- •Информационные системы в банковском деле
- •Печатается по решению редакционно-издательского совета университета
- •302030, Г. Орел, ул. Московская, 65
- •1 Базовые понятия и термины банковских систем
- •1.1 Организационные основы функционирования банковской системы России
- •1.2 Операционная техника в банках
- •1.3 Учет в банках
- •1.4 Жизненный цикл и стадии создания абс
- •1.5 Информационное обеспечение
- •1.6 Техническое оснащение решения банковских задач
- •1.7 Программное обеспечение абс
- •1.8 Требования к абс
- •1.9 Фирмы-разработчики систем компьютеризации
- •5Nt ваnк – система автоматизации банковской деятельности:
- •5Nt retail – система автоматизации обслуживания населения:
- •5Nt custody – интегрированная фондовая система:
- •5Nт client – система дистанционного обслуживания клиентов:
- •2 Введение в автоматизацию банковской деятельности
- •2.1 Специфика организации банковского дела в России
- •2.2 Системы автоматизации банковской деятельности за рубежом
- •2.3 Развитие абс в России
- •3 Автоматизированная банковская система. Основные тенденции развития
- •3.1 Принципы создания и функционирования автоматизированных банковских технологий
- •3.2 Инфраструктура абс
- •3.3 Многоуровневая функциональная модель работы банка
- •3.4 Анализ практического опыта создания и эксплуатации абс
- •4 Автоматизированная технология решения задач «операционный день банка»
- •Назначение и условия применения программно-технологического комплекса одб
- •4.2 Проблемы внедрения систем электронного документооборота
- •5 Организация и учет операций по безналичным расчетам
- •5. 1. Общее понятие о безналичных расчетах
- •5. 2. Основные принципы безналичных расчетов
- •5. 3. Формы безналичных расчетов
- •5.4 Межбанковские расчеты
- •5.5 Платежные системы коммерческих банков
- •6 Абс на основе технологии intranet
- •6.1 Проблемы внедрения абс
- •6.2 Анализ технических решений
- •7 Автоматизированная технология функционирования системы «клиент-банк»
- •7.1 Основные функции системы «Клиент-банк»
- •7.2 Функциональная структура системы «Клиент-банк»
- •7.3 Ввод и редактирование платежных документов
- •7.4 Реализация технологии системы «Клиент-банк»
- •8.2 Возможности системы анализа и прогноза
- •Задачи и методики, реализованные на базе программного продукта.
- •9 Международная система всемирных межбанковских финансовых телекоммуникаций swift
- •9.1 Виды услуг, предоставляемых системой swift
- •9.2 Стандартизация типов сообщений
- •9.3 Архитектура сети
- •9.4 Преимущества и недостатки системы swift
- •9.5 Обеспечение безопасности системы swift
- •10 Возможности интернет для рынка банковских услуг
- •10.1 Экономические причины использования Интернет
- •10.2 Транзакционные услуги
- •10.3 Изменение способа дистрибуции банковских услуг
- •10.4 Системы «Интернет-клиент-банк», как альтернатива системам «Клиент-банк»
- •11 Концепция комплексной защиты банковских объектов
- •11.1 Банк как объект защиты, его структура
- •11.2 Основные виды угроз деятельности банковского объекта
- •11.3 Объективные и субъективные угрозы
- •11.4 Главные функции системы комплексной защиты
- •11.5 Основные принципы построения системы защиты
- •11.6 Средства и методы, используемые в системах защиты банковских объектов
- •11.7 Организация системы антивирусной защиты банковских информационных систем
- •12. Технология data mining
- •12.1 Назначение технологии Data Mining
- •12.2 Типы закономерностей
- •12.3 Классы систем Data Mining
- •12.4 Применение Data Mining в банковском деле
- •Список рекомендуемой литературы
- •Электронные ресурсы:
- •Приложение 1 Базовые понятия и термины банковских систем
11.5 Основные принципы построения системы защиты
Средства защиты сложным образом взаимодействуют друг с другом, с субъектом угрозы и с объектом зашиты. Эффективность их применения зависит от местных факторов, объективных и субъективных условий. Типы средств защиты многообразны и различны по принципам построения, функциональным возможностям и стоимости. Эти и другие особенности определяют два важных вывода:
1. Защита должна проектироваться как единая система. Для этого применяются системотехнические методы проектирования.
2. Система защиты должна строиться с учетом определенных принципов, обеспечивающих эффективность ее создания и эксплуатации. При этом учитываются выводы, сделанные в предыдущих разделах.
Построение системы защиты объекта должно основываться на следующих основных принципах: комплексности, эшелонирования, равнопрочности рубежа, разумной достаточности и непрерывности.
ПРИНЦИП КОМПЛЕКСНОСТИ означает, что при построении системы защиты необходимо учитывать все угрозы, способные нанести ущерб банковскому объекту, а выбранные системы, средства и методы защиты должны функционировать согласованно как единый механизм защиты, взаимно дополняя друг друга в функциональном и в техническом смысле. Особое внимание должно уделяться обеспечению «стыков» между разными средствами защиты.
ПРИНЦИП ЭШЕЛОНИРОВАНИЯ заключается в создании нескольких последовательных рубежей защиты таким образом, чтобы наиболее важная зона безопасности банка находилась внутри других зон:
ЗОНА № 1 Периметр территории здания
ЗОНА № 2 Периметр здания банка
ЗОНА № 3 Прием посетителей
ЗОНА № 4 Служебные кабинеты
ЗОНА № 5 Руководство, Хранилища банка, Депозитарий
Тогда вероятность реализация угрозы Q в зоне 5 (наиболее важный участок банка) будет зависеть от вероятностей преодоления рубежей Rl, R2, R3, R4, R5, т.е. будет равна произведению:
Q5 = P(Pl)*P(P2)*P(P3)*Р(Р4)*Р(Р5 )
Поскольку Р( Ri)<1, то вероятность Q уменьшается с ростом числа рубежей, т.е. с увеличением степени эшелонированности зон.
ПРИНЦИП РАВНОПРОЧНОСТИ требует, чтобы все участки всех рубежей, защищающих зону безопасности, были равнопрочными с точки зрения вероятности реализации угрозы. Если в рубежах есть слабые, плохо защищенные места и злоумышленнику это известно, то никакие эффективные меры защиты на остальных участках не защитят эту зону безопасности.
ПРИНЦИП РАЗУМНОЙ ДОСТАТОЧНОСТИ заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать «абсолютную» защиту. При достаточном количестве средств и времени можно преодолеть любую защиту. Высокоэффективная система защиты стоит дорого, поэтому важно выбрать тот достаточный уровень, при котором риск и размер возможного ущерба находились бы в разумных пределах.
ПРИНЦИП НЕПРЕРЫВНОСТИ требует, чтобы в процессе функционирования системы защиты не было перерывов в ее работе, вызванных ремонтом, сменой паролей и т.п., которыми может воспользоваться субъект угрозы.
11.6 Средства и методы, используемые в системах защиты банковских объектов
На практике выделяют несколько групп средств и методов, используемых в системе защиты государственных и коммерческих объектов, которые также используются и в системе комплексной защиты банков:
организационно-правовые,
инженерно-технические,
информационно-технологические,
оперативно-технические,
морально-психологические,
специальные.
Организационно-правовые средства
Организационно-правовые средства и методы регламентируют весь технологический цикл работы банка от методики подбора кадров и приема их на работу, например, на контрактной основе, до положений о функциональных обязанностях любого банковского сотрудника. Каждая банковская инструкция или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы комплексной защиты банка. Для государственных и коммерческих банков, их отделений на сегодняшний день разработано большое количество нормативов, инструкций, положений и рекомендаций, авторами которых являются Минфин и Центробанк. Как надо банкам жить и работать - пишут сегодня различные государственные структуры: Налоговая Служба, МВД, ФСБ и др., а также негосударственные, например, Ассоциация Российских Банков.
Разобраться в большом количестве нормативов и советов достаточно сложно, тем более, что далеко не каждая рекомендация может быть применима банками на местах в «чистом» виде, без корректировки с учетом местных особенностей. Для оценки и корректировки всех регламентирующих банковскую «жизнь» документов, с точки зрения комплексной системы защиты, практикуется создание Совета по безопасности при руководстве банка. В экспертную группу Совета по безопасности могут входить как Высококлассные специалисты данного банка, так и опытные консультанты из других организаций. После рекомендаций Совета по безопасности руководство банка, совет директоров утверждают инструкции, нормативы и рекомендации, которые далее приобретают форму приказов для всего персонала банка и его отделений.
Служба безопасности банка является одним из важнейших подразделений (в дальнейшем СБ), главной задачей которой является создание и поддержание условий деятельности банка, необходимых для безопасности его персонала и посетителей, сохранности всех материальных ценностей и безопасности информации в различных ее видах.
Для обеспечения таких условий, как говорилось ранее, создается комплексная система банковской защиты. Детальные задачи СБ формулируются в Положении о СБ конкретного банка, которое готовится с учетом основных направлений деятельности данного банка и его финансовых потенциалов, специфики региона и нормативов его администрации.
В настоящее время достаточно широко практикуется вовлечение СБ во все банковские направления деятельности, в том числе в кредитование, в сферу оценки рисков, в информационно-аналитическую, кадровую работу и др. Такое положение, когда на СБ возлагается слишком много функций, может привести к серьезным просчетам, к «размыванию ответственности в принятии стратегических решений. Контроль и участие СБ в деятельности всех подразделениям .банка может при вести к трудностям в управлении, кризису и даже банкротству. Оптимальной является ситуация, когда, например, отдел кадров или информационно-аналитическая служба банка (его внешняя разведка), ведущая в том числе и работу против конкурентов, независимы от СБ и подчиняются непосредственно руководству банка, Совету по безопасности.
Инженерно-технические средства
Инженерно-технические средства и методы - это аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз банковскому объекту, создания преград на пути их распространения и для ликвидации угроз. Инженерно-технические средства и методы составляют основу, фундамент комплексной системы защиты; их качество и надежность во многом определяют уровень безопасности банка и его помещений, каждого рабочего места в нем. Охранно-пожарная сигнализация, охранное телевидение, охранное освещение, системы контроля доступа, аппаратура зашумления помещений, генераторы радиопомех и др. должны взаимно дополнять друг друга, их сильные и слабые стороны необходимо учитывать при построении комплексной системы защиты.
Основные инженерно-технические средства, их типы и состав для банковских объектов рекомендуются правоохранительными органами и Центральным Банком. Необходимость оснащения банка дополнительными средствами, такими, например, как радиосвязь, укрытие автомашины инкассации и т.п., а также специальными средствами, например, для поиска техники подслушивания, определяется на местах руководством банка по рекомендации СБ, с учетом направлений деятельности банка и вероятности соответствующих угроз, финансовых потенциалов банка и нормативов местной администрации.
Информационно-технологические средства
Информационно-технологические средства и методы относятся к сфере защиты электронной информационной сети. В настоящее время большинство служащих банка имеет в своем распоряжении электронное рабочее место - персональный компьютер с дополнительными устройствами ввода и вывода информации (сканеры, принтеры, модемы и др.). С его помощью ведётся ввод, хранение, обработка и вывод необходимой информации - т.н. базы данных. Электронное рабочее место может быть подключено к локальной банковской компьютерной сети, через которую будет осуществляться выход в межбанковскую и далее в международную сеть.
Средства и методы этой группы защиты предусматривают классификацию циркулирующей в компьютерной сети информации на:
конфиденциальную информацию, передача или утечка которой к посторонним лицам повлечет за собой ущерб банку, его персоналу;
критическую информацию, отсутствие или порча которой сделает невозможной повседневную работу персонала и всего банка в целом.
Безопасность информации невозможно обеспечить отдельно, без защиты всей компьютерной техники, коммуникаций и применяющихся программ. В связи с этим все технические средства обработки информации, программное обеспечение и базы данных объединяют в понятие «ресурс», безопасность которого будет зависеть от таких характеристик, как:
а) конфиденциальность - способность ресурса быть доступным только пользователям банка, имеющим на это разрешение и недоступным всем остальным;
б) целостность - способность ресурса быть полным, неизменным и работоспособным во все необходимые периоды работы пользователей банка;
в) доступность - способность ресурса быть в нужном для пользователя месте, в нужное для него время и в нужной форме. Все сотрудники банка, занимающиеся вопросами безопасности ресурса, должны иметь четкие правовые инструкции, в которых оговорены, с одной стороны, вся их разрешенная работа с ресурсом, а с другой стороны, последствия противоправных действий с ресурсом.
Оперативно-технические средства
Оперативно-технические средства и методы предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность банка, его персонала и технологий банковской работы. Использование таких средств и методов, как контроль городских телефонных линий, конспиративная запись разговоров на магнитофон или с помощью радио-микрофонов, скрытое видеонаблюдение и документирование действий посетителей и персонала банка в определенные моменты времени и др. может в значительной мере способствовать раннему обнаружению и ликвидации таких угроз, как хищения и шпионаж, халатное или злонамеренное невыполнение должностных инструкций, приводящих к ущербу и т.п.
Работа с оперативно-техническими средствами проводится, как правило, сотрудниками СБ банка из числа бывших офицеров спецслужб с помощью разнообразной аппаратуры и приспособлений. Правомочность таких оперативно-технических мероприятий может определяться с учетом контрактной основы работы персонала банка, наличия в банке специфических участков, таких как операционный зал, кассы, комнаты пересчета, инкассационные помещения, депозитарий, хранилища и др.
К этой группе относится и поиск техники подслушивания и съема информации. Такая работа проводится с использованием специальных, конфиденциальных методов и средств.
Морально-психологические средства
Морально-психологические средства и методы включают в себя мероприятия СБ по работе как с персоналом и посетителями банка, так и с категорией лиц вне банка, сведения и действия которых могут оказать существенное влияние на безопасность банка, его персонала, ценностей и информации. К таким мероприятиям относят:
1. Проведение периодических инструктивных совещаний с персоналом банка по различным аспектам безопасности, разбор имевших место происшествий, аварий, нарушений инструкций, ознакомление с текущей открытой и закрытой информацией о преступлениях в отношении банков.
2. Обязательное ознакомление всего персонала банка «под расписку» с основными, текущими и персональными приказами и распоряжениями руководства как по нарушениям в отношении системы защиты, так и по фактам предотвращения ущерба и поддержания должного уровня безопасности сотрудниками банка.
3. Периодическая проверка знаний должностных инструкций и рабочих нормативов сотрудниками СБ и лицами, имеющими отношение к системам безопасности и работающими с конфиденциальной информацией. Проведение периодических тестирований персонала.
4. Периодический контроль, в том числе и медицинский, психофизиологического состояния сотрудников наиболее важных и секретных участков банка.
5. Оборудование наиболее важных участков банка открытыми, демонстративными и фальшивыми (ложными) средствами безопасности, сопровождение их предупредительными надписями и рекомендациями.
Наряду с этим, существенным моментом поддержания необходимого уровня безопасности банка может быть работа руководства СБ банка с информаторами как из числа лиц, работающих в наиболее важных и секретных подразделениях банка, так и вне банка, в его окружении. Практика показывает, что информатор-осведомитель часто бывает единственным источником упреждающих (обнаруживающих) сведений об угрозах, чреватых большим ущербом для банка и его руководителей.
Такая работа должна проводиться сотрудниками СБ, имеющими соответствующий опыт с использованием приемов конспирации, материального поощрения, продвижения информаторов на ответственные участки системы защиты банка.
Специальные средства и методы
Специальные средства и методы используются для получения, сбора и анализа информации о конкурентах и фирмах, представляющих источник опасности для банка. Для подобного рода «разведывательной» деятельности может быть создана отдельная от банка, «независимая» фирма или «информационное бюро», укомплектованное бывшими оперативными работниками правоохранительных органов.