CC BY
8
УДК 004.056.
Жуков А.З., к.тн. преподаватель
кафедра деятельности ОВД в особых условиях Северо-Кавказский институт повышения квалификации (филиал)
Краснодарский университет МВД России
Шугунов Т.Л., к.ф.н.
доцент
кафедра информатики и информационной безопасности
Хочуева Ф.А.
преподаватель курсов повышения квалификации Федеральное государственное бюджетное образовательное
учреждение высшего образования «Кабардино-Балкарский государственный университет им. Х.М. Бербекова» Россия, г. Нальчик
АКТУАЛЬНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОМ СЕКТОРЕ РОССИЙСКОЙ
ФЕДЕРАЦИИ
Аннотация: в данной статье рассматриваются актуальные проблемы обеспечения эффективной системы информационной безопасности в банковском секторе Российской Федерации. Исследуются внешние и внутренние факторы, которые могут нарушить политику конфиденциальности в отношении банковской информации. Также в статье рассмотрена политика государства, которая направлена на обеспечение эффективного функционирования системы информационной безопасности в банковской сфере.
Ключевые слова: информационная безопасность, защита данных, банки, криптография, хранение данных, конфиденциальность, программы защиты.
Zhukov A.Z., candidate of technical sciences Teacher of the department of ATS activity in special conditions North-Caucasian Institute for Advanced Studies (a branch of the Krasnodar University of the Ministry of Internal Affairs of Russia
Shugunov T.L. Candidate of physico-mathematical sciences Associate Professor of the Department of Informatics and Information
Security Khochueva F.A. teacher of advanced training courses The Federal State Budget Educational Institution of Higher Education "Kabardino-Balkaria State University. H.M. Berbekova»
Russia, Nalchik
TOPICAL ISSUES OF INFORMATION SECURITY IN THE BANKING SECTOR OF THE RUSSIAN FEDERATION
Abstract: In this article, topical problems of ensuring effective information security in the banking sector of the Russian Federation are considered. External and internal factors that may violate the confidentiality policy regarding the bank's information are investigated. The article also examines the state policy, which is aimed at ensuring the effective functioning of the information security system in the banking sector.
Keywords: information security, data protection, banks, cryptography, data storage, confidentiality, protection programs.
В современном обществе и в условиях перехода к цифровой модели экономики, значимость, стоимость и безопасность хранения банковской информации значительно возросла. Это в свою очередь привело к росту преступных действий в банковской сфере. Одной из ключевых задач каждого банка в данных условиях стала необходимость обеспечения безопасности хранения данных, систематическая смена и проверка паролей, контроль вероятности утечки конфиденциальной информации.
В современных условиях злоумышленник может совершить противоправные действия дистанционно при наличии персонального компьютера, в связи, с чем вопрос обеспечения безопасности столь актуален.
Известно, что информационные системы банков содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций.
Банковская система должна эффективно использовать данную информацию, при этом сохраняя конфиденциальность данной информации.
Необходимо сформировать целую и эффективную структура, которая будет обеспечить защиту банковской информации и конфиденциальность клиентской базы.
Необходим ряд мер, которые будут обеспечивать защиту данной информации:
• проведение оценки и разработка конфиденциальной информации;
• приобретение соответствующего оборудования для обеспечения защиты конкретных объектов;
• осуществление мониторинга эффективности принятых мер.
Эффективная деятельность банка возможно только в случае
налаженной системы обмена внутренними данными и надежной системы защиты данных процессов от внешнего воздействия.
Оборудование информационной защиты банковских объектов может иметь различные формы.
Специалисты в области обеспечения информационной безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.
При выборе определенной формы защиты конфиденциальной
информации необходимо учитывать все возможные способы взлома и утечки информации. В целях обеспечения грамотной и эффективной работы системы обеспечения информационной безопасности необходимо беспрерывное и слаженное функционирование всех отделений банка и его финансовых систем. 29
Комплекс защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд конкретных мероприятий:
• контроль обмена данных и строгая их регламентация;
• профессиональная подготовка сотрудников банка и соблюдение ими требований безопасности;
• строгий учет каналов и серверов;
• анализ эффективности.
Каждое из перечисленных направлений включает в себя несколько этапов работы.
Контроль обмена данными подразумевает своевременный обмен необходимой информацией и своевременное уничтожение остаточной информации. Данные мероприятия предполагают так же строгий контроль обработки информации и их криптографическую защиту.
Система идентификации, которая предполагает использование паролей и электронных ключей, направлена на защиту доступа к данным банка.
Одним из ключевых моментов является профессиональное обучение и переподготовка сотрудников банка, которые непосредственно работают с конфиденциальной информацией.
Строгий учет каналов и серверов направлен на техническую защиту информации и включает такие мероприятия: защита резервных копий, обеспечение бесперебойной работы оборудования, ограниченный доступ к сейфам.
Одной из широко используемых мер защиты на данный момент является электронная цифровая подпись. В общем, система криптографии совершенствуется. Именно благодаря современным методам удалось реализовать меры по использования электронной цифровой подписи. Данная подпись - это аналог собственноручной подписи, который имеет привязку к электронному ключу, хранящемуся у владельца подписи. Ключ имеет два компонента: открытый и закрытый, защищен специальным кодом.
В целом система безопасности представляет собой непрерывный процесс идентификации, анализа и контроля.
Рассмотрим базовые принципы, соблюдение которых необходимо для обеспечения информационной безопасности банка:
— своевременное установление и обнаружение проблем;
— возможность прогнозирования развития;
— актуальность и эффективность предпринятых мер.
Факторы, которые являются угрозой информационной безопасности
29 Внуков А. А. Защита информации в банковских системах. М. Юрайт 2017 246 с.
подразделяют на внешние и внутренние.
К внутренним факторам относится деятельность сотрудников банка.
Так основной и ключевой угрозой информационной безопасности является именно человеческий фактор, основной процент утечки информации - это непрофессионализм, невнимательность сотрудников банка
По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.
Формирование эффективной внутренний системы информационной безопасности банка для защиты конфиденциальной информации необходимо и для защиты от намеренного взлома базы данных.30
Кроме внутреннего фактора, существует также техническая угроза информационной безопасности кредитных учреждений. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями.
Применение специальной аудио или видео аппаратуры позволяет произвести съем и получение информации в данной ситуации. Так использование электрических и электромагнитных излучений обеспечивают злоумышленникам возможность получения конфиденциальных данных, электронной цифровой подписи.
Компьютерные вирусы, программные закладки также представляют опасность т угрозу для программного обеспечения, так как некоторые из них способны разрушит введенные коды.
Для решения вирусных проблем наиболее эффективным и оптимальным является использование лицензионных антивирусных программ, которые достаточно эффективно решают данную проблему.
Таким образом, обеспечить защиту банковской информации от всех видов утечки информации поможет грамотный специалист и использование программного обеспечения, которое позволяет отслеживать и блокировать передачу информации на все виды съемных носителей. Следует отметить, что существенную роль в реализации эффективной информационной безопасности в банковском секторе играет государство.
Так с 2018 года банки обязали соблюдать новые меры кибербезопасности. Данные меры включают: обязательный аудит информационной безопасности, проведение тестирований на проникновение (пентесты), проведение обязательной сертификации программного оборудования.Данный документ подписан в июне 2018 года Министерством юстиции Российской Федерации. Соответствие данным требованиям потребует значительных финансовых ресурсов. Данные расходы будут
30 Тарчоков Б. А. Анализ преступных деяний, совершенных в банковской сфере с использованием интернет технологий // Пробелы в российском законодательстве, 2017, N № 5.- С. 211-212
производить кредитные учреждения и клиенты. Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Министерством юстиции. 26 июня. 31
В соответствии с данными требованиями кредитные организации теперь обязаны использовать программное обеспечение, сертифицированное Федеральной службой по техническому и экспортному контролю Российской Федерации. Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых имеются сильные ИБ-специалисты. Пентесты теперь, согласно документу, будут проводиться ежегодно, а раз в два года кредитным организациям придется осуществлять внешний аудит кибербезопасности. Основная озабоченность в данной ситуации — рост расходов. Центральный банк Российской Федерации же считает, что расходы не будут чрезмерными.
5 июня 2018 года одобрила в третьем чтении правительственный законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания.
Документ устанавливает порядок действий банков при выявлении признаков нелегитимных транзакций — то есть, переводов средств, совершаемых без ведома и согласия владельца счёта. За банком или оператором по переводу денежных средств закрепляется обязанность приостановить на срок не более двух рабочих дней исполнение распоряжения, а также заблокировать на такой же срок электронное средство платежа, если обнаружены признаки совершения перевода денежных средств без согласия клиента. Кроме того, вводится особый порядок действий банка, нацеленных на возврат денежных средств законному владельцу в случае осуществления несанкционированного списания со счета клиента. Указанный порядок предназначен только для защиты юридических лиц: для физических лиц процедура возврата средств была закреплена более ранним законом.
Законопроект закрепляет полномочия ЦБ по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры информации из указанной базы данных.
В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является
31 Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (утв. Банком России 09.06.2012 N 382-П) (ред. от 07.05.2018) (Зарегистрировано в Минюсте России 14.06.2012 N 24575)
обязательным условием. Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.
Использованные источники:
1. Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (утв. Банком России 09.06.2012 N 382-П) (ред. от 07.05.2018) (Зарегистрировано в Минюсте России 14.06.2012 N 24575)
2. Внуков А.А. Защита информации в банковских системах. М. Юрайт 2017 246 с.
3. Тарчоков Б. А. Анализ преступных деяний, совершенных в банковской сфере с использованием интернет технологий // Пробелы в российском законодательстве, 2017, N № 5.- С. 211-212
4. Твой бизнес [электронный ресурс] https://tvoi.biz/biznes/informatsionnaya-bezopasnost/mformatsюnnaya-bezopasnost-bankov.html (дата обращения 15.08.2018).
