В. Ярочкин
Концепция безопасности банка должна служить методологической основой обеспечения безопасности банка. Кроме общих положений, целей и задач, принципов организации и функционирования системы безопасности, обзора объектов защиты этот документ должен включать описание основных угроз интересам банка, а также правовые, инженерно-технические и организационные аспекты безопасности. ОСНОВНЫЕ ВИДЫ УГРОЗ ИНТЕРЕСАМ БАНКА
Ухудшение состояния криминогенной обстановки в стране и мире, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг банков в ближайшем будущем сохранится. Определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:
— нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
— невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
— снижение моральной, психологической и производственной ответственности граждан. На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности. В общем плане к угрозам безопасности личности относятся: — похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
— убийства, сопровождаемые насилием, издевательствами и пытками;
— информационно-психологическое воздействие;
— психологический террор, угрозы, запугивание, шантаж, вымогательство;
— нападение с целью завладения денежными средствами, ценностями и документами. Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде: — взрывов;
— обстрелов из огнестрельного оружия;
— минирования, в том числе с применением дистанционного управления;
— поджогов;
— нападения, вторжения, захватов, пикетирования, блокирования;
— повреждения банкоматов, входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных;
— аварий, пожаров. Цель подобных акций: — нанесение серьезного морального, финансового и материального ущерба;
— срыв на длительное время нормального функционирования;
— вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т. п.) перед лицом террористической угрозы.
Угрозы финансовым ресурсам проявляются в виде:
— невозврата кредитных ссуд;
— мошенничества со счетами;
— подложных платежных документов и пластиковых карт;
— хищения финансовых средств из касс, банкоматов и инкассаторских машин.
Угрозы информационным ресурсам проявляются в виде:
— разглашения конфиденциальной информации;
— утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
— несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований. Осуществление угроз информационным ресурсам может быть произведено: — путем неофициального доступа и съема конфиденциальной информации;
— путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью;
— путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
— путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
— через переговорные процессы между иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
— через отдельных сотрудников банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную заинтересованность.
На рис.1 приведена общая классификация угроз по основным показателям.
ПРАВОВЫЕ ОСНОВЫ БЕЗОПАСНОСТИ
Правовые основы безопасности банка определяют соответствующие положения Конституции Российской Федерации, Законы «О безопасности», «О банках и банковской деятельности», «О коммерческой деятельности» и другие нормативные акты.
Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и деловой репутации призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство
Обеспечение информационной безопасности регулируется Законами Российской Федерации «О государственной тайне», «Об информации, информатизации и защите информации». Важное значение в этом деле имеют указы президента Российской Федерации «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам» от 08.05.93 г.
№644; «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.95 г. №334; «О создании Государственной технической комиссии при президенте Российской Федерации» от 05.01.92 г. №9. При практическом решении задач обеспечения безопасности банка необходимо опираться также на следующие правовые нормативные акты: — Постановление правительства РФ от 05.12.91 г. №35 «О перечне сведений, которые не могут составлять коммерческую тайну»;
— «Положение о сертификации средств защиты информации», утвержденное постановлением правительства Российской Федерации от 26.06.95 г. №608 «О сертификации средств защиты информации и системе лицензирования»;
— Указ президента РФ №188 от 3.06.1997 г. «О конфиденциальной информации»;
— «Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам», утвержденное постановлением правительства РФ от 15.09.93 г.
№912—51;
— «Положение о государственном лицензировании деятельности в области защиты информации», утвержденное совместным решением Гостехкомиссии и ФАПСИ при президенте Российской Федерации от 27.04.94 г. №10.
Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противодействие противоправным посягательствам на предпринимательскую деятельность в различных ее сферах.
Успешное и эффективное решение задач обеспечения безопасности конкретного банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого банка и заканчивая функциональными обязанностями каждого сотрудника.
Мнение эксперта
По состоянию на февраль 2008 года законодательные базы Украины и Российской Федерации в области правовых основ банковской безопасности по своей сути не очень отличаются. Ведь правовые модели наших государств одинаковы. Отличия только в частностях. Так, например, в Украине до сих пор не приняты Законы «Об оружии» и «О частной детективной и охранной деятельности», которые по своей сути являются основополагающим фундаментом для негосударственных охранных фирм. Поэтому в направлении вооруженной защищенности и оперативно-розыскной деятельности наши фирмы отстали, и развивать эту тему до тех пор, пока не будут приняты эти законы, считаю нецелесообразным.
По мнению коллег, работающих в этом направлении, преимущество национального законодательства заключается в том, что оно не так формализовано и зарегулировано, как это сделано у наших соседей. Так, например, Законом Украины «О банках и банковской деятельности» закреплен исчерпывающий перечень информации, на которую распространяется понятие банковской тайны и закреплен порядок ее раскрытия. Это также нашло отражение в Гражданском кодексе Украины, были внесены соответствующие правки в Уголовно-процессуальный кодекс.
Мы в своих действиях опираемся на принцип — что не запрещено или не описано в законах и подзаконных актах, то можно. И это позволяет нам достичь большего при наименьших затратах.
Игорь Сметанюк,
начальник отдела экономической безопасности
Акционерного банка «Південний»
(г. Одесса)
ОРГАНИЗАЦИОННЫЕ ОСНОВЫ БЕЗОПАСНОСТИ
Организационной основой обеспечения безопасности является система безопасности банка.
Служба безопасности банка является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю банка. Возглавляет службу безопасности начальник службы в должности заместителя руководителя банка по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
— подразделения режима и охраны;
— подразделения обработки сведений конфиденциального характера (государственной, банковской и коммерческой тайн);
— подразделения по обеспечению работы с кадрами, допущенными к конфиденциальной информации;
— подразделения инженерно-технической защиты;
— подразделения информационно-аналитической деятельности.
Основными задачами службы безопасности являются:
— обеспечение безопасности кредитно-финансовой деятельности и защиты конфиденциальной информации;
— организация работы по правовой, организационной и инженерно-технической защите объектов безопасности;
— организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся банковской и коммерческой тайной;
— предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим банковские и коммерческие секреты;
— выявление и локализация возможных каналов утечки конфиденциальной информации;
— обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания;
— обеспечение охраны зданий, помещений, оборудования и технических средств различного назначения;
— обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
— оценка валютно-финансовых ситуаций и неправомерных действий злоумышленников и конкурентов.
В своей деятельности служба безопасности банка руководствуется:
— Положением о службе безопасности;
— Инструкцией по организации режима и охраны,
— Инструкцией по защите банковской и коммерческой тайны;
— Перечнем сведений, составляющих банковскую и коммерческую тайну;
— Инструкцией по работе с конфиденциальной информацией для руководителя, специалистов и технического персонала;
— Инструкцией по инженерно-технической безопасности и защите информации;
— Инструкцией о порядке работы с иностранными представителями и представительствами.
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право банка на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности, целесообразно выделить следующие основные направления деятельности по обеспечению безопасности:
— информационно-аналитические исследования и прогнозные оценки безопасности;
— безопасность персонала;
— сохранность и физическая защита материальных и финансовых средств и объектов;
— безопасность информационных ресурсов.
ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ ОСНОВЫ БЕЗОПАСНОСТИ
К основным направлениям инженерно-технической безопасности правомерно отнести использование различных технических средств и систем, обеспечивающих безопасность банка, в том числе:
— аппаратные средства обеспечения безопасности;
— программные средства защиты информации в технических средствах обработки;
— математические способы защиты информации от различных угроз и несанкционированных действий.
На практике все мероприятия по использованию технических средств подразделяются на три группы:
— организационные;
— организационно-технические;
— технические.
Классификация инженерно-технической защиты по характеру защитных мероприятий приведена на рис. 2.
