правовые основы, способы и методы обеспечения экономической безопасности банковской деятельности в современных условиях
д. г. коровяковский,
кандидат юридических наук, доцент
В современных условиях обеспечение безопасности своей деятельности необходимо любым предприятиям, организациям и учреждениям, и в том числе коммерческим банкам. Банк является наиболее разветвленным, постиндустриальным субъектом экономики, концентрирующим в себе огромный экономический потенциал и привлекающим к себе особое внимание различного рода злоумышленников. В этих условиях многие коммерческие банки создают собственные системы безопасности, затрачивая на это значительные суммы. Как показывает мировая практика, размер затрат на надежное обеспечение безопасности составляет около 15 % годового дохода. Каждый банк сам выбирает себе форму и программу обеспечения банковской безопасности. Главное в организационной работе по обеспечению банковской безопасности состоит в том, что она требует комплексного подхода, глубокого анализа, прогнозирования, выявления и своевременного принятия мер по устранению внутренних и внешних угроз. В связи с этим возникает настоятельная необходимость перехода с уровня общих представлений о безопасности банковской системы на уровень ее интеллектуально-наступательного обеспечения.
Структуризация комплексной безопасности коммерческого банка. Политика экономической безопасности предпринимательства в РФ строится на следующих конституционных принципах: верховность права; признание норм международного права; гарантии свободы экономической деятельности, равенство и гарантии всех форм собственности; гарантии прав и свобод человека и гражданина, их
государственная защита; гарантии судебной защиты прав и получения квалифицированной юридической помощи.
При выработке концепции обеспечения экономической безопасности любой организации необходимо исходить из того, что результатом применения мер противодействия угрозам является защита персонала, материальных, финансовых, информационных ресурсов от нанесения им возможного ущерба в результате случайных или преднамеренных действий.
Различают следующие направления обеспечения экономической безопасности организации:
1) правовая защита, т. е. наличие таких нормативно-правовых элементов, как: патенты, авторские права, лицензии, законы, подзаконные акты, кодексы, инструкции, положения, приказы;
2) организационная защита, т. е. регламентация производственной деятельности и взаимоотношений исполнителей (сторон), исключающая нанесение ущерба: режим и охрана организации, обеспечение сохранения конфиденциальной информации, подбор и расстановка персонала;
3) инженерно-техническая защита, т. е. использование различных технических средств, препятствующих нанесению ущерба: физические и аппаратные средства, программное обеспечение, математические (криптографические) методы.
В рамках указанных направлений деятельность организации по обеспечению экономической безопасности классифицируется: • по целям: предупреждение, выявление, пресечение угроз, ликвидация последствий;
по видам угроз: от разглашения, от несанкционированного доступа, от утечки; по объектам:территория, здания, аппаратура, персонал, финансо-
вые ценности, информация; • по активности: активные методы! защиты, пассивные методы.
Непосредственно в организации обеспечение экономической безопасности — это выполнение определенных функций (табл. 1).
По мнению отечественных и зарубежных экспертов по проблематике безопасности, успешная защита предприятия от угроз зависит от полноты реализации принципов системного подхода к разрешению данной проблемы. Системность подхода к структуризации безопасности банка можно отобразить схематично (см. рисунок).
Сложности в применении системного подхода к обеспечению безопасности банка заключаются в том, что необходимо давать экономическую оценку альтернативных вариантов проектирования и реализации определенной системы мер. Представляется, что такая система мер должна обеспечивать наиболее рациональное решение комплекса задач безопасности того или иного банка в условиях неопределенности проявления внешних и внутренних угроз — как в части прогнозирования угроз, так и по возможностям их локализации.
В систему безопасности банка могут быть включены следующие задачи, составляющие комплекс защитных мер:
1) анализ реальных и потенциальных угроз безопасности банка;
2) оценка угроз;
3) планирование комплекса мер по локализации угроз;
Системный подход к обеспечению безопасности банка
4) реализация комплекса мер противодействия угрозам.
Вместе с тем российская и мировая практика безопасности свидетельству^: чтобы эффективно противодействовать угрозам и создавать условия для безопасной и стабильной работы предприятия, необходимо не только создать систему комплексной защиты, но и обеспечить ее рациональное функционирование.
Общая концепция безопасности коммерческого банка. Сфера безопасности банка имеет относительную самостоятельность, а решаемые в ее рамках задачи весьма сложны и требуют специального подхода. Возникает необходимость создания специальной концепции обеспечения банковской безопасности. Исходными условиями разработки полноценной концепции банковской безопасности являются четкие представления о ее сущности, структуре целей обеспечения безопасности в банковской сфере, о вытекающих из этих целей практических задачах, о видах банковских угроз и
Таблица 1
Функции обеспечения экономической безопасности
Информационно-аналитическая работа Сбор экономической и научно—технической информации о рынках, продукции, партнерах, конкурентах; оценка возможных угроз; разработка мер противодействия; информационное обеспечение руководства
Обеспечение сохранности материальных и финансовых ресурсов Обеспечение режима охраны объектов; контроль за сохранностью продукции и денежных средств; координация работы служб по обеспечению сохранности ресурсов
Обеспечение информационной безопасности Организация хранения, обращения, работы с конфиденциальной информацией; организация и координация работ по защите информации на электронных носителях; обеспечение безопасности средств связи
Обеспечение безопасности персонала Организация личной безопасности определенных категорий персонала; защита персонала от противоправных посягательств
их источниках, а также об адекватных мерах противодействия банковским угрозам различных направлений, видов и уровней.
Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции. Под безопасностью банка понимается состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз. Обеспечение безопасности является неотъемлемой составной частью деятельности банка. Состояние защищенности представляет собой умение и способность надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка.
Объектами защиты в коммерческом банке могут быть:
• персонал (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, осведомленные о сведениях, составляющих банковскую и коммерческую тайну, и др.);
• финансовые и материальные средства;
• сведения, составляющие служебную, банковскую и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера; информационные ресурсы с ограниченным доступом;
• средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио-и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы); технические средства и системы охраны и защиты финансовых, материальных и информационных ресурсов.
Все объекты, в отношении которых могут возникнуть угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного финансового, материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую уязвимость представляют финансовые средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.
Субъектами правоотношений прирешении проблем безопасности коммерческого банка могут быть:
• государство как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
• юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования банка как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг по безопасности, обслуживающий персонал, клиенты и др.);
• службы безопасности банков.
Для каждого банка концепция должна быть индивидуальная и определять цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
Цели и задачи системы безопасности коммерческого банка. Главной целью системы безопасности коммерческого банка является обеспечение его устойчивого функционирования и предотвращение угроз безопасности, защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации. Также есть и другие цели:
• формирование целостного представления о системе безопасности банка и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;
• повышение имиджа банка и роста прибыли за счет обеспечения высокого качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов.
Общими задачами системы безопасности коммерческого банка можно считать:
• прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
• отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности) и подлежащих сохранению;
• создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании банка;
• эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности коммерческого банка.
Принципы организации и функционирования системы безопасности коммерческого банка. Организация и функционирование системы безопасности должны соответствовать следующим принципам: 1. Комплексности — означает, что при построении системы защиты необходимо предусматривать проявление всех видов возможных угроз для данного предприятия, включая каналы несанкционированного доступа, и все возможные для него средства защиты (многообразие структурных элементов). Применение этих средств нужно согласовать с возможными видами угроз, а средства защиты должны функционировать согласованно как единый комплекс (механизм) защиты, взаимно дополняя друг друга в функциональном и техническом аспектах. Особое внимание необходимо уделять обеспечению «стыков» между различными средствами защиты. При этом недопустимо применение отдельных форм или технических средств. Комплексный характер защиты в данном случае является следствием сложной системы взаимосвязанных процессов, каждый из которых, в свою очередь, имеет множество различных взаимообусловливающих друг друга сторон, свойств и тенденций.
46 -
Комплексность, как правило, достигается: обеспечением соответствующего режима и охраны; организацией специального делопроизводства с ориентацией на защиту банковских секретов; мероприятиями по подбору и расстановке кадров; широким использованием технических средств безопасности и защиты информации; развернутой информационно-аналитической и детективной деятельностью.
2. Принцип эшелонирования — заключается в создании нескольких последовательных рубежей защиты (зон безопасности) таким образом, чтобы наиболее важная зона безопасности объекта находилась внутри других зон. При этом, во-первых, чем сложнее и надежнее защита каждой зоны безопасности, тем больше времени потребуется на их преодоление и тем больше вероятность получения сигнала об обнаружении угрозы; во-вторых, каждая из зон безопасности не должна иметь незащищенных участков, что предъявляет особые требования к составу и компоновке технических средств защиты.
3. Своевременности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования экономической обстановки, угроз безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы банка.
4. Непрерывности. Требует, чтобы в процессе функционирования системы защиты не было перерывов в ее работе, вызванных ремонтом, сменой паролей, которыми может воспользоваться субъект угрозы. Принятые нами принципы построения систем безопасности обусловливают соответствие им и организационной структуры службы безопасности предприятий, во многом складывающейся из конъюнктуры рынка услуг безопасности.
5. Активности. Защищать интересы банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.
6. Законности. Предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации и защиты информации, частной детективной и охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
7. Обоснованности. Используемые возможности и средства безопасности должны быть реа-
лизованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.
8. Экономичности. Имеется в виду экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий «эффективность — стоимость»). Во всех случаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов угроз.
9. Специализации. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности, функциональных и обслуживающих подразделений.
10. Взаимодействия и координации. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб банка, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
11. Совершенствования. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
12. Централизации управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и с централизованным управлением деятельностью системы безопасности банка1.
13. Принцип разумной достаточности — заключается в установлении некоторого приемлемого уровня безопасности без попыток создать «абсолютную» защиту. Обладая достаточным объемом ресурсов (временем и средствами), можно преодолеть любую, даже технически и организационно
1 См. сайт http://www. Ьге. ги/
совершенную, защиту. Организация высокоэффективной системы защиты, как правило, требует весьма значительных капитальных вложений и эксплуатационных затрат, поэтому важно выбрать тот достаточный уровень ее эффективности, а значит, и безопасности, при которых вероятность и размер возможного ущерба будут сочетаться с предельно допустимыми затратами на разработку и функционирование системы безопасности. Реализация этого принципа предполагает предварительное ранжирование угроз по степени их важности с точки зрения влияния на технико-экономические показатели деятельности предприятия.
Основные виды угроз интересам коммерческого банка. Под угрозой безопасности объекта следует понимать событие, действие, процесс или явление, которое посредством воздействия на людей, материальные ценности или информацию может привести к нанесению ущерба объекту, нарушению или остановке его функционирования. Нарушение безопасности есть реализация угрозы как завершенного действия.
По степени ущерба различают: угрозы чрезвычайных обстоятельств, несанкционированное проникновение на объект, несанкционированный съем информации.
Естественные угрозы — угрозы, вызванные стихийными природными явлениями, не зависящими от человека (землетрясения, наводнения, ураганы).
Искусственные угрозы — угрозы, вызванные деятельностью человека. К ним относятся: непреднамеренные неумышленные угрозы, вызванные ошибками в проектировании, монтаже, эксплуатации оборудования, носителем таких угроз является нарушитель. Преднамеренные умышленные угрозы, связанные с определенными устремлениями людей (терроризм, забастовки, хищения, кражи, подслушивания). Угрозы могут вызвать на объекте:
• травмы и гибель людей;
• повреждение оборудования, линий связи и жизнеобеспечения;
• неумышленное изменение хода производства;
• потерю или разглашение конфиденциальной информации.
Умышленные угрозы могут осуществляться путем: внедрения злоумышленника в персонал фирмы, вербовки персонала, несанкционированного проникновения на территорию объекта, дистанционного воздействия или наблюдения.
Необходимо определение и прогнозирование возможных угроз и осознание их опасности для
обоснования, выбора и реализации защитных ме--4'
роприятий, адекватных угрозам. В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:
• нестабильная политическая, социально-экономическая обстановка;
• невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
• снижение моральной, психологической и производственной ответственности граждан.
На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
Банк как объект защиты. Фундаментальный принцип организации защиты объекта — защита должна проектироваться и строиться как единая система на основе комплексности, эшелонирования, равнопрочности, разумной достаточности, непрерывности функционирования. В общем случае объект включает в себя здания и прилегающую к ним территорию, на которой находятся и работают люди, используется оборудование и хранятся материальные ценности, а также циркулирует разнообразная информация.
Средства защиты банка включают в себя:
1) средства обнаружения угрозы: пожарная и охранная сигнализация, охранное телевидение и освещение, тревожное оповещение, проверка корреспонденции, транспорта, персонала;
2) средства отражения угрозы: средства индивидуальной защиты, специальные способы строительства и материалы, газовые ловушки, специальное оборудование входов и выходов, поиск средств съема информации;
3) средства ликвидации угрозы: средства пожаротушения, оружие, планировка помещений, средства защиты данных, средства связи.
Концепция защиты объекта включает определение и оценку угроз, в т. ч. чрезвычайные обстоятельства: пожар, авария, стихийное бедствие, терроризм; проникновение на объект: вандализм, кражи, хулиганство, хищения; съем информации: подслушивание, контроль за коммуникациями и техникой; разработку адекватных мер защиты, включающих систему защиты (служба охраны, средства обнаружения, отражения, ликвидации, специальная защита).
48 -
Система обеспечения безопасности включает в себя также организационные мероприятия:
• контроль за помещениями и оборудованием (охрана помещений, оборудования, контроль за посетителями);
• работа с персоналом (ознакомление с правилами защиты информации, стимулирование, проверка сотрудников, беседы с увольняемыми);
• организация работы с конфиденциальной информацией (порядок делопроизводства, контроль за прохождением секретных документов, публикациями, рассекречиванием, уничтожением документов);
• работа с конфиденциальной информацией, накопленной на компьютерах (защита от несанкционированного доступа и съема, контроль за использованием компьютеров);
• защита коммерческих тайн фирмы в процессе заключения контрактов (контроль за привлекаемыми лицами, контроль за оформлением и перемещением документов). Теоретические и практические основы обеспечения
комплексной безопасности банка. Как правило, вся безопасность банка делится на три составляющие:
1) правовая безопасность;
2) организационная безопасность;
3) техническая безопасность.
Правовые основы безопасности банка определяют соответствующие положения Конституции Российской Федерации, законов: Федеральный закон от 05.03.1992 № 2446-1 «О безопасности»2, ФЗ от 02.12.1992 № 395-1 «О банках и банковской деятельности» 3, и другие нормативные акты. Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов РФ, и других нормативно-правовых актов. Защиту имущественных, иных материальных интересов и деловой репутации призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражно-процессу-альное законодательство. Обеспечение информационной безопасности регулируется отдельным блоком законов РФ, например: Федеральный закон от 21.07.1993 № 5485-1 «О государственной тайне»4, ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»5, ФЗ от 29.07.2004 № 98-ФЗ «О
2 Российская газета, № 103, 06.05.1992.
3 Российская газета, № 27, 10.02.1996.
4 Российская газета, № 182, 21.09.1993.
5 Российская газета, № 165, 29.07.2006.
коммерческой тайне» 6, ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» 7 и другие нормативно правовые акты.
Особо важное значение имеет Указ Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 № 3348.
При практическом решении задач обеспечения безопасности банка необходимо опираться также на следующие правовые нормативные акты:
Постановление Правительства РСФСР от 05.12.91 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» 9, постановление Правительства РФ от 26.06.1995 № 608 «Положение о сертификации средств защиты информации» 10, постановление Правительства Москвы «О мерах по дальнейшему совершенствованию взаимодействия между правительством Москвы и банковской системой города» от 30.01.1996 № 9611.
Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противодействие противоправным посягательствам на предпринимательскую деятельность в различных ее сферах. Успешное и эффективное решение задач обеспечения безопасности коммерческого банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с устава коммерческого банка и кончая функциональными обязанностями каждого сотрудника.
Организационная безопасность. Любая предпринимательская деятельность по своей сути является весьма разносторонней. Она связана с решением организационных вопросов, правовыми и экономическими проблемами, техническими кадровыми аспектами и т. д. Особенно усложняется управление крупным банком, который имеет широчайшие деловые связи и значительное количество контрагентов, кредиторов, заемщиков, клиентов. В любом
6 Российская газета, № 166, 05.08.2004
7 Российская газета, № 165, 29.07.2006.
8 Российская газета, № 68, 06.04.1995.
9 Первоначальный текст документа опубликован в издании «СП РФ», 1992, № 1-2, ст. 7.
10 Российская газета, № 145, 28.06.1995.
11 Вестник Мэрии Москвы, № 4, февраль 1996.
случае каждый банк представляет собой систему, включающую основные элементы и связи между ними. Система — это совокупность объектов, взаимодействие которых обусловливает наличие ин-тегративных качеств, не свойственных ее частям, компонентам. Как раз по этим линиям внутренних и внешних связей системы и могут реализоваться угрозы ее экономической безопасности. Для обеспечения максимальной степени защиты от этих угроз и необходима определенная деятельность, которая также должна носить системный характер. Объектом системы обеспечения безопасности выступает его стабильное состояние в текущем и перспективном периодах. Именно от объекта защиты во многом зависят основные характеристики системы обеспечения безопасности. Поскольку объект защиты является сложным, многоаспектным, то эффективное обеспечение безопасности должно основываться на комплексном подходе к управлению этим процессом. Комплексный подход предполагает учет в управлении объектом всех основных его аспектов, и все элементы управляемой системы рассматриваются только в совокупности, целостности, единстве. Таким образом, необходимо создание комплексной системы обеспечения банковской безопасности.
Служба безопасности банка является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю банка. Возглавляет службу безопасности начальник службы, как правило, в должности заместителя руководителя банка по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
1) подразделения режима и охраны (Основной задачей службы безопасности по обеспечению режима и охраны является организация и осуществление мер по обеспечению безопасности деятельности и защите информации всеми возможными в конкретных условиях способами и средствами. В целях обеспечения надежной охраны материальных ценностей, конфиденциальных документов и информации, содержащей сведения конфиденциального характера, а также своевременного предупреждения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов.);
2) подразделения обработки сведений конфиденциального характера (государственной, банковской и коммерческой тайн) (порядок доступа сотрудников к конфиденциальной информации, порядок работы с документами с грифом «БТ», контроль за
выполнением требований внутриобъектного режима при работе со сведениями, содержащими банковскую тайну, организация архивного хранения конфиденциальных документов, порядок проведения закрытых совещаний и переговоров и пр.);
3) подразделения по обеспечению работы с кадрами, допущенными к конфиденциальной информации (организация работы с кадрами, организация проверки достоверности сведений, сообщенных о себе гражданином при его оформлении на соответствующую должность);
4) подразделения инженерно-технической защиты (физические, аппаратные, программные, математические (криптографические) средства защиты);
5) подразделения информационно-аналитической деятельности (сбор и обработка информации о конкурирующих фирмах и компаниях на товарном рынке, о маркетинговых условиях, о криминально-конкурентных действиях; сбор информации из открытых источников, создание собственных информационных массивов и баз данных, разработка рекомендаций по совершенствованию системы безопасности, организация информационного взаимодействия с единой информационной службой банка, поддержание деловых контактов с сотрудниками министерств и ведомств, представителями деловых, научных и журналистских кругов, выполнение сотрудниками требований к конфиденциальной информации).
В своей деятельности служба безопасности банка должна руководствоваться:
• Положением о службе безопасности;
• Инструкцией по организации режима и охраны;
• Инструкцией по защите банковской и коммерческой тайны;
• Перечнем сведений, составляющих банковскую и коммерческую тайну;
• Инструкцией по работе с конфиденциальной информацией для руководителя, специалистов и технического персонала;
• Инструкцией по инженерно-технической безопасности и защите информации;
• Инструкцией о порядке работы с иностранными представителями и представительствами. Все названные документы банк разрабатывает
самостоятельно.
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право банка на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию. Вариант структуры службы безопасности банка представлен в табл. 2.
Синтез системы, практическая реализация ее функций должны находиться в компетенции специальных подразделений службы безопасности банка. Состав таких функций может быть расширен за счет комплексов задач прогнозирования, выявления и оценки угроз безопасности, структуризации задач защиты, их оптимизации, технико-экономической оценки и выбора предпочтительного варианта обеспечения безопасности.
Техническая безопасность. Технические мероприятия обеспечивают приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений и наводок технических средств обработки конфиденциальной информации. Техническими средствами могут быть:
• охранная и охранно-пожарная сигнализация;
• периметральные системы (датчики и извещате-ли, адресные средства обнаружения, периметральные средства обнаружения, преграждающие и задерживающие средства, приемно-кон-трольная аппаратура, средства оповещения, вспомогательное оборудование);
• системы охранного телевидения и наблюдения (устройства формирования и отображения видеосигнала: телевизионные камеры, объек-
Таблица 2
Служба безопасности банка
Отдел инженерной защиты Охранная сигнализация Отдел безопасности информации Служба физической охраны Группа работы с персоналом
Здания Офис Филиалы Пожарная сигнализация Сертификация, лицензирование, защита информации Оружие Подбор Изучение
Обменные пункты Средства связи Детективные агентства
Входы Лифты Автотранспорт Взаимодействие с правоохранительными органами
Сейфы Хранилища Инкассация Носители информации
Информационно—аналитическая служба
тивы и мониторы; устройства усилительные и коммутирующие; аппаратура приема, регистрации, обработки и передачи изображения; вспомогательные аксессуары: кожухи, кронштейны, устройства наведения); системы ограничения и контроля за доступом (управляющая электроника и программное обеспечение, считыватели и идентификаторы: контактные, бесконтактные, биометрические; домофоны; средства учета и контроля за автотранспортом: шлагбаумы, приводы ворот, автоматизированные парковки; устройства для персонализации);
информационная безопасность компьютерных сетей (антивирусные средства и системы; межсетевые экраны; системы обнаружения информационных атак; средства криптографической защиты информации; VPN-системы; защищенные интернет-технологии; биометрические средства защиты информации; системы шумоочистки акустических сигналов; иные технические, программные и программно-технические средства защиты информации); специальная техника контроля и защиты информации (радиоконтроль; системы негласного контроля за информацией; системы негласного контроля, обследования и идентификации объектов; аппаратура медико-биологического тестирования (полиграфы); аппаратура поиска каналов утечки информации; оборудование защиты переговоров; устройства длительной аудиозаписи и диктофоны; специальная оптика);
антитеррористическое и досмотровое оборудование (металлодетекторы; рентгеновское оборудование; детекторы взрывчатых веществ; системы радиационного мониторинга и контроля за безопасностью объектов; обнаружители наркотических веществ; взрывозащитные камеры, роботы и конструкции; инструменты и приспособления);
комплексные системы безопасности (интеллектуальное здание);
инженерно-технические средства защиты (сейфы и специальные шкафы; двери, решетки, специальные стекла и покрытия; исполнительные устройства: замки, в том числе специальные, турникеты и шлюзы; тамбуры; оборудование банковских хранилищ; оборудование для расчетно-кассовых узлов, банкоматы; пломбы и приспособления для обеспечения целостности грузов и документов; средства защиты документов);
• системы связи и оповещения (профессиональные носимые, мобильные и базовые радиостанции).
Технические средства защиты, как правило, банк выбирает сам на основе самых последних достижений технической мысли в этой области.
Отдельным звеном в области комплексной защиты банка является конфиденциальная информация. Правила по ограждению от утечки конфиденциальной информации в каждом банке индивидуальные. Самыми распространенными приемами по защите конфиденциальной информации банка признаются, в частности, следующие действия:
• контроль за доступом сотрудников к закрытой информации и базам данных;
• максимальное ограничение в найме временных сотрудников, если они по роду работы получают доступ к конфиденциальной информации;
• оборудовать и регулярно проверять помещения для обсуждения важных вопросов;
• установить места приема посетителей, никогда не оставляя их одних в помещениях фирмы;
• завести специальные папки, в которых будет циркулировать конфиденциальная информация внутри фирмы;
• упорядочить использование сотрудниками множительной и копировальной техники;
• секретные документы уничтожать лично сотрудником, отвечающим за безопасность фирмы;
• установить персональную ответственность сотрудников за сохранность конфиденциальной информации с четкой градацией мер дисциплинарного и материального воздействия за ее утечку;
• каждый сотрудник независимо от служебного положения или степени родства с руководством фирмы должен владеть только той информацией, которая ему необходима для работы. В заключение следует отметить, что система
безопасности коммерческого банка — динамично развивающаяся область правоотношений и науки в целом. Конечно, стопроцентный охват всех особенностей обеспечения безопасности банка невозможен, но все-таки нужно к этому стремиться.
Можно выделить следующие предложения по совершенствованию системы банковской безопасности. В частности, необходима более глубокая комплексная проработка нормативной базы в области банковской безопасности, т. к. существующие на данный момент нормативно-правовые акты не в полной степени отвечают тенденциям
- 51
системы безопасности современного банка. Обеспечение банковской безопасности должно носить комплексный характер: необходимо учитывать совокупность внешних и внутренних, физических, технических и организационных факторов. Требуется усиление взаимодействия, сотрудничества банковской системы с органами исполнительной власти в целях организации эффективной борьбы с угрозами интересам банка. Актуальным является повышение уровня защиты информационных систем банка от преступных посягательств (кра-
жи, подмены, уничтожения, ошибок), повышение уровня контроля за кадровым обеспечением банка в целях пресечения промышленного шпионажа. Необходима конкретизация норм, охватывающих содержание банковской тайны, а также разрешение противоречия норм в целях регулирования отношений в данной области. Наконец, обеспечение безопасности банка следует вести не только путем организационных и инженерно-технических средств, но и посредством обучения самозащите персонала банка как одного из объектов посягательств.