автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и метод формирования комплексной системы банковской безопасности

кандидата технических наук
Семенов, Вениамин Александрович
город
Санкт-Петербург
год
2008
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Модель и метод формирования комплексной системы банковской безопасности»

Автореферат диссертации по теме "Модель и метод формирования комплексной системы банковской безопасности"

На правах рукописи

Семенов Вениамин Александрович

МОДЕЛЬ И МЕТОД ФОРМИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ БАНКОВСКОЙ БЕЗОПАСНОСТИ

05.13.19 - Информационная безопасность, методы и средства защиты

информации

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2008 год

003455919

Работа выполнена в Санкт-Петербургском Государственном университете информационных технологий, механики и оптики на кафедре "Проектирования компьютерных систем"

Научный руководитель: доктор технических наук, профессор

Коробейников Анатолий Григорьевич

Официальные оппоненты доктор технических наук, профессор

Осовецкий Леонид Георгиевич

кандидат технических наук, доцент Суханов Андрей Вячеславович

Ведущее предприятие Санкт-Петербургский государственный

инженерно-экономический университет

Защита диссертации состоится 9 декабря 2008 г. в 1550 на заседании диссертационного совета Д.212.227.05 в Санкт-Петербургском государственном университете информационных технологий, механики и оптики

Адрес: 197101, г. Санкт-Петербург, Кронверкский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского государственного университета информационных технологий, механики и оптики.

Автореферат разослан 6 ноября 2008 г.

Учёный секретарь диссертационного совета Д.212.227.05 к.т.н., доцент

_В.И.Поляков

Общая характеристика работы

АКТУАЛЬНОСТЬ ТЕМЫ ИССЛЕДОВАНИЯ

На протяжении почти всего времени существования советской банковской системы отечественные банки не ощущали в своей деятельности никакого риска, поскольку как сами банки, так и предприятия, с которыми они работали, были государственной собственностью, а государственные правоохранительные органы надежно обеспечивали антикриминологическую систему банков, достаточно эффективно предупреждали, пресекали и расследовали экономические и финансовые преступления.

Достижение целей безопасности в банковской сфере сопряжено со значительными материальными затратами и в условиях ограниченности ресурсов возможно только путем научно-обоснованной разработки и осуществления комплекса взаимоувязанных организационно-технических мер. Их сложность и многоаспектность, недопустимость действий методом "проб и ошибок" обусловили необходимость научной проработки комплексного, системного подхода к обеспечению безопасности на уровне отдельно взятой кредитной организации.

Высокая значимость проблемы обеспечения безопасности кредитных организаций как для банковской сферы, так и для экономики страны в целом и недостаточный уровень её теоретической разработки, прежде всего, с точки зрения комплексного подхода обусловили актуальность темы диссертационного исследования.

ЦЕЛЬ РАБОТЫ. Целью диссертационной работы является разработка модели и метода формирования комплексной системы банковской безопасности.

Поставленная цель исследования обусловливает необходимость решения следующих основных задач:

1. Провести анализ состояния задачи обеспечения безопасности банковских информационных ресурсов.

2. Провести анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.

3. Разработать классификацию угроз безопасности объектов информационных ресурсов кредитной организации.

4. Разработать метод построения комплексной системы обеспечения безопасности информационных ресурсов кредитной организации.

В соответствии с целями и задачами диссертационного исследования

определены его предмет и объект.

ПРЕДМЕТОМ ИССЛЕДОВАНИЯ диссертационной работы является комплекс вопросов, организационно-правовых отношений, связанных с осуществлением мероприятий по обеспечению банковской безопасности информационных ресурсов.

/

X

п

ОБЪЕКТОМ ИССЛЕДОВАНИЯ является организации системы обеспечения безопасности информационных ресурсов кредитной организации Санкт-Петербурга.

МЕТОДОЛОГИЧЕСКОЙ ОСНОВОЙ ИСЛЕДОВАНИЯ являются труды ученых, таких как А.П. Курило, Н.А.Савинская, Л.Г. Осовецкий, Н.М. Калугин и других специалистов по проблемам национальной, экономической и информационной безопасности, денежно-кредитным отношениям, банкам, а также законодательные акты Российской Федерации, нормативные документы Банка России, опыт организации работы по обеспечению безопасности банковских учреждений Санкт-Петербурга.

НАУЧНАЯ НОВИЗНА ИССЛЕДОВАНИЯ определяется:

1. Введением понятия безопасности информационных ресурсов кредитной организации и его содержанием, исходя из анализа (исследования) объектов, подлежащих защите от внешних и внутренних угроз.

2. Разработкой классификации угроз безопасности объектов информационных ресурсов кредитной организации. Анализом соотношения понятий угрозы и риска.

3. Разработкой математической модели обобщенного критерия целесообразности частичного комплекса мероприятий по защите информации.

ПРАКТИЧЕСКАЯ ЦЕННОСТЬ работы состоит в том, что сформулированные понятия, а также сделанные выводы и рекомендации могут быть непосредственно использованы кредитными организациями для формирования системы обеспечения их комплексной безопасности.

Материалы диссертации применены при разработке методических материалов для учебного процесса в вузах соответствующего профиля, а также часть полученных результатов использована банковскими учреждениями Санкт-Петербурга.

ПУБЛИКАЦИИ. По материалам диссертации опубликовано четыре печатные работы, в том числе входящие в список рекомендованных ВАК для защиты кандидатских диссертаций.

АПРОБАЦИЯ РАБОТЫ. Основные положения диссертации докладывались на научно-практических конференциях Санкт-Петербургского государственного университета информационных технологий, механики и оптики, Санкт-Петербургского государственного инженерно-экономического университета.

Отдельные теоретические и практические положения работы используются в учебном процессе кафедр:"Проектирования компьютерных систем" СПб ГУ ИТМО; «Финансы и банковское дело» СПбГИЭУ, а также Санкт-Петербургской банковской школы.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ВЫНОСИМЫЕ НА ЗАЩИТУ.

I. Теоретические и организационно-методические основы создания комплексной системы обеспечения безопасности информационных ресурсов кредитной организации (основные цели и задачи комплексной системы, принципы её построения, функционирования и управления).

2. Принципы организации работ подразделения безопасности кредитной организации, его функции и задачи, направления взаимодействия с другими подразделениями банковского учреждения при решении задач по обеспечению банковской безопасности информационных ресурсов. Формулировка основных направлений систехмного подхода к вопросам банковской безопасности информационных ресурсов.

3. Методы организации работы подразделений кредитной организации по борьбе с мошенничеством в сфере банковского кредитования; противодействию легализации (отмыванию) доходов, полученных преступным путем; обеспечению безопасности информационных ресурсов банковского учреждения (платежных и информационных технологий, конфиденциальной банковской информации); осуществлению информационно-аналитической работы и другим направлениям обеспечения банковской безопасности.

СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ.

Диссертация состоит из ведения, трех глав, заключения и списка литературы. Материал изложен на 152 страницах машинописного текста, содержит 17 рисунков, список литературы состоит из 60 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ.

Во введении обосновывается актуальность темы диссертационного исследования, определяется степень разработанности проблемы, формулируются цель и задачи исследования, излагаются положения, выносимые на защиту и элементы научной новизны.

В первой главе обоснован системный подход к обеспечению безопасности информационных ресурсов кредитной организации и разработаны методические основы организации работы ее подразделения безопасности, а также информационно-аналитической работы этого подразделения.

По своей сути банковское дело связано не только с такими традиционными банковскими рисками как кредитный, валютный, ликвидности, но и с рисками криминального характера, называемыми угрозами. Они представляют собой уголовно-наказуемые и иные противоправные деяния, посягающие на интересы кредитной организации или порядок её функционирования. Принятие мер по минимизации угроз требует применения специальных методов и средств, выходящих за пределы обычной банковской деятельности.

В настоящее время структура и динамика банковских преступлений претерпела серьезные изменения в плане повышения их организованности, профессионализма и интеллектуального уровня, широкого использования в криминальной деятельности методов информационного и технического обеспечения. Это требует пересмотра подходов к обеспечению безопасности многогранной банковской деятельности за счет комплексного, системного подхода к решению правовых, организационных, технических, кадровых и иных вопросов на уровне отдельно взятой кредитной организации. Сложность решения этой проблемы заключается в том, что основную работу по организации защиты от применения угроз законодательно возложена на сами банковские учреждения.

Крайне нежелательным является копирование зарубежных решений в сфере обеспечения банковской безопасности без их адаптации к специфике деятельности российских кредитных организаций и криминогенной обстановке в банковской сфере.

Под безопасностью кредитной организации понимается состояние защищенности интересов её владельцев, руководства, персонала и клиентов, материальных ценностей и информационных ресурсов от внутренних и внешних угроз, т.е. умение и способность банковского учреждения надёжно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб его законным интересам.

Решение этой задачи достигается путем создания комплексной системы безопасности кредитной организации, основанной на взаимосвязи правовых, организационно-управленческих, специальных, социально-технических, режимных, технических, профилактических и пропагандистских мер, направленных на качественную реализацию защиты банковского учреждения от внешних и внутренних угроз. Главным принципом создания такой системы является обеспечение заданного уровня безопасности кредитной организации при минимальной стоимости осуществляемых для этой цели организационно-технических мероприятий и используемых средств защиты.

Комплексная система безопасности кредитной организации включает в

себя:

1. Разработку стратегии и тактики обеспечения безопасности.

2. Определение и классификацию конкретных целей и задач обеспечения безопасности.

3. Разработку и осуществление комплекса основных мер, направленных на достижение указанных целей и задач.

4. Разработку предложений по совершенствованию принимаемых мер по обеспечению безопасности.

Основные требования к данной комплексной системе заключаются в следующем:

1. Она должна обладать свойствами динамичной, постоянно адаптирующейся и совершенствующейся системы.

2. Её цели и структура, силы и средства, направления, формы и методы деятельности должны изменяться в соответствии с изменениями внутренней и внешней обстановки, обеспечивая при этом состояние необходимой защищенности.

Основными объектами, подлежащими защите от потенциальных угроз и противоправных посягательств являются:

1. Инфраструктура - это совокупность элементов имущественного, правового, организационного характера, обеспечивающих порядок стабильного функционирования кредитной организации.

2. Информационные ресурсы - массивы информации, используемые кредитной организацией для выбора эффективных управленческих решений, освоения новых технологий и рынков, а также для принятия мер управленческого характера в неблагоприятных условиях.

б

3. Информационно кадровые ресурсы - это действующие сотрудники кредитной организации. Данные объекты имеют различный потенциальный уровень уязвимости, с точки зрения возможного материального и морального ущерба.

Исходя из классической классификации объектов защиты: человек - информация - материальные ценности, основной приоритет должен отдаваться обеспечению безопасности персонала кредитной организации.

Принципиально важным условием для эффективного функционирования комплексной системы обеспечения безопасности кредитной организации является активное участие в мероприятиях по защите банковской структуры не только профессиональных специалистов подразделения безопасности, но и всего банковского персонала. Именно организация тесного взаимодействия между подразделением безопасности и другими подразделениями кредитной организации является залогом успешного противодействия внешним и внутренним угрозам.

Главные цели комплексной системы обеспечения безопасности кредитной организации заключаются в следующем:

1. Обеспечение устойчивости функционирования кредитной организации.

2. Предотвращение внешних и внутренних угроз безопасности кредитной организации.

3. Защита законных интересов кредитной организации от противоправных посягательств.

4. Охрана жизни и здоровья банковского персонала.

5. Недопущение хищения финансовых и материально - технических средств.

6. Недопущение уничтожения имущества и ценностей

7. Недопущение разглашения информации, составляющей банковскую или коммерческую тайну.

8. Недопущение утраты, утечки, искажения и уничтожения служебной банковской информации в процессе её обработки, хранения и передачи с использованием средств автоматизации.

9. Недопущение нарушения работы средств информатизации и других технических средств обеспечения банковской деятельности.

Ю.Повышение имиджа кредитной организации.

11.Повышение роста прибыли кредитной организации за счет обеспечения гарантий безопасности имущественных прав и интересов клиентов. Из многогранности главных целей комплексной системы обеспечения безопасности кредитной организации вытекает множество различных задач, которые необходимо решать подразделению безопасности во взаимодействии с другими подразделениями банковского учреждения.

Важнейшая роль в создании комплексной системы должна отводиться работе по выявлению, анализу и прогнозированию потенциальных угроз кредитной организации, учёту объективных существующих внешних и внутренних условий, влияющих на состояние безопасности. Её результаты должны использоваться для обоснования, выбора и реализации защитных мероприятий, адекватных угрозе безопасности кредитной организации.

Главным критерием оценки эффективности и качества работы по указанным направлениям является стабильное финансовое и экономическое развитие кредитной организации.

Структура не может быть универсальной на все время функционирования кредитной организации, а должна видоизменяться в зависимости от складывающейся на конкретный период обстановки и конкретно решаемых задач.

Для решения задач, стоящих перед подразделением безопасности она должна осуществлять ряд функций, главными из которых являются:

1. Административно-распорядительная функция, которая заключается в создании и поддержании системы безопасности, определении полномочий, прав, обязанностей и ответственности должностных лиц в решении этих вопросов.

2. Учетно-контрольная функция, которая предполагает выделение возможных направлений деятельности банковского учреждения и организацию своевременного выявления угроз финансовой стабильности и устойчивости кредитной организации, оценку их источников, налаживание контроля за критическими ситуациями, ведение учета факторов, негативно влияющих на кредитную организацию, накопление необходимой информации.

3. Информационно-аналитическая функция, которая воплощается в целенаправленном сборе, накоплении и обработке информации, относящейся к сфере безопасности.

Принципиально важным в деятельности подразделения безопасности является организация его четкого взаимодействия с другими структурными подразделениями кредитной организации, задействованными в осуществлении мероприятий по обеспечению безопасности. Оно должно определятся организационно - распорядительными документами по вопросам этих отношений.

Надежное обеспечение многогранной деятельности кредитной организации возможно только за счет создания комплексной системы безопасности, предусматривающей использование на принципах разумной достаточности всех имеющихся сил и средств с целью выявления и предотвращения реальных внешних и внутренних угроз.

Основные принципы функционирования информационно-аналитического звена подразделения безопасности кредитной организации должны заключаться в следующем:

1. Оперативность и непрерывность процесса накопления, систематизация и обработка информации, постоянная структуризация и актуализация информационных массивов.

2. Максимальная отлаженность координации и взаимодействия с теми структурными подразделениями кредитной организации, которые являются регулярными потребителями информационного продукта.

3. Экономическая обоснованность в организации информационной работы.

4. Профессионализм сотрудников информационного звена.

При организации информационно-аналитической работы необходимо избегать «информационной избыточности», то есть сбора той информации, которая не нужна для принятия решений при проведении мероприятий по обеспечению безопасности кредитной организации.

Во второй главе определены принципы организации борьбы с преступлениями в информационных ресурсах банковского кредитования и противодействия легализации доходов, полученных преступным путем.

Проблема защиты банковских интересов от преступных посягательств со стороны недобросовестных заемщиков является одной из наиболее острых. Опыт работы кредитных организаций показывает, что немалое количество противоправных посягательств на их кредитные ресурсы могли бы предотвратить сами банковские работники при соответствующей проверке потенциальных ссудозаемщиков и правильной организации этой работы. Однако в большинстве случаев роль подразделений безопасности в этом процессе сведена к минимуму и их потенциал используется не в полной мере. В некоторых банковских структурах сотрудники подразделений безопасности в полной мере проверяют лишь недобросовестных клиентов или рискованные сделки. Зачастую они привлекаются лишь в тех случаях, если возникла необходимость установить личность клиента, его платежеспособность, надежность.

К компетенции подразделения безопасности должны быть отнесены вопросы по установлению репутации клиента с позшдии возможного противоправного поведения и другие. В общих чертах это:

1. Технико-криминалистический анализ учредительных и иных документов с целью выявления подделок.

2. Проверка факта действительности существования клиента, его репутации.

3. Проверка наличия имущества, предоставленного в залог.

4. Организация работы по погашению просроченных ссуд.

5. Подготовка и направление документов в правоохранительные органы, если из материалов усматриваются признаки преступления.

Эти банковские подразделения должны работать в тесном контакте, помогать и консультировать друг друга. Такая совместная работа должна начинаться уже в момент переговоров с потенциальным клиентом. В ходе переговоров каждый сотрудник выясняет сведения о будущем заемщике исходя из своих функциональных обязанностей.

Предложенный вариант переговоров с потенциальным ссудозаемщиком принципиально отличается от существующего в практике многих кредитных организаций. Эти переговоры в подавляющем большинстве ведет кредитный инспектор. Участие же в них юристов и сотрудников подразделения безопасности дает возможность выяснить специфические для них вопросы, обратить внимание на те или иные моменты, предусмотреть возможные меры воздействия к клиентам, вовремя не возвратившим ссуды.

Важное значение в работе кредитной организации и, прежде всего, кредитного подразделения, а также подразделения безопасности должно быть уделено контролю (мониторингу) за выданными кредитами, т.е., выявлению фактов, которые должны «насторожить» кредитную организацию.

Одной из наиболее важных проблем, связанных с обеспечением экономической безопасности, является противодействие легализации (отмыванию) преступно полученных капиталов. Причем эта проблема актуальна для всех стран мира, независимо от их экономического развития и

политического устройства. Легализация криминальных доходов - это сокрытие незаконного происхождения преступных доходов, искажение природы их происхождения, места нахождения, размещения, движения, придание им в любых формах правомерного вида.

Правила внутреннего контроля включают в себя следующие элементы:

1. Порядок документированного фиксирования необходимой информации.

2. Порядок обеспечения конфиденциальности информации.

3. Квалификационные требования к подготовке и обучению кадров.

4. Критерии выявления и признаки необычных сделок с учетом особенностей деятельности кредитной организации.

Комплекс мероприятий по осуществлению внутреннего контроля разрабатывается банковским учреждением, исходя из особенностей его организации, основных направлений его деятельности, клиентской базы и уровня рисков, связанных с клиентами и их операциями. Для разработки и реализации указанных выше мероприятий назначается ответственный сотрудник или создается самостоятельное подразделение.

В общем случае исходными данными для разработки комплекса мероприятий по защите информации (ЗИ) в сфере банковского кредитования являются:

- состав охраняемых сведений (ОС), подлежащих защите на данном объекте: г"с[1 J], где ¡'-индекс элементов упорядоченного множества (списка) ОС, I- количество ОС на данном объекте;

- состав технических демаскирующих признаков (ТДП) для каждого / - го -ОС:j'c[l, J], где j - индекс элементов упорядоченного множества (списка) ТДП

i - го ОС, j - количество ТПД, раскрывающих i - е ОС;

- исходное множество альтернативных (потенциально реализуемых на данном объекте) мероприятий по ЗИ с разделением на организационные, пассивные и активные: 9fn: - множество организационных мероприятий по ЗИ, 9i'a\ 9?kI -множества пассивных и активных мер ЗИ соответственно.

Поскольку для защиты j - го ТДП в составе i - го ОС может использоваться сочетание организационных мероприятий, а также активных и пассивных мер, то целесообразно определить частный комплекс мероприятий, предназначенный для защиты данного ТДП, в виде вектора йДи^.ЭТ^.ИЦ"), где - соответственно организационные мероприятия, активные и

пассивные меры, проводимые для защиты j - го ТДП в составе i - го ОС.

Затраты на проведение частного комплекса мероприятий 3? (•) в общем случае могут быть очень разнородными по своему характеру, однако на основе техпико - экономических показателей деятельности данного объекта они могут быть приведены к совокупным финансовым затратам на определенный промежуток времени. Поэтому в качестве затрат на реализацию комплекса мероприятий Я9(») целесообразно рассматривать приведенные финансовые затраты как скалярную величину Zt> = Z°/S + Z°kl, где Zf ,zf -

составляющие приведенных затрат на реализацию организационных мероприятий, а также пассивных и активных мер ЗИ.

Обязательным условием при проведении мероприятий по ЗИ является обеспечение их требуемой эффективности: £^[<нД«)]> Е"'ь, где Е"ь - требуемая эффективность защиты/ - го ТДП в составе / - го ОС.

Оптимальный частный комплекс мероприятий Й,^*) должен включать в себя такие подмножества 91™*,,9!°", которые обеспечивают минимальные приведенные финансовые затраты 2"" на множествах потенциально реализуемых на данном объекте мероприятий по ЗИ:

ЪМТ'К'КУК^У ъг 2т уя.к4,* Г'К1

Каждому множеству реализуемых организационных мероприятий 9?°'" можно поставить в соответствие вектор вводимых ограничений ущ^в^^оь^ где компоненты данного вектора

соответствуют уровню (относительной величине) вводимых организационных, пассивных и временных ограничений. Каждое из этих ограничений может выйти за рамки приемлемого уровня с точки зрения условий. Поэтому для них целесообразно ввести соответствующие пороговые уровни, превышение которых является неприемлемым: ц/^.ц/^,ц/'°. Зададим вектор пороговых значений допустимых уровней ограничений (/""(у/,'" ,у/"/), определяющий приемлемость организационных мероприятий следующим образом:

х^Ьт^гХ') ^ ° Ьт^кЫх (2)

Применение активных мер ЗИ приводит, как правило, к возникновению нежелательных помеховых воздействий.

Определим вектор уровней нежелательных помеховых воздействий, соответствующий множеству применяемых активных мер ЗИ 9)°", как

®Г(®Г'®»>®Г,®Г )> где в качестве компонентов вектора заданы: - на платежные поручения; О:' - на технические средства, используемые в процессе производства; - на обслуживающий персонал; - на посторонние технические средства и системы, находящиеся в зоне помехового воздействия. Соответствующий вектор допустимых (пороговых) значений уровней нежелательных помеховых воздействий будет иметь вид вЦ1' (в™,в",0'^, вЦ"). Реализуемые активные меры являются приемлемыми при выполнении следующих условий:

Оптимальный комплекс мероприятий 'Л "•"(•) с учетом требований по приемлемости активных мер ЗИ определяется следующим образом:

Таким образом, определены основные требования к комплексу мероприятий по ЗИ.

п

С учетом приведенных рассуждений, в формализованном виде обобщенный критерий целесообразности частного комплекса мероприятий по защите } - го ТДП в составе / - го ОС примет следующий вид:

К- Кг^г-т V ¥7 {Су;;,к))

(5)

Если вести речь о совокупности обоснованных (с точки зрения их оптимальности) и реализуемых на объекте мероприятий по ЗИ, то данное выражение необходимо рассматривать как обобщенное формализованное представление результатов синтеза комплекса мероприятий, включающего в себя целевые и затратные аспекты.

В третьей главе - разработаны принципы организации обеспечения безопасности платежных информационных банковских систем, а также защиты конфиденциальной банковской информации.

Банком России разработан и внедрен ряд нормативных документов по проблеме обеспечения информационной безопасности электронных платежей и, прежде всего, "Временные требования по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации" и дополнения к ним. Указанные документы разработаны с учетом накопленного опыта, детального анализа технологии совершения электронных платежей, определения возможных угроз безопасности платежной системе, появления новых систем и средств защиты от несанкционированного доступа (НСД) и средств криптографической защиты информации (СКЗИ).

Целью политики информационной безопасности автоматизированной платежной системы является обеспечение ее надежного и бесперебойного функционирования в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы системы, к разрушению ее системы безопасности и хищению денежных средств.

Политика информационной безопасности автоматизированной платежной системы должна обеспечивать:

1. Выполнение действующего законодательства в области организации и функционирования национальной платежной системы.

2. Соблюдение действующих нормативных документов Банка России и установленных правил по организации и проведению расчетов, ведению бухгалтерского учета, организации операционной работы, документооборота, внутрибанковского контроля и бухгалтерской отчетности.

3. Минимально необходимый, гарантированный доступ пользователя к тем и только тем информационным ресурсам автоматизированной платежной системы, которые необходимы ему для исполнения своих служебных обязанностей или реализации его прав в этой системе.

4. Поддержание и контроль действующего в автоматизированной платежной системе технологического процесса обработки, передачи и хранения расчетных документов и информации, связанной с совершением расчетных операций.

5. Защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов.

6. Восстановление информационных ресурсов автоматизированной платежной системы и платежных документов в случаях их умышленного или случайного разрушения или искажения.

Анализ возможного экономического ущерба в системе электронных платежей показывает, что выход из строя или сбой автоматизированной платежной системы может иметь более серьезные последствия, чем нарушение конфиденциальности в этой системе. В связи с этим приоритеты безопасности, применительно к этой системе, по мере их важности Банком России определены в следующем порядке: надежность, бесперебойность, устойчивость, целостность, конфиденциальность.

Основными угрозами автоматизированной платежной системе являются: нарушение сроков и порядка прохождения платежных документов; искажение, фальсификация, переадресация, несанкционированное уничтожение, ложная авторизация платежных документов; нарушение конфиденциальности платежной информации, отнесенной к сведениям ограниченного распространения.

В дснову осуществления комплекса мероприятий по обеспечению информационной безопасности автоматизированной платежной системы должен быть заложен принцип разумной достаточности, который в данном случае заключается в следующем:

1. Информация должна быть защищена от тех угроз, реализация которых может нанести ущерб платежной системе.

2. Информация в автоматизированной платежной системе должна быть защищена в течение времени, установленного законами Российской Федерации и нормативными документами Банка России, т.е. в течение которого несанкционированные действия по отношению к данной информации могут привести к ущербу.

З.Затраты на обеспечение информационной безопасности автоматизированной платежной системы должны быть адекватны величине возможного ущерба от реализации угроз, т.е. затраты напрямую зависят от стоимости защищаемых ресурсов платежной системы и вероятности реализации угроз по отношению к указанным ресурсам.

Безопасность технологии обработки электронного платежного документа (ЭПД) должна обеспечиваться созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения этих документов

Принимаемые при этом решения должны обеспечить равнопрочность защиты всех составных частей технологического процесса обработки ЭПД. В

противном случае, наличие в технологическом процессе хотя бы одного незащищенного (или слабо защищенного) участка может привести к дискредитации всей автоматизированной платежной системы в целом.

Важное значение для обеспечения информационной безопасности является введение такого понятия как зоны ответственности в автоматизированной платежной системе.

Существует две зоны материальной и юридической ответственности:

1. Зона ответственности кредитной организации.

2. Зона ответственности Банка России.

Банк России обеспечивает информационную безопасность процесса обработки, передачи и хранения ЭДД от момента приема в территориальное учреждение Банка России платежного документа от кредитной организации до момента доставки кредитной организации выписки территориального учреждения Банка России о состоянии счета.

Защита информации в автоматизированных банковских системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. К их числу относятся:

1. Приоритет экономических факторов, т.е. для автоматизированных банковских систем весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потери за счет ошибочных направлений платежей, фальсификации платежных документов.

2. Открытость проектирования, которая заключается в создании подсистемы защиты информации из средств, широко доступных на рынке.

3. Юридическая значимость банковской информации, которая приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране, особенно при взаимодействии автоматизированных систем различных юридических лиц.

Под защитой информации в автоматизированных информационных банковских системах (АИЕС) понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность информации-свойство автоматизированной банковской системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется только авторизованному пользователю.

Целостность информации - свойство автоматизированной банковской системы сохранять неизменность или обнаруживать факт изменения информации в условиях случайных и преднамеренных угроз.

Доступность информации - свойство автоматизированной банковской системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется в том виде и в том месте, которые необходимы пользователю, и в то время, когда они ему необходимы.

Доступность определяется как наличием необходимой информации, так и готовностью системы к обслуживанию.

Построения системы защиты АИБС состоят в следующем: системность, комплексность, непрерывность защиты, разумная достаточность, гибкость управления и применения, открытость алгоритмов и механизмов защиты, простота применения защитных мер и средств.

Система защиты информации в АИБС должна удовлетворять следующим требованиям: централизованность, плановость, конкретность и целенаправленность, активность, надежность и универсальность, нестандартность, открытость, экономичность.

Исходными положениями построения системы защиты АИБС является уже существующая или проектируемая вычислительная сеть электронных платежей, известна ее архитектура и методы взаимодействия между ее компонентами. Задана политика безопасности, считается известным набор средств и механизмов обеспечения информационной безопасности.

В общем плане комплекс организационно-технических мероприятий по созданию системы информационной безопасности АИБС кредитной

организации представлен на рис.1._

Система информационной безопасности АИБС кредитной организации

определение перечня сведений, составляющих коммерческую и банковскую тайну и циркулирующих в АБС (сведений,

,__ЛГШПРЖЯПШУ ЧЯППГГР^_,

определение границы управления информационной безопасности АИБС

проведение анализа уязвимости АИБС

разработка мер по обеспечению информационной безопасности АИБС (разработка политики информационной _брюпясносги АИТ»Р)_

проверка системы защиты АИБС

составление плана организационно-технических мероприятий по защите АИБС

реализация плана организациошю-технических мероприятий по защите АИБС

Рисунок 1. Блок-схема системы информационной безопасности АИБС кредитной

организации.

На этапе формулирования требований целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S}={Si}U{S2}U...U{Sn}, {0}={Oi}ЩО2}U...U{On},{Operate}={Operate 1}U{Operate2jU...U{Operate,}, где S -субъект (клиент) платежной сети, О - объект (счет клиента), Operate — операции. В итоге подсистему SubSysi характеризует следующий состав: {Si, Oi, Operates}. Формулируется совокупность требований ко всей подсистеме на основе сочетания требований к подмножествам (Si,Oi,Operate*}, составляющим данную подсистему. Для безопасной реализации г-той подсистемы SubSysi, используется набор механизмов защиты: {Msii, Msa, Msn,... Moii, Moa, Moperateii, Moperateti..}, где Msij ~ средство защиты, реализующее одно из требований к субъектам подсистемы SubSysi, Моу - средство защиты, реализующее одно из требований к объектам подсистемы SubSysi, Моремеу -средство защиты, реализующее одно из требований к операциям подсистемы SubSyn.

Входной параметр для определения вектора набора средств защиты -матрица М всех возможных механизмов защиты для каждого требования:

М=

М5 Ms ■ Ms

м, ¿и Ms„ • Ms

ма Mo» Мо„ - M0

м0 и11 М0а Мо„ Vuoi

м

^ Opera1etl

мп

мп,

Мп

(6)

л Орсго<е12 * Орегон:п "' 0р^шгтО{Л ^

Каждое из средств защиты может быть описано набором параметров, интересующих разработчиков и заказчиков системы: Мд - {Су, Ру, Ту, Уу,...}, где Су - стоимость средства защиты, Ру - уровень защищенности, Ту - время на осуществление элементарной операции, Уч — необходимый объем оперативной памяти. При необходимости, проектировщики могут добавлять новые параметры для оценки механизмов защиты.

Для того, чтобы использовать приведенные параметры в дальнейших математических расчетах, они должны быть выражены некоторыми количественными значениями. Назовем совокупность значений параметров механизма защиты его показателями. Показатели всех механизмов, входящих в состав подсистемы определяют ее характеристики: {С&л^а/, Р-адЛи, Твиьзю, К&Ми/, Показатели системы защиты складываются из совокупности характеристик подсистем, таким образом, можно учесть ограничения, накладываемые на систему в целом и найти оптимальный состав механизмов защиты для достижения эффективных показателей системы безопасности. Значения характеристик системы можно варьировать путем перебора различных вариантов состава подсистем защиты. Набор механизмов, отражаемый матрицей М должен покрывать все требования, предъявляемые к объектам, субъектам и операциям сети. Текущий состав комплекса системы защиты М,„:

{с^Л,,^,...}

Мо, [С^Р^Т^,...]

Мо, ,-.-}

^Рраа/е,, у (с Р Т V 1 ч ( О;*'о/е, > Орегаш^ » Орию!е( ' ОретН!1

Далее осуществляется комбинаторный перебор вариантов возможных решений, формируемых по входной матрице всех допустимых вариантов защиты. При этом решается задача многокритериальной оптимизации. Варьируемой переменной или набором внутренних параметров, является вектор:

м^ =К,м151,Л/,01,Л/,0),...,Л/(0^(). (В)

Допустимым вариантом обозначим такой набор значений внутренних параметров:

М^ = ,М10, ,М,01 ,...,мют ) (9)

при котором удовлетворяются ограничения на стоимость создания системы, на внешние и внутренние параметры, а также на время и ресурсы проектирования. Постановка задачи оптимального проектирования системы защиты АИБС состоит в выборе такого комплекса средств и механизмов информационной безопасности, при котором показатель ее защищенности Р=Р,пш:, и выполняются ограничения на остальные параметры системы.

Исходная система (та, в которую будет производиться внедрение) всегда обладает в числе множества показателей некоторым уровнем защищенности (отличным от нуля). Пусть исходная существующая вычислительная сеть характеризуется показателем защищенности Ро, а также множеством иных показателей, например, Со - ее стоимость, Го - среднее время на транзакцию. Приращение значений показателей обозначается через Д, сокращение доп. -означает допустимое значение. Приращение значений показателей вычисляется по значениям параметров механизмов защиты, входящих в анализируемую матрицу

(М,) '{дс„др„дг„...р

мю = м2 = {дс2,ДР2,ДГ2,...} (10)

Дас.,ар„дг„4

При изменении вхождения любого из механизмов М, в анализируемую матрицу соответственно изменяются показатели этого механизма, по совокупности которых и производится оптимизация. Выделяется область компромиссов при многокритериальной оптимизации по вектору параметров подсистемы {Сзиьву!^ РБиЬВун, Тбчьзю, УБиьвуу,...}. Далее решается задача однокритериальной оптимизации внутри области компромиссов. Прямая задача выбора варианта подсистемы, обеспечивающая максимальный достижимый уровень защищенности:

Р0 + Р{Др,, Др2 ,~Ар„) -» шах

С.+ХДс^С^ ;=1

Г0+^ДГ,<Г(>ОТ

Р0 + /'(Лр,,ДЛ,...Др„)>Р1Мл С0 —> тт

(П)

В диссертации показано, что функцию Р0 + р(Ар1,Ар1,...Арп) в зависимости от задач проектировщика можно описать несколькими выражениями. В результате решения задачи оптимизации мы получаем оптимальный набор средств защиты, выраженный матрицей Мит.

Организация работы по защите сведений, составляющих банковскую тайну, осуществляется по аналогии с защитой сведений, составляющих коммерческую тайну.

В условиях активных попыток проникновения криминала в банковскую сферу очень остро стоит вопрос о защите персональных данных сотрудников кредитных организаций, т.е. сведений о фактах, событиях и обстоятельствах жизни гражданина, позволяющих идентифицировать его личность. Защита персональных данных должна осуществляться организационно-техническими мерами от несанкционированного доступа, изменения и распространения; несанкционированного разрушения и случайной утраты.

В заключении диссертационной работы осуществлено исследование проблемы комплексного подхода к обеспечению безопасности кредитной организации как составной части системы безопасности банковской сферы российской экономики, а на более общем уровне - экономической безопасности Российской Федерации. В процессе исследования изучено состояние проблемы обеспечения безопасности банковской системы, уточнено содержание и понятие безопасности кредитной организации. Разработана общая классификация угроз безопасности банковской деятельности, исследованы банковские объекты, подлежащие защите от потенциальных угроз, сформулированы и раскрыты главные цели и принципы построения комплексной системы обеспечения безопасности кредитной организации и управления этой системой, сформулированы основные принципы организации работы банковского подразделения безопасности и основные направления его деятельности, а также разработаны методические рекомендации по реализации основных мер, обеспечивающих защиту банковского учреждения.

Проведенное исследование подтвердило ранее сделанные специалистами выводы о том, что банковское дело связано не только с такими традиционными банковскими рисками как кредитный, валютный, ликвидности, но с рисками криминального характера, называемыми угрозами. Они представляют из себя уголовно-наказуемые и иные противоправные деяния, посягающие на интересы кредитной организации или порядок её функционирования. Принятие мер по минимизации угроз требует применения специальных методов и средств, выходящих за пределы обычной банковской деятельности.

В результате диссертационной работы уточнено содержание и понятие безопасности кредитной организации, под которыми понимается состояние

защищенности интересов её владельцев, руководства, персонала и клиентов, материальных ценностей и информационных ресурсов от внутренних и внешних угроз, т.е. умение и способность банковского учреждения надёжно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб его законным интересам.

Принципиально важным условием для эффективного функционирования комплексной системы обеспечения безопасности кредитной организации является активное участие в мероприятиях по защите банковской структуры не только профессиональных специалистов подразделения безопасности, но и всего банковского персонала. Именно организация тесного взаимодействия между подразделением безопасности и другими подразделениями кредитной организации является залогом успешного противодействия внешним и внутренним угрозам.

Были определены главные цели комплексной системы обеспечения безопасности информационных ресурсов кредитной организации.

В результате диссертационного исследования была разработана математическая модель обобщенного критерий целесообразности частичного комплекса мероприятий по защите информации.

Результаты диссертационного исследования позволили автору определить основные принципы организации и функционирования комплексной системы обеспечения безопасности кредитной организации. Основополагающими из них, по мнению автора, являются принцип экономической целесообразности, основанный на критерии «эффективность -стоимость» и заключающийся в том, что во всех случаях затраты на создание и поддерживание комплексной системы должны быть меньше размера возможного ущерба от любых видов внешних и внутренних угроз.

Важнейшая роль в создании комплексной системы должна отводиться работе по выявлению, анализу и прогнозированию потенциальных угроз кредитной организации, учёту объективных существующих внешних и внутренних условий, влияющих на состояние безопасности. Её результаты должны использоваться для обоснования, выбора и реализации защитных мероприятий, адекватных угрозе безопасности кредитной организации. Поэтому автором, в общем плане, определены внешние и внутренние угрозы, которые могут оказать негативное влияние на обеспечение безопасности информационных ресурсов кредитной организации, а также угрозы его деятельности.

Таким образом, результаты диссертационной работы позволяют сделать вывод, что надежное обеспечение деятельности кредитной организации возможно только за счет создания комплексной системы безопасности, предусматривающей использование на принципах разумной достаточности всех имеющихся сил и средств с целью выявления и предотвращения реальных внешних и внутренних угроз.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ.

1. Проведено исследование проблемы комплексного подхода к обеспечению безопасности информационных ресурсов кредитной организации.

2. Разработана общая классификацию угроз безопасности банковской деятельности.

3. Исследованы банковские объекты, подлежащие защите от потенциальных угроз.

4. Сформулированы и раскрыты главные цели и принципы построения комплексной системы обеспечения безопасности кредитной организации и управления этой системой.

5. Сформулированы основные организации работы банковского подразделения безопасности и основные направления его деятельности.

6. Разработаны методические рекомендации по реализации основных мер, обеспечивающих защиту банковского учреждения.

СПИСОК РАБОТ. ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ:

1. Семенов В Л., Лекомцева М.В., Нестерова H.A. Анализ рисков информационной безопасности в банке. Научно-технический вестник СПб

_ ГУ ИТМО Выпуск 29. 1 серия .научной школы «Информационная безопасность, проектирование, технология элементов и узлов компьютерных систем». СПб ГУ ИТМО 2006. стр. 172-174.

2. Семенов В.А., Семенова М.А., Лекомцева М.В. Организация борьбы с преступлениями в сфере банковского кредитования. Научно-технический вестник СПб ГУ ИТМО Выпуск 40. Научная школа «Информационная безопасность, проектирование, технология элементов и узлов компьютерных систем». Труды молодых ученных. СПб ГУ ИТМО 2007. стр. 252-257.

3. Семенов В.А., Лекомцева М.В. Информационно-аналитическая работа подразделения безопасности кредитных организаций. Научно-технический вестник СПб ГУ ИТМО Выпуск 44. «Современные технологии» СПб ГУ ИТМО 2007. стр.253-256.

4. В. В. Извозчикова, И. В. Матвейкин, И. Ю. Гатчин, Н. А. Нестерова, И. Б. Тронников, В. А. Семенов Концептуальная модель управления предприятием II Изв. вузов. «Приборостроение». 2008. Т. 51, № 5. С. 26—29.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101, Санкт-Петербург, Саблинская ул., 14 Тел. (812) 233 46 69

Усл.печ.лист -1,0 Тираж 100 экз.

Оглавление автор диссертации — кандидата технических наук Семенов, Вениамин Александрович

Введение

Глава 1. Методические основы формирования комплексной системы обеспечения банковской безопасности

1.1 Системный подход к обеспечению безопасности кредитной организации

1.2 Методические основы организации работы подразделения безопасности кредитной организации

1.3 Информационно-аналитическая работа подразделения безопасности

Глава 2. Комплексная система организации противодействия преступлениям в банковской сфере

2.1 Организация борьбы с преступлениями в сфере банковского кредитования

2.2 Система противодействия легализации (отмыванию ) доходов полученных преступным путем

Глава 3. Методические основы защиты информационных ресурсов кредитной организации;

3.1 Обеспечение безопасности платежных систем

3.2 Обеспечение безопасности информационных банковских систем

3.3 Защита конфиденциальной банковской информации

Введение 2008 год, диссертация по информатике, вычислительной технике и управлению, Семенов, Вениамин Александрович

Актуальность исследования.

Обеспечение экономической безопасности России, её способность противодействовать как внешним, так и внутренним угрозам является одним из ключевых условий перехода страны к устойчивому развитию.

Согласно Федеральному закону «О безопасности» понятие безопасность определено как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и* внешних угроз»

3].

В специальной научной и нормативно-правовой литературе присутствует целый ряд близких по смыслу определений экономической безопасности. Один из наиболее характерных подходов отражен академиком В.К. Сенчаговым в его работе «Экономическая безопасность: Производство - Финансы — Банки». В ней сущность экономической безопасности определяется «как состояние экономики и институтов власти, при котором обеспечиваются гарантированная защита национальных интересов, социальная направленность политики, достаточный оборонный потенциал даже при неблагоприятных условиях развития внутренних и внешних процессов». Это означает, как отмечает автор, что «экономическая безопасность - это не только защищенность национальных интересов, но и готовность и способность институтов власти создавать механизмы реализации и защиты национальных интересов развития! отечественной экономики, поддержания социально-политической стабильности общества» [60].

Таким образом, практически любая деятельность по обеспечению экономической безопасности подразумевает осуществление защиты национальных интересов от воздействий угроз. Под угрозой экономической безопасности понимаются сложившиеся экономические и иные условия, произошедшие факты в экономической и иных сферах деятельности, которые способны оказать прямое или косвенное негативное воздействие на экономическую безопасность хозяйствующего субъекта (отрасли экономики, экономического региона, национальной экономики в целом).

В условиях глубокого реформирования российской экономики значение и роль банковского сектора в деле обеспечения экономической стабилизации и безопасности страны неуклонно возрастает. Поэтому первостепенное значение для выхода России из кризиса и перехода к устойчивому развитию приобретает противодействие (выявление, оценка и нейтрализация) угрозам экономической безопасности банковской сферы. Учитывая, что она в настоящее время представляет собой совершенно новый для хозяйственной практики механизм, проблема её формирования, функционирования и развития постоянно находится в поле зрения экономической политики государства (Правительства, Совета безопасности и Центрального банка Российской Федерации), в том дасле, при проведении широкомасштабных мероприятий по противодействию угрозам экономической безопасности.

Если раньше банковская сфера выполняла в нашей экономике фактически лишь расчетно-кассовые функции, то сегодня формирование в России полноценной рыночной экономики невозможно без этого сектора, представляющего собой ключевой механизм функционирования всей экономики. Современная рыночная экономика - это по сути разнообразное взаимодействие хозяйствующих субъектов, которое при всем своем разнообразии в подавляющем большинстве случаев опосредованно в той или иной форме расчетами через кредитно-финансовые институты, в первую очередь, банки и включает в себя гражданско-правовые сделки с этими институтами (кредитование, сделки купли/продажи и т.д.), а также различные финансовые и банковские услуги. Все это говорит об исключительной важности экономической безопасности банковской сферы как для экономической безопасности Российской Федерации в целом, так и для практически всех отдельных отраслей ее экономики и хозяйствующих субъектов. А 5

Экономическую безопасность банковской сферы можно определить как такое её динамическое состояние, при котором она: юридически и технически способна выполнять и в действительности выполняет свойственные ей функции; обеспечивает устойчивую защиту жизненно важных социально-экономических интересов граждан, хозяйствующих субъектов, общества и государства от воздействия внутренних и внешних угроз; обладает необходимым потенциалом как для количественного, так и для качественного роста и располагает механизмами для реализации этого потенциала [29].

На протяжении почти всего времени существования советской банковской системы отечественные банки не ощущали в своей деятельности никакого риска, поскольку как сами банки, так и предприятия, с которыми они работали, были государственной собственностью, а государственные правоохранительные органы надежно обеспечивали криминологическую систему банков, достаточно эффективно предупреждали, пресекали и расследовали экономические и финансовые преступления.

Период становления и развития рыночных отношений в Российской Федерации характеризуется ухудшением криминогенной обстановки, ростом преступных посягательств в экономике, в том числе в банковской сфере. Здесь проявилось значительное число острых проблем, характерных для экономики переходного периода: отставание нормативно-законодательной базы от реалий, складывающихся в банковской деятельности, несовершенство многих существующих банковских технологий и структур обеспечения безопасности кредитных организаций в сравнении с общепринятыми в мире, повышенный интерес криминальных структур к этой сфере, где проходят основные денежные потоки, как «кровеносной системы» экономического организма страны. Ведь кредитные организации служат весьма важным инструментом реформирования отечественной экономики. Они активно участвуют в развитии рыночных отношений, финансировании разнообразных государственных и региональных, в том числе социальных программ, обеспечивают финансово-кредитное обслуживание как предприятий всех форм собственности, так и значительной части населения. В этом контексте банковская деятельность является наиболее характерным индикатором состояния финансовой системы, уровня нормализации денежных потоков и расчетных отношений, степени защищенности интересов вкладчиков, развития российского финансового рынка, обеспечения необходимых условий для активизации инвестиционной деятельности. Параметры указанной деятельности во многом определяют пороговые значения экономической безопасности страны в финансово-кредитной сфере, т.е. можно констатировать, что обеспечение безопасности банковской системы эквивалентно обеспечению безопасности самого государства.

Анализ криминогенной обстановки в банковской сфере позволяет выделить основные факторы, влияющие на ее криминализацию:

- слабая система внутрибанковского контроля, способствовавшая расхищению выдаваемых кредитов, т.е. средств акционеров и вкладчиков;

- задержка введения признанных стандартов бухгалтерского учета и отчетности, препятствующая финансовой прозрачности деятельности кредитных организаций для органов банковского надзора и государственного контроля.

Рассматривая криминогенную обстановку в банковской сфере необходимо учитывать, что она не находится в статичном положении, а подвержена динамичным изменениям, которые, прежде всего, зависят от развития экономической ситуации в стране, внедрения новых банковских технологий, организации противодействия криминальным структурам со стороны правоохранительных органов и подразделений безопасности банковских учреждений.

Давление теневого и криминального капитала на банковский сектор идет с самого начала формирования банковской системы. Объектами хищений и мошеннических операций становятся, как правило, наиболее уязвимые в данный момент времени стороны деятельности кредитных организаций.

Совершаемые в банковской сфере криминальные посягательства отличаются как особой изощренностью, многоплановостью, так и активной адаптацией преступности к новым формам и методам банковской деятельности и совершаются, как правило, организованными группами. В настоящее время структура и динамика банковских преступлений претерпела серьезные изменения, они стали более организованными и профессиональными, повысился их интеллектуальный уровень. Преступники взяли на вооружение методы информационного обеспечения своей криминальной деятельности, все чаще используют современную технику и передовые технологии, паразитируют на издержках и трудностях экономических реформ.

Опыт работы с такими преступлениями показывает, что обеспечение многогранной банковской деятельности требует комплексного, системного подхода к решению правовых, организационных, технических, кадровых и иных вопросов, и прежде всего, на уровне отдельно взятой кредитной организации.

Бурные изменения в экономической и криминогенной обстановке как в стране в целом, так и в банковской сфере требует в настоящее время пересмотра подходов к обеспечению безопасности кредитных организаций. Тем более, что сейчас для российских кредитных организаций понятие «банковская безопасность» из абстрактно-теоретического превратилось в реально востребованную и крайне необходимую постоянно действующую систему мероприятий по обеспечению безопасности их бизнеса. Однако эти мероприятия, в большинстве своем, не носят системного характера и направлены на ликвидацию только отдельных угроз, что не обеспечивает надежной защиты банковских учреждений. Основной причиной такого положения дел является незнание или неумелое использование руководителями кредитных организаций основных принципов и практических подходов к решению проблемы комплексной банковской безопасности.

Сложность решения проблемы обеспечения безопасности кредитных организаций заключается в том, что основную работу по организации защиты от криминальных угроз законодатель возложил на сами банковские учреждения. К сожалению, надежность предпринятых ими мер безопасности во многих случаях оказалась невысокой. Практика показывает, что из-за просчетов в организации работы подразделений безопасности зачастую не удается своевременно выявлять и предупреждать различные противоправные действия. Как правило, такие просчеты связаны с ошибкой в выборе приоритетов, отсутствием четкого представления об общей стратегии и вытекающих из нее конкретных мероприятий по обеспечению безопасности, разбалансированности усилий подразделений, участвующих в обеспечении безопасности.

К тому же наблюдается копирование зарубежных решений в сфере обеспечения банковской безопасности, но без их адаптации к специфике деятельности российских кредитных организаций и криминогенной обстановки в банковской сфере

В деятельности подразделений безопасности имеет место существенный перекос в сторону "силовых" и "технических" методов защиты при недостаточном учете факторов так называемой "беловоротничковой" преступности, использующей приемы интеллектуального и материального подлога, а также иные виды изощренного обмана, в том числе с использованием возможностей новых банковских, электронных и полиграфических технологий. А это, в свою очередь, привело к возникновению таких новых угроз как противоправное посягательство на электронные, и в первую очередь "платежную", системы, используемые в банковских учреждениях, на деловую репутацию кредитных организаций.

Достижение целей безопасности в банковской сфере сопряжено со значительными материальными затратами и в условиях ограниченности ресурсов возможно только путем научно-обоснованной разработки и осуществления комплекса взаимоувязанных организационно-технических мер.

Их сложность и многоаспектность, недопустимость действий методом "проб и ошибок" обусловили необходимость научной проработки комплексного, системного подхода к обеспечению безопасности на уровне кредитной организации.

Высокая значимость проблемы обеспечения безопасности кредитных организаций как для банковской сферы, так и для экономики страны в целом и недостаточный уровень её теоретической разработки, прежде всего, с точки зрения комплексного подхода обусловили выбор темы диссертационного исследования и его актуальность.

Цель работы.

Целью диссертационной работы является разработка модели и метода формирования комплексной системы банковской безопасности.

Поставленная цель исследования обусловливает необходимость решения следующих основных задач: 1. Провести анализ состояния задачи обеспечения безопасности банковских информационных ресурсов.

2. Провести анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.

3. Разработать классификацию угроз безопасности объектов информационных ресурсов кредитной организации.

4. Разработать метод построения комплексной системы обеспечения безопасности информационных ресурсов кредитной организации.

В соответствии с целями и задачами диссертационного исследования определены его предмет и объект.

Объект и предмет исследования.

Объектом исследования является система организации обеспечения безопасности кредитных организаций Санкт-Петербурга. Предмет исследования — организационно-правовые отношения, связанные с осуществлением мероприятий по обеспечению банковской безопасности.

Методологическая основа исследования.

Методологической основой исследования являются труды отечественных ученых и специалистов по проблемам национальной, экономической и информационной безопасности, денежно-кредитным отношениям, банкам, законодательные акты Российской Федерации, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений Санкт-Петербурга.

Научная новизна исследования определяется:

1. Введением понятия безопасности информационных ресурсов кредитной организации и его содержанием, исходя из анализа (исследования) объектов, подлежащих защите от внешних и внутренних угроз.

2. Разработкой классификации угроз безопасности объектов информационных ресурсов кредитной организации. Анализом соотношения понятий угрозы и риска.

3. Разработкой математической модели обобщенного критерия целесообразности частичного комплекса мероприятий по защите информации.

Основные положения, выносимые на защиту:

1. Теоретические и организационно-методические основы создания комплексной системы обеспечения безопасности информационных ресурсов кредитной организации (основные цели и задачи комплексной системы, принципы её построения, функционирования и управления).

2. Принципы организации работ подразделения безопасности кредитной организации, его функции и задачи, направления взаимодействия с другими подразделениями банковского учреждения при решении задач по обеспечению банковской безопасности информационных ресурсов.

Формулировка основных направлений системного подхода к вопросам банковской безопасности информационных ресурсов.

3. Методы организации работы подразделений кредитной организации по борьбе с мошенничеством в сфере банковского кредитования; противодействию легализации (отмыванию) доходов, полученных преступным путем; обеспечению безопасности информационных ресурсов банковского учреждения (платежных и информационных технологий, конфиденциальной банковской информации); осуществлению информационно-аналитической работы и другим направлениям обеспечения банковской безопасности.

Практическая значимость.

Практическая значимость работы состоит в том, что сформулированные понятия, а также сделанные выводы и рекомендации могут быть непосредственно использованы кредитными организациями для формирования системы обеспечения их комплексной безопасности.

Материалы диссертации применены при разработке методических материалов для учебного процесса в вузах соответствующего профиля, а также часть полученных результатов использована банковскими учреждениями Санкт-Петербурга.

Апробация работы.

Основные положения диссертации докладывались на научно-практических конференциях Санкт-Петербургского государственного университета информационных технологий, механики и оптики, Санкт-Петербургского государственного инженерно-экономического университета.

Отдельные теоретические и практические положения работы используются в учебном процессе кафедр ^'Проектирования компьютерных систем" СПб ГУ ИТМО; «Финансы и банковское дело» СПбГИЭУ, а также Санкт-Петербургской банковской школы.

Заключение диссертация на тему "Модель и метод формирования комплексной системы банковской безопасности"

Заключение

В диссертационной работе осуществлено исследование проблемы комплексного подхода к обеспечению безопасности кредитной организации как составной части системы безопасности банковской сферы российской экономики, а на более общем уровне — экономической безопасности Российской Федерации. В процессе исследования изучено состояние проблемы обеспечения безопасности банковской системы, уточнено содержание и понятие безопасности кредитной организации. Разработана общая классификация угроз безопасности банковской деятельности, исследованы банковские объекты, подлежащие защите от потенциальных угроз, сформулированы и раскрыты главные цели и принципы построения комплексной системы обеспечения безопасности кредитной организации и управления этой системой, сформулированы основные принципы организации работы банковского подразделения безопасности и основные направления его деятельности, а таюке разработаны методические рекомендации по реализации основных мер, обеспечивающих защиту банковского учреждения.

В результате диссертационной работы уточнено содержание и понятие безопасности кредитной организации, под которыми понимается состояние защищенности интересов её владельцев, руководства, персонала и клиентов, материальных ценностей и информационных ресурсов от внутренних и внешних угроз, т.е. умение и способность банковского учреждения надёжно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб его законным интересам.

Решение этой задачи достигается путем создания комплексной системы безопасности кредитной организации, основанной на взаимосвязи правовых, организационно-управленческих, специальных, социально-технических, режимных, технических, профилактических и пропагандистских мер, направленных на качественную реализацию защиты банковского учреждения от внешних и внутренних угроз. Главным принципом создания такой системы является обеспечение заданного уровня безопасности кредитной организации при минимальной стоимости осуществляемых для этой цели организационно-технических мероприятий и используемых средств защиты.

Комплексная система безопасности кредитной организации включает в себя: разработку стратегии и тактики обеспечения безопасности; определение и классификацию конкретных целей и задач обеспечения безопасности; разработку и осуществление комплекса основных мер, направленных на достижение указанных целей и задач; разработку предложений по совершенствованию принимаемых мер по обеспечению безопасности;

Основные требования к данной комплексной системе заключается в следующем: она должна обладать свойствами динамичной, постоянно адаптирующейся и совершенствующейся системы; её цели и структура, силы и средства, направления, формы и методы деятельности должны изменяться в соответствии с изменениями внутренней и внешней обстановки, обеспечивая при этом состояние необходимой защищенности.

В процессе диссертационного исследования определены основные объекты, подлежащие защите от потенциальных угроз и противоправных посягательств, к числу которых относятся: материальные ресурсы - это имущество кредитной организации ( денежные средства, имущественные права, здания ); инфраструктура - это совокупность элементов имущественного, правового, организационного характера, обеспечивающих порядок стабильного функционирования кредитной организации; информационные ресурсы — массивы информации, используемые кредитной организацией для выбора эффективных управленческих решений, освоения новых технологий и рынков, а также для принятия мер управленческого характера в неблагоприятных условиях; кадровые ресурсы - сотрудники кредитной организации; нематериальные ресурсы - деловая репутация кредитной организации и её деловые связи.

Эти объекты имеют различный потенциальный уровень уязвимости, с точки зрения возможного материального и морального ущерба.

Исходя из классической классификации объектов защиты: человек - информация - материальные ценности, основной приоритет должен отдаваться обеспечению безопасности персонала кредитной организации.

Автором определены главные цели комплексной системы обеспечения безопасности кредитной организации, к числу которых относятся: обеспечение устойчивости функционирования кредитной организации; предотвращение внешних и внутренних угроз безопасности кредитной организации; защита законных интересов кредитной организации от противоправных посягательств; охрана жизни и здоровья банковского персонала; недопущение хищения финансовых и материально - технических средств; недопущение уничтожения имущества и ценностей; недопущение разглашения информации, составляющей банковскую или коммерческую тайну; недопущение утраты, утечки, искажения и уничтожения служебной банковской информации в процессе её обработки, хранения и передачи с использованием средств автоматизации; недопущение нарушения работы средств информатизации и других технических средств обеспечения банковской деятельности; повышение имиджа кредитной организации; повышение роста прибыли кредитной организации за счет обеспечения гарантий безопасности имущественных прав и интересов клиентов.

В результате диссертационного исследования была разработана математическая модель обобщенного критерий целесообразности частичного комплекса мероприятий по защите информации.

Результаты диссертационного исследования позволили автору определить основные 19 принципов организации и функционирования комплексной системы обеспечения безопасности кредитной организации. Основополагающими из них, по мнению автора, являются принцип экономической целесообразности, основанный на критерии «эффективность -стоимость» и заключающийся в том, что во всех случаях затраты на создание и поддерживание комплексной системы должны быть меньше размера возможного ущерба от любых видов внешних и внутренних угроз.

Важнейшая роль в создании комплексной системы должна отводиться работе по выявлению, анализу и прогнозированию потенциальных угроз кредитной организации, учёту объективных существующих внешних и внутренних условий, влияющих на состояние безопасности. Поэтому автором, в общем плане, определены внешние и внутренние угрозы, которые могут оказать негативное влияние на обеспечение безопасности банковского учреждения, а также угрозы его деятельности.

Исходя из задач, принципов организации и функционирования комплексной системы безопасности кредитной организации, внешних и внутренних угроз, автором уточнены основные направления деятельности кредитной организации по обеспечению её безопасности: проведение информационно - аналитической работы; обеспечение безопасности сотрудников кредитной организации; организация защиты информации, содержащей банковскую или коммерческую тайну; организация противодействия мошенническим действиям, направленным против кредитной организации; организация противодействия легализации преступно нажитых капиталов; обеспечение безопасности платежных систем; обеспечение безопасности информационных банковских систем; защита конфиденциальной банковской информации от утечки по техническим каналам; организация противодействия недобросовестной конкуренции; организация охраны, пропускного и внутриобъектового режимов; обеспечение технической укрепленности здания кредитной организации; обеспечение безопасности хранения и перевозки денежных средств и материальных ценностей; организация взаимодействия с правоохранительными органами. Главным критерием оценки эффективности и качества работы по указанным направлениям является стабильное финансовое и экономическое развитие кредитной организации.

В диссертационной работе авторам сформулированы основные принципы организации работы подразделения безопасности кредитной организации, структура которого и его штаты определяются в соответствии с целями, функциями и задачами обеспечения безопасности банковского учреждения и должны быть функционально связаны с приоритетными направлениями банковской деятельности. Структура не может быть универсальной на все время функционирования кредитной организации, а должна видоизменяться в зависимости от складывающейся на конкретный период обстановки и конкретно решаемых задач.

На основании анализа деятельности подразделений безопасности кредитных организаций, автором определены 9 основных функций, которые они должны осуществлять. Главными из них являются: административно — распорядительная функция, которая заключается в создании и поддержании системы безопасности, определении полномочий, прав, обязанностей и ответственности должностных лиц в решении этих вопросов; учетно-контрольная функция, которая предполагает выделение возможных направлений деятельности банковского учреждения и организацию своевременного выявления угроз финансовой стабильности и устойчивости кредитной организации, оценку их источников, налаживание контроля за критическими ситуациями, ведение учета факторов, негативно влияющих на кредитную организацию, накопление необходимой информации; информационно-аналитическая функция, которая воплощается в целенаправленном сборе, накоплении и обработке информации, относящейся к сфере безопасности.

Принципиально важным в деятельности подразделения безопасности является организация его четкого взаимодействия с другими структурными подразделениями кредитной организации, задействованными в осуществлении мероприятий по обеспечению безопасности. Оно должно определятся организационно — распорядительными документами по вопросам этих отношений.

Для обеспечения эффективной деятельности подразделения безопасности должны быть решены следующие задачи: подбор высококвалифицированных специалистов по безопасности; четкое распределение функциональных обязанностей сотрудников подразделения безопасности с учетом их индивидуальных особенностей и профессиональных интересов; обеспечение взаимозаменяемости сотрудников по их должностным обязанностям; создание условий для удовлетворения творческой потребности и профессионального роста специалистов; обеспечение организованности, четкости, исполнительности сотрудников подразделения безопасности; единство сотрудников подразделения безопасности как коллектива, способного решать сложные, нестандартные задачи; ориентация сотрудников подразделения - безопасности на восприятие коммерческой психологии, рыночных отношений, духа сопричастности и заинтересованности в успешной деятельности кредитной организации; возможность оптимального материального воздействия на сотрудников со стороны руководителя подразделения безопасности; постоянное повышение квалификации сотрудников подразделений безопасности.

В результате диссертационного исследования разработаны методические рекомендации по реализации основных мер, обеспечивающих безопасность кредитной организации по следующим направлениям: обеспечение безопасности персонала. В основу работы по этому направлению должен быть положен принцип «Правильное поведение — гарант безопасности»; информационно-аналитическая работа, при организации которой необходимо избегать "информационной избыточности", т.е. сбора той информации, которая не нужна для принятия решений при проведении мероприятий по обеспечению информационной безопасности; борьба с преступлениями в сфере банковского кредитования. Работу по проверке клиентов при выдаче кредитов целесообразно организовывать силами трех подразделений кредитной организации (кредитное, юридическое, безопасности), причем каждое из них должно отвечать за решение строго определенных вопросов, отнесённых к их компетенции. противодействие легализации (отмыванию) доходов, полученных преступным путем. В основу данной работы положен принцип «Знай своего клиента», разработка и выполнение правил внутреннего контроля, а также строгое соблюдение порядка представления в уполномоченный орган сведений, предусмотренных федеральным законодательством. безопасность платежных систем должна обеспечиваться за счет неукоснительного выполнения кредитной организацией требований по обеспечению информационной безопасности, зафиксированных в заключенном с территориальным учреждением Банка России договоре о правилах обмена электронными документами при осуществлении расчетов через расчетную сеть Банка России. безопасность информационных банковских систем должна обеспечиваться за счет защищенности всех их компонентов (технических средств, программного обеспечения, баз данных, персонала) путем создания систем информационной безопасности; защита конфиденциальной банковской информации, к которой относятся сведения, составляющие коммерческую и банковскую тайну, а также персональные данные сотрудников кредитной организации. Коммерческая и банковская тайна по своей сути являются разными видами тайны, которые определяются соответственно Гражданским кодексом Российской Федерации и Федеральным законом «О банках и банковской деятельности», а механизм их защиты различен, взаимодействие с правоохранительными органами. В своей деятельности подразделения безопасности кредитных организаций должны исходить из того, что они не в силах самостоятельно противостоять преступлениям в банковской сфере и только взаимодействие с силовыми структурами может обеспечить надежную безопасность банковского учреждения.

Таким образом, результаты диссертационной работы позволяют сделать вывод, что надежное обеспечение многогранной деятельности кредитной организации возможно только за счет создания комплексной системы безопасности, предусматривающей использование на принципах разумной достаточности всех имеющихся сил и средств с целью выявления и предотвращения реальных внешних и внутренних угроз.

Библиография Семенов, Вениамин Александрович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Федеральный закон Российской Федерации «О банках и банковской деятельности» № 395 1 ( ред. от 08.07.99 г. ) от 02.12.90 г.

2. Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95 г.

3. Федеральный закон Российской Федерации «О безопасности» №2446-1 ( с изменениями от 25.12.92 г.) от 25.12.92 г.

4. Федеральный закон Российской Федерации «О частной детективной и охранной деятельности в Российской Федерации» № 2487-1 от 11.03.92 г.

5. Федеральный закон Российской Федерации «О противодействии локализации (отмыванию) доходов, полученных преступным путем» № 115-ФЗ от 07.03.01 г.

6. Федеральный закон Российской Федерации «Об электронной цифровой подписи» №1-ФЗ от 10.01.02г.

7. Гражданский кодекс Российской Федерацииi

8. Уголовный кодекс Российской Федерации

9. Постановление Правительства Российской Федерации «О перечне сведений, которые не могут составлять коммерческую тайну» №35 от 05.12.91 г.

10. Ю.Приказ Центрального банка Российской Федерации «О статусе платежных и служебно-информационных документов в системе электронных платежей Банка России» № 02—199 от 24.04.97 г.

11. Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации» №02-144 от 03.04.97 г.

12. Положение Банка России «О порядке осуществления Банком России контроля за исполнением кредитными организациями Федерального закона «О противодействии локализации (отмыванию) доходов, полученных преступным путем» № 160-П от 28.11.01 г.

13. Положение Банка России «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии локализации (отмыванию) доходов, полученных преступным путем» № 161-П от 28.11.01г.

14. Указание оперативного характера Банка России «О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем» № 137—Т от 28.11.01 г.

15. Письмо Банка России «методических рекомендациях по вопросам организации работы по предотвращению проникновения доходов, полученных незаконных путем, в банке и иные кредитные организации» №479 от 03.07.97 г.

16. Абалкин JI.И. «Безопасность банка». — М: «Дека», 1995 г.

17. Амплеев С.В. Меры защиты банков от незаконного получения кредитов. Материалы учебно - практической конференции « Актуальные проблемы безопасности банковского дела в условиях финансового кризиса». М., 1999 г.

18. Базанов А., Цветкова Т. Информационная работа службы безопасности. // Банковские технологии. 1998 г. - с.60-61.

19. Банковское дело. Учебник / Под ред. О.И. Лаврушина М., Финансы и статистика, 1999 г.

20. Большой экономический словарь / Под ред. А.Н. Азриляна, 4-е изд. доп. и перераб. — М.: Институт новой экономики, 1999 г. — с.75.

21. Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебное пособие, М., издатель Шумилова И.И., 2000 г.

22. Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, 2002 г., № 5 с.54-59.

23. Доронин А. Оценка профпригодности сотрудника. Сб. Интеллектуальные и психологические качества // БДИ (Безопасность. Достоверность. Информация).,2000 г., № 6, с.10-13.

24. Доронин А. Собственники против менеджеров: кто кого ? // БДИ (Безопасность. Достоверность. Информация).,2001 г., № 4, с. 12-15.

25. Доронин А. С кем идти в разведку ? // БДИ (Безопасность. Достоверность. Информация).,2001 г., № 6, с.10-11.

26. Ефимов П. Концепция обеспечения безопасности информационных технологий. // Банковское дело. 1995 г. - № 7, с. 16-25.

27. Зверев А. Экономическая безопасность России. // Банк. — 1996 г. №7, с.53-56.

28. Зубик В.Б. и другие. Экономическая безопасность предприятия (фирмы). Минск: «Вышэйшая школа», 1998 г.

29. Ивасенко А.Г. Банковские риски. Учебное пособие М.: Вузовская книга, 1998 г.

30. Ильясов С.М. Устойчивость банковской системы: механизмы управления, региональные особенности, М., «ЮНИТИ», 2001 г.

31. Калинин А. Отмывание и утечка капиталов // Защита и безопасность. 2001 г., № 2, с.8-11.

32. Калугин Н. Актуальные вопросы организации взаимодействия банковского сообщества с правоохранительными органами // Информационно-аналитический бюллетень «Банкир» Главного управления Банка России по Санкт-Петербургу, 2001 г., № 3, с.27-30.

33. Калугин Н. Организация информационно-аналитической работы подразделения безопасности//Информационно-аналитический бюллетень «Банкир» Главного управления Банка России по Санкт-Петербургу, 2001 г., № 4, с.55-58.

34. Калугин Н. Организация обеспечения безопасности платежных систем // Информационно-аналитический бюллетень «Банкир» Главного управления Банка России по Санкт-Петербургу, 2001 г., № 1, с.27-30.

35. Калугин Н. Организация борьбы с мошенничеством в сфере банковского кредитования // Информационно-аналитический бюллетень «Банкир» Главного управления Банка России по Санкт-Петербургу, 2002 г., № 2, с.

36. Калугин Н. Организация обеспечения безопасности банковского персонала // Информационно-аналитический бюллетень «Банкир» Главного управления Банка России по Санкт-Петербургу, 2002 г.Да 3,с.

37. Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность:Учебное пособие.-СПб.:СПбГИЭУ, 1996 г.

38. Крылов А.П. Некоторые аспекты работы службы безопасности в банке, находящемся в кризисной ситуации. Материалы учеб.-практ. конф. «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 1999 г.

39. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. 1998 г., № 1, с.88-91.

40. Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях.-Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», Москва, 1999 г.

41. Ларичев В. Предупреждение работниками банка мошенничества и иных злоупотреблений, связанных с выдачей ссуд. // Деньги и кредит. 1997 г. - № 3, с.44-47.

42. Ларичев В. Преступления, совершаемые в сфере банковского кредитования//Деньги и кредит, 1998 г., №4, с.70-72.

43. Лекарев С.В., Порк В.А. Бизнес и безопасность. Толковый терминологический словарь., М., Издательство « Ягуар », 1995 г.

44. Мак Мак Разведывательное подразделение службы безопасности предприятия.//Мир безопасности. - 1998 г., №1, с.22-25.

45. Модель нарушителя информационной безопасности в платежной системе Банка России // Информационный бюллетень Главного управления безопасности и защиты информации Банка России, 1998 г., № 1, с.11-12.

46. Москвин В. Внутренняя защита банка // Бизнес и банки, 1996 г., №>24, с. 12

47. Общие принципы политики информационной безопасности в платежной системе Банка России // Информационный бюллетень Главного управления безопасности и защиты информации Банка России, 1998 г., с. 1, с.8-10.

48. Принципы безопасности банка и банковского бизнеса в России / Под общей ред. Шавеева А.Г.-М.: «Банковский Деловой Центр», 1997г.

49. Савинская Н.А. Устойчивость и экономическая безопасность банковской системы России СПб: СПбГУЭФ, 1999 г.

50. Савинская Н.А. Основы системной организации банковской деятельности. Риски. Надзор. Координация СПб: СПбГУЭФ, 2000 г.

51. Савинская Н.А., Калугин Н.М. Банковская безопасность, комплексная система обеспечения безопасности кредитной организации: Учебное пособие, СПбГИЭУ, 2001 г.

52. Стрельченко Ю.А. Обеспечение информационной безопасности банков: Метод, пособие-М.: ИПКИР, 1994 г.

53. Федулов Ю., Курило А. В защите банков нет второстепенных проблем // Защита и без опасность, 2002 г., № 2, с.22-23

54. Шаваев А.Г. и др. Экономическая безопасность. Энциклопедия. М.: Издательский дом «Правовое просвещение», 2001 г.

55. Шпак В. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. — 2000 г. — январь-февраль, с.75-86.

56. Чупрова А.Ю. Квалификация преступного обмана в кредитно-финансовой сфере. 11 Банковское право. 2000 г., № 2, с.64-67.

57. Экономическая безопасность. Государство Финансы - Банки / Под ред. Снегачева В.К.-М.: «Финстатинформ», 1998 г.