Совершенствования и развитие электронной денежной системы РК

    Можно выделить два типа задач, решаемых АСОИБ:

    1. Аналитические. К этому типу  относятся задачи планирования, анализа счетов и т.д. Они  не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

    2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

    Каким же мерам защиты систем обработки  информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :

• Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.
• Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.
• В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.
• В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

    Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах:

• Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
• Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.
• К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.
• Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).
• Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.
• Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

    Анализ  статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.  
 

3.2. Страхование компьютерных (электронных) преступлений в банковской сфере 

       Безопасность - один из ключевых элементов, обеспечивающих нормальное функционирование электронной банковской системы. Проблемы обеспечения безопасности деятельности банков всегда актуальны, особенно в переходный период.

       В начале 1980-х годов назрела потребность в получении страхового покрытия от электронных и компьютерных преступлений. В ответ на возникший спрос андеррайтеры Ллойда в Лондоне разработали полис (условия) страхования финансовых учреждений от электронных и компьютерных преступлений, совершенных третьими лицами. Этот полис является дополнительным в стандартной системе страхования банковских рисков, известной в мире под названием Bankers Blanket Bond (В.В.В.). С момента разработки данный полис начал активно использоваться банками и страховщиками и практически сразу же стал неотъемлемой частью стратегии риск - менеджмента.

       К решению проблем компьютерной безопасности необходим комплексный подход. Использование систем технической и информационной безопасности, на которых казахстанские банки в настоящее время сосредотачивают основное внимание, могут только в определенной степени предотвратить ущерб. Страхование же в отличие от этих систем не только предотвращает преступление, но и, что самое важное, возмещает убытки, понесенные в результате их совершения.

       Страхование от компьютерных преступлений в Европе и США стало стандартным видом страхования для банков, дилерских фирм, страховых компаний и крупных трансляционных коммерческих компаний, осуществляющих переводы своих денежных средств, а также несущих ответственность за сохранность средств своих клиентов при клиринговых и депозитных операциях.

       Страховой полис Ллойда предлагает свой подход к проблеме страхового риска, выделяя ряд объектов страхования в соответствии с существующими факторами риска. По данному полису выделяются следующие объекты страхового покрытия.

       1. Страхование компьютерных систем банка от несанкционированного входа. По данному полису Страхователю возмещается убыток в случае, если он перевел, оплатил или поставил какие-либо средства или имущество, открыл кредит, оплатил счет или осуществил любой другой вид выплат в результате несанкционированного входа третьих лиц в компьютерную систему Страхователя.

       2.  Страхование банков от нелояльности  персонала, временно выполняющего работу для Страхователя по контракту. По данному полису Страхователю возмещаются убытки, нанесенные ему независимыми консультантами и другими сотрудниками, выполняющими определенные работы для банка по контракту и не являющимися его постоянными сотрудниками, в результате осуществления мошеннических модификаций в компьютерных программах, независимо от способа внедрения в компьютерную сеть Страхователя. Однако преступления, совершенные сотрудниками, временно работающими по контракту на Страхователя, не покрываются по полису страхования от компьютерных преступлений, так как данный вид покрытия предоставляет В.В.В.

       3.  Страхование электронных данных и их носителей. По данному полису Страхователю возмещаются убытки, нанесенные ему в результате умышленного уничтожения или попытки уничтожения электронных данных. Однако данный страховой полис покрывает страхователям только стоимость восстановления этих данных. Если они не подлежат восстановлению, то выплачивается номинальная стоимость носителя электронной информации.

       4.  Страхование средств электронной  связи банка. Страхователю компенсируются убытки, в случае, если он перевел, оплатил, или поставил какие-либо средства или имущество, открыл кредит, оплатил счета или осуществил другую выплату на основании получения мошеннического поручения на осуществление этих операций по средствам электронной связи.

       5. Страхование юридической ответственности Страхователя в результате осуществления его клиентом или финансовым институтом перевода денежных средств, оплаты или поставки каких-либо средств или имущества, а также осуществил любой другой вид выплат на основании получения мошеннического поручения или подтверждения на осуществление перевода, платежа, доставки или получения средств/имущества, которое было передано им якобы от имени Страхователя.

       6. Страхование от убытков вследствие  перевода денежных средств по  мошенническим телефонным инструкциям. Страхователю    компенсируются убытки, понесенные им в результате мошенничества при операциях с переводом денег по телефонным инструкциям.

       7. Страхование компьютерных систем банка от компьютерных вирусов. Страхователю возмещается убыток в случае, если он перевел, оплатил или поставил какие-либо средства или имущество, осуществил какую-либо выплату в результате порчи данных, находящихся в компьютерной сети Страхователя компьютерным вирусом или в результате уничтожения электронных данных, находившихся в автоматизированной системе Страхователя в результате умышленной порчи или попытки порчи этих данных посредством компьютерного вируса. При умышленном введении в программы команд или кодов, вызывающих сбои в компьютерной сети или в системе электронного перевода денег на определенный день, предотвратить убыток практически невозможно, так как программирование осуществляется с таким расчетом, что при проверке мошеннические команды и коды могут быть выявлены только через определенное время после того, как убыток уже произойдет. Если сегодня преступники способны на такие хитроумные махинации, то можно только предполагать, какие новые виды компьютерных и электронных преступлений могут появиться в конце нашего тысячелетия.

       8. Страхование операций с ценными  бумагами на электронных носителях. Данный страховой полис обеспечивает покрытие убытков Страхователя, понесенных им в результате повреждения или уничтожения ценных бумаг на электронных носителях, использующихся Страхователем в своей работе и находящихся на хранении в депозитарии или у самого Страхователя.

       Лимиты  покрытия и размер франшизы, устанавливаемый  по полису страхования от компьютерных преступлений, совпадают с лимитами и франшизой по В.В.В. Лимит ответственности по данному страховому полису колеблется от USS 5-10 миллионов для очень крупных банков. Полис страхования от компьютерных преступлений и В.В.В. обязательно должны выдаваться клиенту одним страховщиком, иначе, в случае, если страхователь понесет большой убыток, который попадает под покрытие по В.В.В. и по полису страхования от компьютерных преступлений, могут возникнуть серьезные споры между страховщиками по вопросам выплаты компенсации.

       Несмотря  на то, что страхование от электронных и компьютерных преступлений было разработано значительно позднее, чем система страхования В.В.В., уже отмечены случаи крупных убытков, по которым по данному полису были произведены значительные компенсационные выплаты. Так, один из крупных убытков произошел в 1996 году. Было признано, что он попадает под покрытие по полису страхования от компьютерных преступлений, размер выплат по нему составил более USS 35.000 000. Данный убыток был нанесен одному из крупных банков Великобритании, осуществлявшему свои операции в Индонезии, он был оплачен страховщиками в течение 90 дней с момента обнаружения, что спасло банк от катастрофических потерь.