ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ

Авторы:  Лысенко И.А., Шмыгова А.А.

Практика применения инструментов защиты персональных данных является наиболее важной сферой экономической и информационной безопасности. На основе анализа документов выявлены основные подходы к определению данного понятия в нормативно-правовых актах. Для исследования причин утечек данных проведен анализ использования банками необходимых мер по их предотвращению.

Ключевые слова:  информация, банковская сфера, безопасность, цифровая экономика, биометрические данные

В XXI веке одним из важнейших ресурсов является информация, и поэтому одним из направлений обеспечения национальной безопасности становится ее защита, в том числе, и в банковской сфере. Поставленные в Федеральном послании Президентом Российской Федерации (далее РФ) и в дальнейшем прописанные в майском Указе задачи по «цифровизации экономики» стали одним из приоритетов современной экономической политики в России. Вместе с этим внедрение технологического прогресса, по мнению В.В. Путина, предполагает и риски, которые потребуют защиты как государства, так и граждан [1].

Именно поэтому, вопросы информационной безопасности в банковской сфере на данный момент стоят достаточно остро. Подтверждением этому служит появившаяся недавно в СМИ информация о том, что отмечено усиление хакерских атак на кредитные организации. Так, 5 зарубежных и более 50 российских банков стали жертвами вредоносных программ, которые массово рассылались под видом электронных писем с фейкового адреса Центрального Банка, копируя его стиль и оформление [2].

Анализ противодействия подобным негативным явлениям в банковском секторе говорит лишь о том, что противоправные действия в отношении банковской сферы будут только нарастать, что требует от нас, будущих специалистов в области экономической безопасности, тщательного изучения данного феномена. Проблемы обеспечения информационной безопасности, в том числе и в банковской сфере, в достаточной степени регулируются российским законодательством, а также широко освещены в учебной и научной литературе.

Так, вопросами правового обеспечения и оценки нормативно-правовой базы информационной безопасности в России занимались И.Н. Гайдарева, М.А. Рыльская и многие др. В работах А.А. Порошина и Р.М. Юсупова широко представлены теоретические аспекты информационной безопасности и термины раскрывающие основные понятия в данной области. Группы ученых в составе: А.В. Гурин, А.А. Жарких, В.Ю. Пластунов; А.Н. Шниперов, К.Н. Захарьин и др. занимались проблемами защиты информации. Труды ученых И.А. Ашмарова, А.А. Гулько, С.Б. Гладковой, А.Ф. Битюковой, В.Ю. Мартынюкнепосредственно посвящены информационной безопасности коммерческих банков.

Цель настоящей статьи исследовать особенности осуществления информационной безопасности банковской сферы в Российской Федерации.

Достаточно широкий спектр проблем, связанных с информационными отношениями, процессы глобализации и рост противоправных деяний в информационной сфере, потребовали для обеспечения информационной безопасности исключительного правового регулирования. По мнению И.Н. Гайдаревой нормативно-правовая база для обеспечения информационной безопасности сформирована. Однако, новые вызовы и угрозы, требуют постоянного внимания к определению новых приоритетов при прогнозировании дальнейшего развития законодательства в этой сфере [3, c. 175].

Ниже подробнее остановимся на анализе нормативно-правовых актов, направленных на регулировании вопросов обеспечения информационной безопасности в банковской сфере в России.

Согласно Федеральному закону (далее ФЗ) «О Центральном банке Российской Федерации (Банке России)» по согласованию с ФОИВ и уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные требования к обеспечению защиты информации при осуществлении банковских транзакций без согласия клиента [4, ст. 57.4]. Согласно ФЗ «Об информации, информационных технологиях и о защите информации» Банк России совместно с оператором единой биометрической системы определяет перечень угроз безопасности, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия в государственных органах, банках и иных организациях [5, ст. 14].

В Стратегии национальной безопасности РФ также уделяется внимание обеспечению информационной безопасности [6, п. 113], на это же направлена и Доктрина информационной безопасности Р [7]. В Стандарте, разработанном Банком России, устанавливается сроки и порядок взаимодействия регулятора с другими участниками, участвующими в информационном обмене, формы выявления нарушений по обеспечению защиты информации [8].

В национальной программе «Цифровая экономика Российской Федерации» изложены основные статистические данные об ожидаемых изменениях в системе обеспечения цифровой безопасности. Так, к 2021 году планируется повысить долю участия Российской Федерации в мировом объеме оказания услуг по хранению и обработке данных с базового значения 0,9%  до плановых 5%. Иным важным показателем становится средний срок простоя государственных информационных систем в результате компьютерных атак. В данном случае к 2021 году планируется снизить количество часов до 18 (исходя из базового значения за 2019 год – 48 часов), а к 2024 году и вовсе снизить это значение до 1 астрономического часа. Данные изменения планируется проводить с использованием и внедрением следующих инструментов государственного регулирования:

1) Создание универсальной цифровой среды аудиовизуального взаимодействия государственных органов, организаций и граждан на федеральном, региональном и муниципальном уровнях;

2) Оптимизация функционирования системы реагирования ситуационных центров по ЧС в сфере цифровой безопасности [9].

Для выяснения сущности понятия «информационная безопасность» обратимся к отдельным нормативно-правовым актам и подходам отдельных ученых к трактовке этого понятия.

Существует достаточно много трактовок понятия «информационная безопасность», потому как сущность данного определения включает в себя множество различных процессов и явлений. Так, в Законе «О банках и банковской деятельности», под информационной безопасностью понимается способность системы противостоять случайным или преднамеренным, внутренним или внешним информационным воздействиям, следствием которых могут быть ее нежелательное состояние или поведение [10, ст. 26].

В то же время, А.А. Порошин определяет информационную безопасность как состояние защищенности в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [11, c. 10]. Р.М. Юсупов дает следующее определение: «информационная безопасность» – состояние объекта, когда ему путем воздействия на его информационную сферу не может быть нанесен существенный ущерб или вред [12, c.7]. Под информационной безопасностью в настоящей статье будем понимать способность системы противостоять различным информационным воздействиям, без ощутимого воздействия на эту систему.

В отчете центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере приведены основные результаты проведения проверок в сфере обеспечения информационной безопасности. Так, за период с сентября 2018 г. по август 2019 г. были осуществлены 122 проверки субъектов кредитно-финансовой сферы. По их результатам выявлено 694 нарушения федеральных законов Российской Федерации, нормативных и иных документов от имени Банка России, 8 нарушений требований федеральных законов № 161-ФЗ, № 395-1, № 325-ФЗ, 447 нарушений требований Положения Банка России № 382-П и других [13].

Таким образом, для понимания особенностей обеспечения информационной безопасности в банковской сфере изначально необходимо определить источники угроз и на кого они направлены. Источниками угрозы могут быть: конкуренты банка; криминальные структуры, желающие получить сведения о клиентах банка или о самом банке, для осуществления противоправных действий; нелояльные сотрудники банка с целью получения конфиденциальной информации; государство в лице правоохранительных органов для осуществления контрольных функций. объектом угроз может выступать как любая конфиденциальная информация, так и информация, составляющая банковскую тайну [14].

Перечень основных факторов, влияющих на обеспечение информационной безопасности, которые сформулированы в Концепции обеспечения информационной безопасности таможенных органов можно экстраполировать и на банковский сектор. Так в Концепции отмечается, что для обеспечения информационной безопасности необходимы: наличие собственных структур по обеспечению информационной безопасности; достаточно развитые системы подготовки и переподготовки кадров для органов обеспечивающих информационную безопасность; определенный уровень криминогенной обстановки, число компьютерных преступлений по проникновению криминальных элементов в компьютерные системы той или иной организации [15].

По мнению И.А. Ашмарова, методы обеспечения информационной безопасности в банковской сфере делятся на три группы: организационно-технические; правовые; экономические [16, c. 253].

Рассмотрим представленные группы более подробно.

Организационно-технические методы информационной безопасности включают:

  • систему обеспечения информационной безопасности. Данная система включает комплекс мероприятий и технических средств по использованию ключей двухфакторной и многофакторной аутентификации;
  • постоянный контроль над действенностью мер в области обеспечения информационной безопасности. Подразумевает проведение ежегодного мониторинга по уменьшению показателей взломов информационных систем в банковской сфере;

Правовые методы информационной безопасности включают:

  • лицензирование деятельности по обеспечению информационной безопасности;
  • сертификацию технических средств информационной защиты;
  • аттестацию объектов и субъектов информатизации.

Экономические методы информационной безопасности подразумевают подготовку соответствующих программ финансирования по обеспечению информационной безопасности в РФ. Так, в Указе Президента РФ поставлена задача «увеличить внутренние затраты на развитие цифровой экономики за счет всех источников не менее чем в три раза по сравнению с 2017 г., создать устойчивую и безопасную информационную инфраструктуру обработки и хранения больших объемов данных» [17].

Одним из инструментов, обеспечивающих комплексную защиту информационной безопасности, для такого сложного объекта информации как банковская сфера, по мнению А.Н. Шниперова и К.Н. Захарьина, являются мультиагентные системы электронного обучения (МСЭО). Ученые акцентирует внимание на следующих преимуществах использования данной системы:

  • открытость для подключения через сеть Интернет;
  • способность функционировать в высоконагруженном режиме;
  • гибкость формата применения;
  • распределенность по узлам, обеспечивающая решение конкретных точечных задач [18, c. 180].

Многофакторная аутентификация – это метод контроля доступа к цифровым системам, где пользователю необходимо предъявить более одного доказательства до получения доступа к информации. К категориям таких доказательств относят:

  • информация, которую знает субъект (пароль, ПИН-код);
  • вещь, которой обладает субъект (электронная или магнитная карта);
  • свойство, которым обладает субъект (биометрия, ДНК).

Фактор знания – это сведения, которыми должен обладать только авторизованный субъект. Паролем может быть слово или личный идентификационный номер (PIN).

Фактор владения – обстоятельство обладания субъектом каким-то неповторимым предметом (личная печать).

Фактор свойства – биометрика. Характеристикой является физическая особенность субъекта (портрет, отпечаток пальца, голос или сетчатка глаза).

Порядок многофакторной аутентификации сформулирован в «Мерах защиты информации в государственных информационных системах». Аутентификация пользователя осуществляется с использованием паролей и биометрических характеристик, в случае многофакторной аутентификации – определенной комбинации указанных средств [19].

Согласно данным требованиям в информационной̆ системе должна обеспечиваться многофакторная аутентификация для удаленного доступа в систему:

  • с правами привилегированных учетных записей (администраторов);
  • с правами непривилегированных учетных записей пользователей.

Другим инструментов обеспечения информационной безопасности в банковской сфере стало использование криптографии. Данный вопрос исследовал С.В. Запечников, который описал использование криптографического метода защиты как введение ключевой системы карт – файлов трехуровневой̆ системы ключей: ключа эмитента, ключа пользователя и ключа приложения [20, c. 37].

Таким образом, ключ эмитента требуется предъявить при форматировании, снятии блокировки, или записи других видов ключей. Ключ пользователя необходим для выполнения транзакций, изменяющих данные на карте. Ключи приложений необходимы для защиты файлов по чтению или записи при обращении к ним.

На современном этапе криптография широко используется банками по всей России. Так, директор департамента финансовых технологий Центрального Банка России А.В. Мельникова сообщила, что данные всех граждан будут передаваться в систему по защищенному отечественными крипто алгоритмами каналу связи. Биометрические данные будут сразу же преобразовываться в уникальный числовой код – это и есть биометрический шаблон, и получить из шаблона исходные данные, например, изображение лица, без присутствия самого обладателя, нельзя [21].

Защитой информации, посредством технологии встраивания цифрового водяного знака (далее ЦВЗ), занимались А.В. Гурин, А.А. Жарких и В.Ю. Пластунов. К преимуществам данного метода относятся:

  • высокая сложность нанесения и невозможность фальсификации;
  • подмена цифрового водяного знака приводит к выводу о подделке документа без каких-либо дополнительных технических средств;
  • высокая степень устойчивости к изменениям носителя (масштабирование, сжатие) [22, c. 56].

Таким образом, использование представленных инструментов, разработанных российскими учеными, будет способствовать обеспечению информационной безопасности в банковской сфере.

Необходимо отметить, что обеспечение надлежащего функционирования информационной безопасности в банковской сфере невозможно представить без использования инструментов, разработанных российскими учеными.

На наш взгляд, представленные ниже предложения, могли бы способствовать совершенствованию вопросов обеспечения информационной безопасности в банковской сфере:

  • принятие единого кодифицированного правового акта в сфере информационной безопасности;
  • увеличение финансовых средств, включая внебюджетные, на расширение практики использования современных технических средств защиты информации и создание инновационных программ и разработок в данной сфере;
  • повышение экономической и информационной грамотности населения;
  • привлечение талантливой молодежи для обучения в вузах по получению специальности для дальнейшей работы по обеспечению информационной безопасности в банковской сфере.

Подводя итог всему вышесказанному, мы хотели бы отметить, что обеспечение информационной безопасности в банковской сфере должно стать основной задачей не только для государства, но и для граждан и всего российского общества.

Литература:  
  1. Путин: цифровизация жизни требует надежной защиты граждан и государства // Информационное агентство «ТАСС» URL: https://tass.ru/ekonomika/3773481 (дата обращения: 12.11.2019).
  2. Маркелов Р. И грянул взлом // Российская газета. 2018. 19 ноября.
  3. Гайдарева И.Н. Правовое обеспечение информационной безопасности в России // Вестник Адыгейского государственного университета. 2009. № 1. С. 174-180.
  4. О Центральном банке Российской Федерации (Банке России): Федеральный закон от 10 июля 2002 г. № 86-ФЗ (в ред. от 28 ноября 2015 г.) // СПС КонсультантПлюс. URL:  http://www.consultant.ru/ (дата обращения: 01.11.2019).
  5. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. № 149-ФЗ (в ред. от 2 декабря 2019 г.) // СПС КонсультантПлюс. URL:  http://www.consultant.ru/ (дата обращения: 11.12.2019).
  6.  О стратегии национальной безопасности Российской Федерации: Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 // СПС КонсультантПлюс. URL:  http://www.consultant.ru/ (дата обращения: 11.12.2019).
  7. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента Российской Федерации от 05 декабря 2016 г. № 646 // СПС КонсультантПлюс. URL:  http://www.consultant.ru/ (дата обращения: 11.12.2019).
  8. Стандарт Банка России «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» СТО БР БФБО-1.5-2018: Приказ Банка России от 14 сентября 2018 г. № ОД-2403 // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 11.12.2019).
  9. Паспорт национального проекта «Цифровая Экономика 2018-2024 // Официальный сайт Правительства РФ URL: http://static.government.ru/media/files/3b1AsVA1v3VziZip5VzAY8RTcLEbdCct.pdf (дата обращения: 12.12.2019).
  10. О банках и банковской деятельности: Закон от 02 декабря 1990 г. № 395-1 (в ред. от 27 октября 2008 г.) // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 11.12.2019).
  11. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. – Владивосток: Изд. Дальневосточного ун-та, 2010. – 216 с.
  12. Юсупов Р.М. Словарь-справочник по информационной безопасности для парламентской ассамблеи ОДКБ / под ред. М.А. Вус, М.М. Кучерявого. – СПб.: СПИИРАН. Изд. «Анатолия», «Полиграфические технологии», 2014. – 96 с.
  13. Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 1.09.2018 – 31.08.2019. URL: https://cbr.ru/Content/Document/File/84354/FINCERT_report_20191010.PDF (дата обращения: 13.12.2019).
  14. Методический документ. Меры защиты информации в государственных информационных системах: Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17. // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 11.12.2019).
  15. О решении принятом на заседании коллегии ФТС России, о Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года: Приказ Федеральной таможенной службы Российской Федерации от 19 сентября 2006 г. № 900 // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 11.12.2019).
  16. Ашмаров И.А. К вопросу об информационной безопасности коммерческого банка // Современные технологии обеспечения гражданской обороны и ликвидации последствий чрезвычайных ситуаций. 2016. № 1 (5). С. 252-255.
  17. О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года: Указ Президента Российской Федерации от 07 мая 2018 г. № 204 // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 18.12.2019).
  18. Шниперов А.Н., Захарьин К.Н. Вопросы разработки комплексной системы защиты информации для распределенной мультиагентной среды электронного обучения // Информационное противодействие угрозам терроризма. 2012. № 18. С. 179-183.
  19. Методический документ. Меры защиты информации в государственных информационных системах: Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 // СПС КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 18.12.2019).
  20. Запечников С.В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности. – М.: Горячая линия – Телеком, 2014. – 320 с.
  21. С июля банки начнут записывать голоса и видео россиян. URL: https://www.vedomosti.ru/finance/articles/2018/05/23/770387-zapisivat-golosa-i-video (дата обращения: 12.11.2019).
  22. Гурин А.В., Жарких А.А., Пластунов В.Ю. Технология встраивания цифрового водяного знака / Под общ. ред. А.А. Жарких. – Мурманск: ФГУП «Атомфлот», 2015. – 116 с.
Вы можете отправить статью для публикации в журнале
Новый выпуск