению в охраняемую зону, взлому и другим преступным посягательствам, которое достигается проведением совокупности инженерных и технических мероприятий.

В целях повышения надежности охраны, пропускного режима и технической укрепленности учреждений банка применяются инженерные и технические средства охраны.

К инженерным средствам охраны относятся:

- ограждения различного типа;

- инженерное оборудование постов охраны и постов караульных собак;

- металлические и бронированные двери, ворота, калитки, решетки;

- защитное остекление;

- металлические шторы, барьеры;

- механические, электромеханические и электронные запоры кладовых ценностей и других помещений;

- охранное освещение;

- средства механизации и автоматизации КПП по пропуску людей и транспорта;

- оборудование постов с пропускными функциями в задании учреждения банка, а т. ж. другие защитные конструкции и т.д.

К техническим средствам охраны относятся:

- средства охранной сигнализации;

- пожарной сигнализации;

- охранно-пожарной сигнализации;

- тревожной сигнализации;

- средства электропитания технических средств охраны;

- средства постовой и оперативной связи;

- кабельные сети, шлейфы, коммутационные приборы;

- другие технические и электронные средства.

Аппаратура охранной, охранно-пожарной и тревожной сигнализации, телевизионные системы охраны и наблюдения, системы контроля управления доступом могут быть объединены в единый комплекс технических средств охраны учреждения банка.

Вывод информации с составных частей комплекса технических средств охраны осуществляется на центральный пункт управления или отдельные пульты управления систем .

Для своевременного обнаружения нарушителя в охраняемом учреждении банка создаются рубежи сигнализации.

Под рубежом сигнализации понимается совокупность технических средств охраны, позволяющих выдать адресное извещение о проникновении на отдельные номера пультов центрального наблюдения или приемно-контрольных приборов, размещенных в пунктах централизованной охраны.

Первый рубеж - защита строительных конструкций периметров помещений, оконные и дверные проемы, люки, вентиляционные каналы, тепловые вводы, тонкостенные перегородки и другие элементы помещений, доступные для проникновения с внешней стороны, в т.ч. и тех из них, которые оборудованы стальными решетками

Второй рубеж - с помощью специальных приборов охранной сигнализации защищаются помещения внутри здания

Третий рубеж - перекрывает охраняемые хранилища внутри помещений, средства и материальные ценности.

При наличии в охраняемых помещениях нескольких рубежей сигнализации каждый из них создается из вещателями, работающими на различных физических принципах

Извещатель - устройство для формирования извещения о тревоге при отклонении контролируемого параметра от допустимой нормы или для инициирования сигнала тревоги потребителем

Извещатели:

- магнитно-контактные;

- пассивные инфракрасные;

- акустические;

- ультразвуковые;

- комбинированные;

- прочие.

Извещатель ультразвуковой - охранное устройство, используемое для создания локальных зон обнаружения или блокирования небольших помещений объемом до 6 кубических метров, принцип действия которого основан на обработке поступающих сигналов от датчика

Охранные системы:

- с микроволновыми датчиками (прерывание излучения);

- с высокочастотными датчиками (изменение электромагнитного поля при перемещении);

- с электрическими переключателями (натяжение проволочных элементов, нагрузка на направляющие);

- с электрическими проволочными петлями (пере- резание или деформация проволочных элементов);

- с микроволновыми датчиками.

К телевизионным системам охраны и наблюдения относятся:

- видео-, телекамеры;

- мониторы, системные блоки;

- цифровые видеомагнитофоны;

- видеонакопители;

- видеорегистраторы (цифровые видеорегистраторы длительного времени со встроенным мультиплексором);

- видеосерверы;

- кабельные сети, шлейфы, коммутационные приборы;

- компьютерная сеть, источники бесперебойного питания;

- инфракрасные осветители (излучатели) и др. устройства;

- программное обеспечение.

Телевизионная система охраны и наблюдения предназначена для обеспечения круглосуточного наблюдения и постоянной автоматической записи и видеорегистрации событий, происходящих в поле зрения телекамер.

Указанная система обеспечивает автоматическое приоритетное отображение на мониторах зоны, откуда поступают сигналы тревоги или о срабатывании датчика обнаружения (извещателя), а также запись ситуации на видеорегистратор с указанием времени, даты и номера камеры на каждом изображении.

Устанавливать телекамеры в местах хранения и операций с ценностями категорически запрещается!

К средствам контроля доступа относятся:

- программное обеспечение;

- контроллеры (запоминать, обрабатывать и хранить);

- система учета рабочего времени «Таймекс»;

- считыватели карт доступа;

- пропуска-идентификаторы (карты или брелоки)

- шлюзы;

- турникеты, автоматические ворота, шлагбаумы;

- компьютерная сеть, источники бесперебойного питания;

- металлодетекторы, гамма детекторы, детектор взрывчатых веществ;

- специальные датчики присутствия, инфракрасные барьеры, весовые системы и т.д.

Система контроля доступа должна обеспечивать идентификацию личности по различным признакам (электронной карте-пропуску, личному коду, электронным системам допуска типа «рука-ключ» и т.п.)

Указанная система должна обеспечивать проход через центральный КПП, входы в помещения кассового узла, тамбур-шлюзы, лифт-холлы, а т.ж. через турникеты (кабины) в два этапа: первый - вход в турникет (кабину), второй - выход из турникета (кабины)

Система контроля доступа должна иметь аварийную разблокировку всех турникетов (кабин) с поста охраны или дежурной смены службы безопасности учреждения банка.

Пропуск сотрудников учреждения банка через пункты контроля доступа осуществляется:

- в помещение первой зоны доступа - по одному признаку идентификации (например - электронная карта);

- в помещение второй зоны доступа - по двум признакам (электронная карта и код);

- в помещение третьей зоны доступа - не менее чем по двум признакам идентификации

Существует несколько видов охраны, в том числе:

- охрана с помощью технических средств - с подключением на пульте централизованного наблюдения и с установкой автоматической сигнализации;

- охрана путем выставления постов (силами отдела охраны или милиции);

- комбинированная охрана.

Зона безопасности объекта - пространство (территория), в пределах которого действуют внутренние положения, установленные режимом работы объекта, и выполняются целевые задачи, поставленные перед системой охраны

Зоны безопасности:

- периметр;

- вход-выход ( для персонала и клиентов должны быть раздельные входы плюс отдельно запасный выход для экстренной эвакуации персонала) Также желательно иметь специальный вход (въезд) для инкассаторской машины;

- операционно-кассовый зал (зона клиентов, операционная зона);

- зона руководства (дирекции);

- зона инкассации;

- хранилище ценностей.

Определение зон безопасности требует их категорирования и определение уязвимости по порядковой шкале оценок (высокая, средняя и низкая). Для оценки показателей уязвимости используются методы математического моделирования (специальные модели и методики).

7. Безопасность ведения делопроизводства

Одним из направлений защиты информации является четкая организация системы делопроизводства и документооборота.

Основные составные части делопроизводства:

- документирование информации;

- учет документов;

- организация документооборота;

- обеспечение надежного хранения документов;

- своевременное их уничтожение;

- систематическая проверка их наличия;

- контроль своевременности и правильности их исполнения

Документ - документированная информация, снабженная реквизитами и другими сведениями об её источнике

Документ - это материальный носитель зафиксированной информации (бумага, кино-, фотопленка, магнитная лента, лазерный диск), предназначенной для её передачи во времени и пространстве, при этом, документы могут содержать тексты, изображения, звуки и т.д.

Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначных документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

Документирование - процесс записи (фиксации) и оформления документов, документальному подтверждению (обоснованию) чего-либо, отражению какого-либо факта, события, явления в документах

Документ поддельный - фальшивый документ, изготовленный с соблюдением установленной формы, либо подлинный документ, но с частично измененными реквизитами (частичная подделка).

Основные признаки подделки документов:

- Несоответствие формы, цвета бланка и его реквизитов.

- Противоречивость содержания, орфографические ошибки, нестандартный шрифт и т.д.

- Следы подчистки - механическое удаление букв, слов, штрихов и т.д.

- Травление текста документа - обесцвечивание химическими реактивами.

- Следы смывания - удаление штрихов растворителями

- Следы дописки или внесения записей на месте удаленного текста.

- Изменение композиции - вклейка цифр, переклейка фотографии и т.д.

- Подделка методами рисования и черчения.

Рекомендации

Практически любой проверяемый документ может быть поддельным.

Знать основные способы подделки реквизитов, подписей, печатей и т.д.

Изучая документ, следует внимательно следить за наличием вышеуказанных признаков.

В случае обнаружения поддельного документа принять меры для сбора и фиксации доказательств.

Доклад непосредственному начальнику, в службу безопасности.

Доступ - право на ознакомление с конкретными сведениями, составляющими государственную, коммерческую или банковскую тайну, и документами с соответствующим грифом, реализуемое в соответствии с разрешительной системой

Доступность информации - критерий оценки информационно-технологической безопасности, предполагающий, что доступ к информации и к другим информационно-технологическим ресурсам со стороны пользователей, имеющих на это надлежащие полномочия, обеспечивается по мере возникновения необходимости

Разглашение конфиденциальной информации через документы возможно:

- при сообщении, оглашении (переписка, печать, переговоры и т.д.);

- при пересылке документов;

- при опубликовании документов, материалов;

- при утере, утрате документов;

- при бесконтрольном оставлении документов;

- при бесконтрольной разработке документов;

- при бесконтрольном документообороте;

- при бесконтрольном хранении и уничтожении документов;

- при бесконтрольном приеме поступающей документации.

Основные принципы управления защитой конфиденциальной информации:

- максимальное ограничение числа лиц допущенных к конфиденциальной информации;

- контроль и персональная ответственность каждого за сохранность информации;

- доведение информации до должностных лиц и исполнителей только в части их касающейся

Допуск сотрудников банка к сведениям, составляющим коммерческую тайну, осуществляется руководителем банка, его заместителями по направлениям работы, руководителями структурных подразделений

К сведениям, составляющих коммерческую тайну, допускаются лица, способные хранить коммерческую тайну, и только после оформления в службе безопасности индивидуального письменного обязательства по сохранению коммерческой тайны

Руководители подразделений и службы безопасности ответственны за подбор лиц, допускаемых к сведениям с грифом «КТ», обязаны обеспечить систематический контроль за тем, чтобы к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих функциональных обязанностей

Коммерческая тайна - конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране её конфиденциальности

План мероприятий по защите коммерческих секретов.

Определение целей плана по защите коммерческой тайны:

- предотвращение краж коммерческих секретов;

- предотвращение разглашения коммерческих секретов;

- предотвращение утечки коммерческих секретов через технические каналы

Анализ сведений, составляющих коммерческую тайну:

- определить, какие сведения являются коммерческой тайной;

- установить места их накопления и хранения;

- выявить каналы утечки сведений;

- возможности по перекрытию этих каналов;

- назначить сотрудников по обеспечению безопасности и сохранению коммерческой тайны

Обеспечение деятельности по защите коммерческой тайны:

- контроль;

- работа с персоналом банка;

- организация работы с конфиденциальными документами;

- организация работы с конфиденциальной информацией;

- защита в организационно-правовых документах (контракты, договора и т.д.)

Банковская тайно - сведения связанные с банковской деятельностью, несанкционированное разглашение которых может нанести банку, предприятию или стране в целом экономический ущерб; обязанность банковских работников в интересах клиентов не разглашать сведений о состоянии их счетов и осуществляемых ими операциях.

Объект:

- Банковский счет, вклад.

- Операции по счетам.

- Сведения о клиенте.

- Система банковских связей.

Обладатели:

- Только клиенты и их представители.

Условия получения сведений:

- Госорганы и их должностные лица, исключительно в порядке, предусмотренном законом: - суды, арбитражные суды, следственные органы - по делам, находящимся в судопроизводстве; - налоговые органы - только по вопросам налогообложения.

Заключение

Для обеспечения эффективной деятельности подразделения безопасности должны быть решены следующие задачи: подбор высококвалифицированных специалистов по безопасности; четкое распределение функциональных обязанностей сотрудников подразделения безопасности с учетом их индивидуальных особенностей и профессиональных интересов; обеспечение взаимозаменяемости сотрудников по их должностным обязанностям; создание условий для удовлетворения творческой потребности и профессионального роста специалистов; обеспечение организованности, четкости, исполнительности сотрудников подразделения безопасности; единство сотрудников подразделения безопасности как коллектива, способного решать сложные, нестандартные задачи; ориентация сотрудников подразделения - безопасности на восприятие коммерческой психологии, рыночных отношений, духа сопричастности и заинтересованности в успешной деятельности кредитной организации; возможность оптимального материального воздействия на сотрудников со стороны руководителя подразделения безопасности; постоянное повышение квалификации сотрудников подразделений безопасности.

Список литературы

1. Ларичев В. Преступления, совершаемые в сфере банковского кредитования//Деньги и кредит, 1998 г., №4, с.70-72.

2. Калинин А. Отмывание и утечка капиталов // Защита и безопасность. 2001 г., № 2, с.8-11.

3. Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, 2002 г., № 5 с.54-59.

4. Ефимов П. Концепция обеспечения безопасности информационных технологий. // Банковское дело. 1995 г. - № 7, с. 16-25.

5. http://www.1c-esk.ru/about/docs-std/docs-1-11.html

6. http://www.bos.dn.ua/view_article.php?id_article=201

7. http://www.itsec.ru/articles2/tema/bank_bezopasn_sovremen_situac

Размещено на Allbest.ru