- •Предмет, цели и задачи изучения дисциплины «Безопасность банковской деятельности».
- •Безопасность банковской системы России.
- •Положение кредитно-финансовой сферы в России.
- •Понятие безопасности банка и мер опасности «риск» и «угроза».
- •Классификация угроз безопасности банка.
- •Основные виды угроз безопасности банка, обстоятельства, способы и субъекты их реализации.
- •Имущество и инфраструктура банка.
- •Информация (информационные ресурсы), кадры и нематериальные блага банка.
- •Банк как субъект борьбы с противоправными посягательствами.
- •Организованная преступность как основной источник угрозы безопасности банков.
- •Наиболее характерные приемы и способы совершения преступлений в банковской сфере.
- •Общая характеристика законодательства о банковской безопасности.
- •1. Трудовой кодекс Российской Федерации:
- •2. Нормы тк рф, иных федеральных законов, нормативных правовых актов, устанавливающие основания для отказа от заключения трудового договора с лицом, не отвечающим требованиям безопасности.
- •3. Нормативные акты Банка России, предписывающие создание системы защиты персонала банка от лиц, не отвечающим требованиям безопасности.
- •4. Нормы тк рф, иные законодательные и нормативные требования, предписывающие принятие работником стандартов поведения, направленных на защиту интересов банка, и обязательств по их соблюдении.
- •Правовые акты общего действия, обеспечивающие безопасность банков методами охранительного содержания.
- •Банковское законодательство.
- •Нормативные акты Банка России.
- •Внутренние нормативные акты банков.
- •Организация системы безопасности банка.
- •Субъекты обеспечения безопасности банка.
- •Средства и методы обеспечения безопасности банка.
- •Организация внутреннего контроля банка.
- •Организация службы безопасности банка.
- •Система технических средств обеспечения безопасности банка и технические средства охраны.
- •Технические средства защиты банковских операций и продуктов.
- •Технико-криминалистические средства. Использование технико-криминалистических средств и справочных материалов в процессе проведения «внутренней экспертизы».
- •Хищения денежных средств при совершении кредитных операций.
- •Мошенничество в сфере потребительского кредитования. Меры обеспечения безопасности в процессе потребительского кредитования.
- •Мошенничество в сфере кредитования юридических лиц. Меры обеспечения безопасности кредитных операций.
- •Хищения денежных средств в сфере расчетно-кассового обслуживания юридических лиц.
- •Особенности хищения денежных средств с использованием аккредитивов. Меры защиты от хищений с использованием аккредитивов.
- •Способы мошенничества при расчетах платежными поручениями.
- •Хищения денежных средств с использованием чеков. Меры предупреждения хищений денежных средств с использованием чеков.
- •Основные способы хищения денежных средств с использованием систем удаленного управления счетом («Банк-Клиент» и «Интернет-банкинг»). Предупреждение мошенничества при расчетах платежными поручениями.
- •Основные способы хищения денежных средств в сфере обслуживания держателей банковских карт. Предупреждение хищений денежных средств банка с использованием пластиковых карт.
- •Правовая характеристика векселя. Риски в сфере вексельного обращения.
- •Хищение векселя путем кражи и присвоения. Меры защиты векселя от хищения путем кражи и от хищения путем присвоения.
- •Хищение векселя путем мошенничества. Меры защиты векселя от хищения путем мошенничества.
- •Злоупотребление полномочиями. Меры предупреждения злоупотреблений полномочиями.
- •Коммерческий подкуп. Меры предупреждения коммерческого подкупа.
- •Противоправные посягательства на сведения банка, составляющие банковскую, коммерческую и иную тайну. Основания и виды ответственности за нарушения законодательства о банковской тайне.
- •Характеристика субъектов незаконного получения или использования сведений, составляющих банковскую тайну. Способы незаконного получения и использования сведений, составляющих банковскую тайну.
- •Организация защиты банковской тайны.
- •Способы совершения преступлений в сфере компьютерной информации. Меры предупреждения преступных посягательств на компьютерную информацию банка.
- •Противоправные посягательства на кадровое обеспечение банка. Основные направления защиты кадрового состава банка.
- •Противоправные посягательства на нематериальные активы банка. Защита нематериальных активов банка
- •Система мер предупреждения легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма.
- •Бюро кредитных историй
- •Специальные аналитические технологии для предупреждения и расследования противоправных посягательств на безопасность банка
Организация защиты банковской тайны.
Разработка и реализация практических мер по организации защиты банковской тайны в соответствии с действующим законодательством возлагается на ее обладателя. Именно он должен создать систему защиты сведений, составляющих банковскую тайну и иную информацию ограниченного доступа, и обеспечить ее эффективную работу.
Цель функционирования указанной системы — обеспечить оптимальный режим работы организации с таким расчетом, чтобы сделать информацию и сведения ограниченного доступа недосягаемыми для посторонних лиц и создать необходимые условия работы сотрудникам, имеющим к ним доступ. Для этого устанавливается единый порядок работы с защищаемой информацией. Основная особенность этого порядка заключается в организации конфиденциального делопроизводства, принятии работниками обязательства строгого исполнения его правил и индивидуальной ответственности за обеспечение сохранности доверенных сведений ограниченного доступа и их носителей.
В рамках системы организуется обучение работников правилам соблюдения банковской тайны. Осуществляется систематический контроль за исполнением организационно-распорядительных документов и инструкций по обеспечению конфиденциальности информации. Система предусматривает наличие типовой процедуры анализа и разбирательства (ведомственного расследования) по фактам нарушения порядка работы со сведениями, составляющими банковскую тайну, и выработку предложений по совершенствованию защиты информации.
Осуществление указанных мероприятий целесообразно начать с подготовки соответствующих организационно-распорядительных и нормативных документов, наделяющих специально выделенных работников организации правом относить информацию к числу сведений, составляющих банковскую тайну. Нормативной основой работы комиссии должно служить специально разработанное Положение о порядке отнесения информации к банковской тайне.
Перечень доводится до сведения сотрудников, уполномоченных относить информацию к категории банковской тайны (в полном объеме либо в части, их касающейся). Он изменяется и дополняется по мере целесообразности (устаревания сведений, появления новых технологических достижений и пр.).
Как правило, в перечень включаются следующие основные категории сведений, обеспечивающие организации преимущество в конкурентной борьбе.
В сфере перспективного планирования:
• сведения о планируемых мероприятиях по реализации основных программ деятельности кредитной организации, направленных на расширение присутствия банка на рынке банковских услуг и иных рынках, на которых представлены или планируются к представлению продукты и услуги кредитной организации;
• сведения, раскрывающие конкретные параметры инвестиционной политики, а также планы и программы инновационного развития банка;
• сведения о перспективных планах по созданию и развитию филиальной сети;
• сведения, раскрывающие конкретные параметры планируемых мероприятий, направленных на привлечение и концентрацию интеллектуальных, производственных и финансовых ресурсов с целью реализации перспективных программ повышения конкурентоспособности продуктов и услуг кредитной организации.
В сфере текущего планирования и управления:
• сведения о запланированных изменениях в структуре банковских продуктов и услуг кредитной организации и их финансово-экономических обоснованиях;
• детализированные планы и отчеты по освоению новых продуктов и услуг;
• информация, раскрывающая содержание и условия крупных сделок, совершаемых банком;
• сведения о конкретных мероприятиях по подготовке к выходу на рынок новых банковских услуг и продуктов;
• детализированные планы мероприятий по повышению конкурентоспособности кредитной организации на рынке банковских услуг;
• информация, раскрывающая запланированную позицию банка в переговорах с потенциальными клиентами и партнерами.
В сфере защиты экономических интересов и деловой репутации:
• сведения о результатах изучения возможных внедружественных действий со стороны потенциальных конкурентов;
• сведения о выявленных фактах недобросовестной конкуренции в отношении банка до принятия решения об их открытом использовании;
• сведения, составляющие банковскую (коммерческую) тайну партнеров, полученные на договорной основе, в том числе по международным договорам.
В сфере обеспечения безопасности банковской деятельности:
• информация, раскрывающая систему защиты, средства и способы защиты экономической безопасности банка;
• сведения, раскрывающие средства и способы технической защиты кредитной организации;
• сведения об организации, обеспечении и фактическом состоянии защиты информации, передаваемой по каналам телекоммуникационных сетей;
• сведения, раскрывающие значение действующих кодов, паролей и иных идентификаторов, используемых для подтверждения полномочий на установление связи, разблокировку автоматизированных рабочих мест, доступ к информационным ресурсам, средствам автоматизации, программным средствам, системам связи и передачи данных и средствам управления ими и т.д.
Следующим шагом в организации защиты информации - организация защиты сведений, отнесенных к коммерческой тайне, от незаконного получения, разглашения, утраты и использования. С этой целью устанавливается ограничение доступа к носителям информации, содержащей коммерческую тайну.
Основные мероприятия по организации правомерного доступа сотрудников к сведениям, составляющим коммерческую тайну, излагаются, как правило, в виде раздела Положения. Однако в случае необходимости может быть разработана специальная инструкция, детализирующая процедуру доступа.
Оба документа могут составляться с различной степенью детализации, зависящей от специфики деятельности организации, однако ряд положений, отражающих права и обязанности сторон, возникающие в связи с допуском к коммерческой тайне, должен быть включен в нее непременно.
В них устанавливается механизм реализации норм конституционного права, гражданского, трудового и иного законодательства в процессе защиты коммерческой тайны.
Важным звеном системы защиты информации является организация специального делопроизводства — особого порядка обращения со сведениями и документами, в которых она содержится. Защищенность информации при работе с нею обеспечивается соблюдением требований инструкции об организации конфиденциального делопроизводства, которая разрабатывается в развитие соответствующего раздела Положения о защите коммерческой тайны.
Вводится личная ответственность работников за защиту информации на всех этапах работы. Устанавливается единый порядок доступа к носителям информации всех категорий сотрудников, получивших право работать с ними.
Принципиальным требованием правил конфиденциального делопроизводства является установление персональной ответственности лиц, работающих с материалами, за сохранность доверенных им документов и сведений.
В связи с этим лицо, допущенное к сведениям, составляющим коммерческую тайну, должно принять на себя ряд определенных обязательств и ограничений, связанных с будущей деятельностью.
Главной задачей организации защиты информации, составляющей коммерческую тайну, от утечки по техническим каналам является создание системы защиты информации ограниченного доступа, циркулирующей в технических средствах и помещениях, от утечки и умышленного перехвата с противоправными целями. Такая система должна состоять из двух блоков: технического и функционального. В рамках первого ведется разработка и внедрение технических средств защиты информации, циркулирующей в средствах техники и связи.
С указанной целью технической защитой обеспечиваются:
- помещения, предназначенные для ведения конфиденциальных переговоров;
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства), средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видеосмысловой и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки информации ограниченного доступа;
- технические средства и системы, не обрабатывающие непосредственно информацию ограниченного доступа, но размещенные в помещениях, где обрабатывается (циркулирует) такая информация;
- радиоизлучения или электрические сигналы от внедренных в технические средства и помещения специальных электронных устройств перехвата информации («закладок»);
- радиоизлучения или электрические сигналы от устройств перехвата информации, подключенных к каналам связи, а также к отдельным носителям информации.
Кроме того, технические средства защиты информации от утечки должны препятствовать непреднамеренному попаданию сведений ограниченного доступа к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Решение технических задач возлагается на подразделения (либо отдельных специалистов) разработки технических средств защиты информации.
Другой важной задачей создания системы защиты информации является организация функционирования указанных выше технических и программных средств в определенном режиме. Ее решение требует принятия пакета организационно-распорядительных и рабочих документов. В частности, издания приказов о создании соответствующих подразделений по защите информации и назначении лиц, ответственных за эксплуатацию технологического оборудования и электронных банков данных.
Созданные подразделения, в свою очередь, готовят совместно с разработчиками средств технической защиты инструкции с описанием требований по защите информации, которые должны выполнять в процессе обработки (передачи) информации лица, ответственные за эксплуатацию технологического оборудования и электронных баз данных, пользователи информации ограниченного доступа и сотрудники подразделений по защите информации.
Программа обеспечения функционирования системы защиты информации ограниченного доступа должна включать в себя выполнение специальной проверки технических средств и служебных помещений на предмет отсутствия в них возможно внедренных электронных устройств перехвата информации («закладок»); организацию охраны и физической защиты объекта информатизации и отдельных технических средств, исключающих несанкционированный доступ к ним, а также контроль состояния и эффективности защиты информации.
В целях предупреждения внедрения «закладок» в технические средства и интерьер подразделение по защите информации составляет технический паспорт на каждое защищаемое помещение. Этот документ должен содержать план размещения оборудования и схему его кабельных соединений.
В паспорт включается перечень оборудования и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установки и замены. Кроме того, в нем отражаются перечень реализованных мероприятий по защите информации, даты и результаты периодических проверок системы защиты.
Задача обеспечения защиты информации от утечки по техническим каналам, как и во всех иных указанных выше случаях, возлагается на руководителей организации и подразделений, которые разрабатывают и эксплуатируют объекты информатизации, организуют и осуществляют защиту информации (службы безопасности).