Научно-практические рекомендации по совершенствованию безопасности банковской системы
Научно-практические рекомендации по совершенствованию безопасности банковской системы
Окатьев Константин Викторович
Москва 2009
1.1. Методические основы совершенствования безопасности банковской системы
Необходимость совершенствования безопасности банковской системы обусловлена дальнейшим успешным развитием как банковской системы в целом, так и повышением эффективности деятельности и устойчивости функционирования отдельных банков.
Такие факторы, как улучшение качества корпоративного управления, включая достижение большей прозрачности деятельности банков, эффективности риск-менеджмента, совершенствование отношений органов управления банков, акционеров и заинтересованных лиц, в значительной степени могут способствовать достижению цели повышения эффективности совершенствования безопасности банковской системы.
Формирование и дальнейшее улучшение банками систем управлениями рисками, приближение их к соответствующим международным стандартам позволяет уменьшить подверженность банковского сектора рискам, принимаемым на себя. Наряду с этим положительное влияние на риски банковской деятельности может оказывать проведение мер по согласованности динамики роста активов банковского сектора с темпами экономического роста.
Основным ориентиром совершенствования принципов и инструментов безопасности банковской системы следует считать приближение деятельности КБ в данной сфере к международным стандартам, включая международные стандарты по соглашениям относительно капитала (Базель II), а также использование подходов к банковскому регулированию и надзору, проверенных мировой практикой. Также, позитивное влияние на безопасность и результативность работы КБ может оказывать и последовательное уменьшение масштабов переноса рисков нефинансового сектора экономики на финансовый.
Структурно, система безопасности сейчас находится на пороге перехода к качественно иному состоянию. И в связи с этим, следует обратить особое внимание на популярный в последнее время принцип экономической целесообразности: нельзя допустить, чтобы он оказался ограничителем объективного развития банковской безопасности.
Активизация организованной преступности, рост ее финансовой мощи и технической оснащенности дает основание полагать, что тенденция осложнений в криминогенной обстановке вокруг банков в обозримое время сохранится. Поэтому определение и прогнозирование возможных угроз, оценка степени их опасности для банковской системы принципиально важны и необходимы при выборе и реализации соответствующих защитных мероприятий.
Весьма актуальным является совершенствование комплекса задач обеспечения информационной безопасности, внедрения и комплексного применения современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации. При этом, естественно, сохраняются задачи обеспечения сохранности материальных ценностей, физической охраны банков, соответствующего режима внутриобъектового и пропускного режима.
В доктрине информационной безопасности Российской Федерации (Доктрина информационной безопасности Российской Федерации, одобренная Советом Безопасности Российской Федерации на заседании 23 июня 2000 года)защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных систем рассматриваются как «четвертая составляющая национальных интересов Российской Федерации в информационной сфере».
Банк России особое внимание уделяет обеспечению безопасности электронных расчетов, так как основная масса расчетов между банками осуществляется через его расчетную систему.
Наряду с безусловными положительными моментами ускоренного развития инфраструктуры, платежных банковских технологий, перехода к централизованным формам обработки платежной информации, эти процессы сопровождаются возникновением дополнительных рисков. Это требует принятия целого ряда мер, направленных на исключение угроз информационной безопасности. Принципиально важно если не исключить полностью, то, по крайней мере, свести к минимуму ущерб от возможного хищения денежных средств из платежных систем. Решить эту задачу можно только на основе четко проводимой политики безопасности, а также реализации единого комплексного подхода при построении систем безопасности и внедрения их в платежные и информационные банковские технологии.
Банком России определены цели политики безопасности: обеспечение надежного бесперебойного функционирования платежной системы в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее безопасности и хищению денежных средств.
В диссертационной работе мы опираемся на принципы управления рисками в электронных банковских операциях. К ним в частности относятся:
идентификация клиентов, участвующих в электронных расчетах;
совершение электронных расчетов на основе установленной ответственности сторон;
четкое разграничение полномочий по доступу сотрудников к электронной банковской системе;
регламентация функциональных обязанностей;
организация надлежащего контроля за доступом в электронную банковскую систему и базу данных;
обеспечение целостности информации и программного обеспечения;
обеспечение конфиденциальности информации, циркулирующей в системе электронных расчетов.
Банки России реализуют эти принципы на основе единого комплексного подхода к обеспечению безопасности системы электронных расчетов, который предусматривает применение определенных технических, организационных и программных мер, обеспечивающих защиту на всех этапах подготовки, обработки, передачи и хранения платежных документов. Причем в непрерывном режиме.
В платежной системе в первую очередь обеспечивается идентификация пользователей, контроль целостности и подтверждение подлинности платежных документов, разграничение прав доступа, защита от несанкционированного доступа к ресурсам и, естественно, контроль за правильностью расчетов. Широко применяется криптографическая защита платежной информации. Чтобы не допустить сбоев в работе, делается резервирование программно-технических комплексов и информационных ресурсов. В целом, система построена таким образом, что выход из строя какого-то отдельного комплекса — из-за прекращения подачи электроэнергии, технологических нарушений или террористического акта — не может привести к остановке расчетов. В крайнем случае, он будет проходить через другие регионы.
В Банке России большая группа специалистов занята совершенствованием и развитием платежной системы. При этом работа идет параллельно в четырех основных направлениях: законодательное поле, информационное обеспечение, нормативная база и собственно защита.
Корпоративная сеть платежной системы отделена от других сетей и входит в единую транспортную банковскую сеть. Она обеспечивает взаимодействие между региональными платежными системами и информационной системой Банка России. Ее безопасность достигается благодаря применению средств межсетевой защиты — сертифицированных межсетевых экранов. Предпочтение при создании системы безопасности единой транспортной банковской сети было отдано программно-аппаратным средствам отечественной разработки. Фактически они позволяют отделить ее от глобальных телекоммуникационных систем, включая Интернет.
Среди современных средств защиты информации, применяемых в коммерческих банках, немаловажное значение имеет криптографическая защита информации, которая основывается на симметричных и несимметричных (ассиметричных) шифрах, на шифрах и алгоритмах Диффи-Хелмана, на стеганографии, на инфраструктуре открытых ключей (PKI) и на электронных цифровых подписях (ЭЦП).
Количество регистрируемых вирусных атак, особенно в сети Интернет, ежегодно растет. В соответствии с нормативными документами Банка России внедрена и постоянно поддерживается жесткая система обеспечения антивирусной защиты. Она позволяет не допустить проникновения вирусов в платежную систему. Однако, постоянно возникают новые виды угроз(Рис 1). Помимо вирусов, среди наиболее динамично развивающихся систем нарушения банковской безопасности можно выделить следующие:
СПАМ и Фишинг;
Фарминг;
Вишинг.
Рис. 1. Виды вредоносного ПО, с которым сталкивались участники опроса, проведенного компаниями Softline и Symantec в октябре 2007 года
Причины такого положения дел, как считает старший вирусный аналитик из «Лаборатории Касперского» Виталий Камлюк, заключаются в следующем:
прибыльность;
простота исполнения (как с технической, так и с моральной точки зрения);
низкий уровень риска, связанный прежде всего с экстерриториальностью сети;
появление новых сервисов, которые выгодно атаковать.
В результате по оценке Виталия Камлюка 96% вредоносного кода является инструментом криминального бизнеса, направленного на кражу информации, рассылку спама, шантаж, атаки на ресурсы конкурентов.
Еще одна важная проблема, которую предстоит решить, связана с критериями, на основании которых можно оценивать реальную защищенность банковских автоматизированных систем. Сегодня действуют нормативные документы Гостехкомиссии РФ, которые основываются на сложившихся в стране подходах к обеспечению информационной безопасности и оценке ее фактического уровня. В то же время мировое финансовое сообщество, частью которого является и Банк России, рекомендует использовать международные стандарты. Между этими двумя системами существуют определенные противоречия, и их, очевидно, в ближайшее время нужно будет снять.
Важное место в системе безопасности Банка России занимает создание инженерно-технических средств охраны объектов и обеспечения сохранности материальных ценностей. Не секрет, что в Центральном банке есть что охранять. В связи с этим на объектах Банка России находят широкое применение самая современная охранная, пожарная и тревожная сигнализация, телевизионная система охраны и наблюдения, лучевые системы, системы контроля и управления доступом. Их применение обеспечивает должный уровень защиты персонала, сохранность средств и материальных ценностей.
Создание подвижной системы управления перевозками, в том числе с использованием спутниковой связи, позволяет обеспечивать контроль за движением ценностей на любое расстояние в любой точке страны. Поэтому на данный вопрос безопасности Банк России также обращает очень серьезное внимание.
Одной из методологических основ совершенствования безопасности банковской системы является планирование бесперебойной деятельности КБ в случае потенциальной угрозы, которая трактуется как, выявление и защита критически важных бизнес-процессов и ресурсов, необходимых для поддержания деятельности организации на нужном уровне, а также разработка процедур, которые обеспечат выживание организации при нарушении её нормальной деятельности.
План обеспечения бесперебойной деятельности банка в случае бедствий (осуществления потенциальных и чрезвычайных угроз) не является только техническим планом — он главным образом предусматривает проведение организационных мероприятий. Поэтому в основу плана должны быть положены сведения о структуре и функциях организации, средствах, необходимых для поддержания её деятельности, величине ущерба от невозможности нормального функционирования, лицах, которые примут на себя управление в кризисной ситуации, и процедурах, которые они будут использовать. Для структуризации процесса разработки плана необходимо использовать соответствующую методологию, что обеспечит учёт всех факторов непрерывности.
Методология состоит из стадий и этапов, в совокупности составляющих жизненный цикл проекта по разработке плана обеспечения непрерывности деятельности банка.
Планирование деятельности банка базируется на следующих основных факторах:
качестве услуг;
эффективности работы;
возможности развития организации.
Во многом оно обеспечивается технологией, принятой в банке. Поэтому важно, чтобы при выявлении критических областей деятельности учитывалась их зависимость от технологических составляющих.
Ранее планы на случай непредвиденных обстоятельств учитывали только бедствия, связанные с компьютерной техникой. Это очень узкий подход. Для обеспечения бесперебойной деятельности необходимо учитывать все взаимосвязанные внешние и внутренние функции, в том числе ручные методы учета и обработки информации.
Наиболее важными факторами, обеспечивающими успех планирования, являются учёт всех мелочей и поэтапная разработка каждого небольшого элемента плана. Должно быть определено, на события какого масштаба рассчитан план. Если организация располагается в районе, где могут возникнуть региональные бедствия, план должен предусматривать возможность прекращения подачи электроэнергии, воды и других коммунальных услуг. В противном случае достаточно учитывать возможность бедствий лишь в масштабе здания и рассчитывать на помощь властей и городских структур.
Необходимо также установить "широту охвата" плана. Она зависит от многих факторов, в частности, от структуры банка, допустимых затрат, количества имеющихся зданий и т.п.
В основу методологии "Планирование бесперебойной деятельности" положен прагматический подход, предусматривающий поддержание критически важных процессов. Защита всех аспектов деятельности организации от пагубных последствий в случае бедствий либо нереальна, либо связана с чрезмерными затратами.
Целями проекта по составлению плана, обеспечивающего бесперебойность и восстановление деятельности банка в случае бедствий, являются:
Создание методики оценки бизнес-процессов, которая обеспечит разработку плана с помощью хорошо структурированной и всеобъемлющей методологии.
Разработка прагматичного, экономичного и работоспособного плана, который обеспечит бесперебойность критически важных процессов в случае серьёзного нарушения деятельности организации.
Минимизация последствий любого бедствия.
Эффективный план обеспечения бесперебойной деятельности является относительно недорогой формой страхования банка от последствий возможных бедствий, и затраты на него должны рассматриваться как составляющая необходимых издержек на поддержание нормальной деятельности.
Непременным условием быстрого и успешного восстановления деятельности банка после бедствия является предварительная разработка и регулярное обновление постоянно действующего плана обеспечения бесперебойной деятельности.
План включает следующие основные разделы:
1. Основные положения плана;
2. Оценка чрезвычайных ситуаций:
выявление уязвимых мест;
классификация возможных опасных событий и оценка вероятности их возникновения;
сценарии чрезвычайных ситуаций;
потенциальные источники отрицательных последствий каждой чрезвычайной ситуации и оценка величины ущерба;
набор критериев, на основании которых объявляется чрезвычайная ситуация.
3. Деятельность банка в чрезвычайной ситуации:
первоначальное реагирование на чрезвычайную ситуацию (оценка опасного события, объявление чрезвычайной ситуации, оповещение необходимого круга лиц, ввод в действие чрезвычайного плана);
мероприятия, обеспечивающие бесперебойность деятельности банка в чрезвычайной ситуации и восстановление ее нормального функционирования.
4. Поддержание готовности к возникновению чрезвычайной ситуации:
контроль правильности и корректировка содержания плана;
составление списка адресов и процедуры рассылки плана;
разработка программы повышения квалификации и ознакомления персонала с действиями, необходимыми для восстановления деятельности банка после бедствия;
подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий;
регулярное проведение частичных и комплексных проверок (типа пожарных учений) готовности банка к действиям в чрезвычайной ситуации и способности восстановить нормальную деятельность;
регулярное создание резервных копий данных, документации, бланков входных и выходных документов и основного программного обеспечения, их хранение в безопасном месте.
5. Информационное обеспечение:
приоритетные функции, выполняемые банком;
списки внутренних и внешних ресурсов — технических средств, программного обеспечения, средств связи, документов, офисного оборудования и персонала;
учётная информация о техническом, программном и другом обеспечении, необходимом для восстановления деятельности банка в случае чрезвычайной ситуации;
список лиц, которых необходимо оповестить о чрезвычайной ситуации с указанием адресов и телефонов;
вспомогательная информация — планы и схемы, маршруты перевозок, адреса и т.п.;
описание детальных пошаговых процедур, обеспечивающих чёткое выполнение всех предусмотренных мер;
функции и обязанности сотрудников в случае возникновения непредвиденных обстоятельств;
сроки восстановления деятельности в зависимости от типа возникшей чрезвычайной ситуации;
смета расходов, источники финансирования.
6. Техническое обеспечение:
создание и поддержание базы технических средств, обеспечивающей бесперебойную деятельность банка в чрезвычайной ситуации;
создание и поддержание в надлежащем состоянии резервных помещений.
7. Организационное обеспечение, состав и функции следующих групп, обеспечивающих бесперебойную деятельность в случае бедствия:
группы оценки чрезвычайной ситуации;
группы управления в кризисной ситуации;
группы для работ в чрезвычайной ситуации;
группы восстановления;
группы обеспечения работы в резервном производственном помещении;
группы административной поддержки.
Совершенствование информационной безопасности организации банковских систем следует проводить с учетом рекомендаций в области стандартизации процедур безопасности, установленных Банком России. В этом случае должны быть сформированы следующие требования:
назначения и распределения ролей и обеспечения доверия к персоналу;
обеспечения информационной безопасности на стадиях жизненного цикла автоматизированной банковской системы;
защиты от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
антивирусной защиты;
использования ресурсов Интернета;
использования средств криптографической защиты информации;
защиты банковских платежных и информационных технологических процессов.
Для обеспечения информационной безопасности и контроля за качеством ее обеспечения в КБ должны быть определены роли, связанные с деятельностью по ее обеспечению. Руководство банка должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением информационной безопасности.
При принятии руководством банка решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением информационной безопасности при использовании сети Интернет, необходимо учитывать следующие положения:
сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;
существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;
гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.
В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:
банковский платежный технологический процесс;
платежную информацию.
В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.
С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.
Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации.
Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают:
проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
проверку в части профессиональных навыков и оценку профессиональной пригодности.
Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.
Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах или подозрений в таком поведении или участии.
Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.
Обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты (соглашения, договоры) и(или) должностные инструкции.
Невыполнение работниками организации требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
При формировании требований по обеспечению информационной безопасности рекомендуется рассматривать следующие общие стадии модели жизненного цикла автоматизированных банковских систем:
разработка технических заданий;
проектирование;
создание и тестирование;
приемка и ввод в действие;
эксплуатация;
сопровождение и модернизация;
снятие с эксплуатации.
В случае разработки собственной автоматизированной банковской системы следует рассматривать все стадии, а в случае приобретения готовых систем рекомендуется рассматривать стадии 4-7.
Разработка технических заданий и приемка таких систем, а также, ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации, должны осуществляться по согласованию и при участии подразделения (лиц), ответственных за обеспечение информационной безопасности.
Привлекаемые для разработки и(или) производства средств и систем защиты автоматизированной банковской системы на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. Подобные системы и их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз безопасности(источников угроз), а также описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:
попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;
возможности ошибок авторизованных пользователей систем;
возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.
Следует иметь ввиду, что на стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа, а на стадии эксплуатации должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных защитных мер. Результаты выполнения контроля должны документироваться.
В составе автоматизированной банковской системы должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от несанкционированного доступа и средства криптографической защиты информации.
Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.
Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.
Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.
Порядок доступа работников в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться.
Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:
операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
проводимых транзакций, имеющих финансовые последствия;
операций, связанных с назначением и распределением прав пользователей.
Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, электронная цифровая подпись.
Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.
При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия в случае выхода инцидента за рамки отдельной организации банковской системы. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.
Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:
мониторинга и контроля защитных мер;
самооценки информационной безопасности.
аудита информационной безопасности;
анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства).
Основными целями мониторинга и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:
контроль за реализацией положений внутренних документов по обеспечению информационной безопасности;
выявление автоматизированной банковской системе;
выявление инцидентов информационной безопасности.
Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.
Аудит проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации банковской системы, так и с целью повышения доверия к ней со стороны других организаций. При подготовке к аудиту рекомендуется проведение самооценки информационной безопасности. Она проводится собственными силами и по инициативе руководства организации.
Анализ функционирования система обеспечения информационной безопасности проводится персоналом организации, ответственным за ее обеспечение, а также руководством, в том числе на основании подготовленных для руководства документов (данных).
Основными целями проведения анализа функционирования системы обеспечения информационной безопасности являются:
оценка ее эффективности;
оценка ее соответствия требованиям законодательства Российской Федерации и стандартов Банка России;
оценка ее соответствия существующим и возможным угрозам;
оценка следования принципам и выполнения требований по обеспечению информационной безопасности, закрепленным в политике безопасности организации, а также в иных внутренних документах.
1.2. Апробация методических положений
В последние пятнадцать лет в Российской Федерации реализован ряд практических мер по повышению уровня банковской безопасности. Благодаря скоординированным усилиям законодателей, Правительства РФ и Банка России сформирована в целом система нормативного правового и организационного обеспечения банковской безопасности, осуществлены практические мероприятия по совершенствованию мер безопасности в самих банках. Вместе с тем уровень банковской безопасности в современной России не соответствует объективным потребностям, и состояние защиты банков от преступных посягательств оставляет желать лучшего.
Представляется, что повышение уровня защищенности банков от криминальных посягательств на нынешнем этапе непосредственно связано с необходимостью научной проработки проблемы и получения более полных представлений о механизмах обеспечения безопасности банка, в том числе об особенностях организации и функционирования системы защиты банка, обеспечения безопасности новых направлений банковской деятельности и новых банковских технологий.
Ведущим субъектом обеспечения защиты российских банков от противоправных посягательств является государство. Это обусловлено его конституционными обязательствами, гарантирующими защиту всех форм собственности (см. ст. 8, 35 и 114 Конституции РФ), поэтому именно государство должно выступать главным заказчиком исследований в области безопасности банковской деятельности. В действительности это не так. Своеобразие ситуации заключается в том, что государство взяло на себя в основном функции уголовно-правового и административного пресечения противоправных посягательств в банковской сфере. Основную же работу по организации системы выявления и предупреждения криминальных посягательств такого рода законодатель возложил преимущественно на сами банки.
Требования о принятии банками мер защиты своего имущества и инфраструктуры содержатся в ряде федеральных законов и нормативных актов Банка России. Именно банк должен обеспечивать своими силами и средствами безопасность банковских операций, охрану имущества, защиту информации (банковской тайны, иных сведений конфиденциального характера, компьютерной информации) и информационной инфраструктуры, защиту системы кадрового обеспечения, личную безопасность руководства и персонала банка. Понятно, что организация столь обширной и разноплановой работы требует соответствующего научного и методического обеспечения. По этой причине банковское сообщество России весьма заинтересовано в теоретических разработках и практических рекомендациях в сфере банковской безопасности.
В последние годы отечественные ученые провели ряд исследований, касающихся преступлений в сфере банковской деятельности. Однако большинство этих исследований по-прежнему адресовано правоохранительным органам и не затрагивает вопросов участия самих банков в борьбе с преступлениями и создания ими систем безопасности.
Структурирование понятия безопасности банка позволяет представить в общем виде сложность задач построения системы банковской защиты. Функционирование многоуровневой системы защиты обеспечивается применением мер правового, организационного, сыскного, криминалистического характера.
Создание такой системы защиты на практике связано с решением широкого и разнопланового набора проблем. В их числе задачи разработки стратегии и тактики обеспечения безопасности банка; структурирование и уточнение целей и задач обеспечения безопасности; разработка комплекса основных мер, направленных на достижение указанных целей; подготовка предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения безопасности; разработка целевых криминалистических программ защиты имущества и инфраструктуры банка.
Чтобы "не потерять" ни одного из названных направлений деятельности, четко сформулировать их конечные цели, обеспечить необходимую последовательность действий, выявить все последствия и взаимосвязи каждого частного решения, необходим способ формализации сведений, соответствующий уровню возникающих задач. Формализованное описание проблем защиты позволяет, кроме того, выявить скрытые от поверхностного взгляда новые связи между факторами угроз и деятельностью по обеспечению безопасности банка.
Наиболее удачным способом системного изложения сведений о проблемах обеспечения безопасности банка и способах их решения является применение такой широко распространенной в настоящее время формы, как концепция. Именно концепция безопасности банка должна служить методологической основой для обеспечения безопасности банка, решения тактических и методических задач ее практической реализации.
В настоящее время, пожалуй, не найдется банка, который не обладал бы собственной концепцией безопасности, изложенной в той или иной форме. Однако изучение указанных документов свидетельствует о различном качестве их проработки. Некоторые из них содержат существенные погрешности методологического плана.
Наиболее "весомым" из названной категории документов, несомненно, является "Концепция безопасности коммерческого банка", разработанная в 1995 г. группой ученых и специалистов по заказу Ассоциации российских банков. Названная концепция представляет собой научно обоснованную систему взглядов на основные направления, условия и порядок практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции. В целом концепция явилась шагом вперед в деле системного осмысления проблем безопасности банка, однако время потребовало обновления данной концепции и дополнения ряда ее положений. Усилия в этом направлении предприняты в изданной в 2003 г. работе "Концепция и система безопасности банка"( Гамза В.А., Ткачук И.Б. Концепция и система безопасности банка. — М.: Издатель Шумилова И.И., 2003). Необходимо отметить, что любая типовая концепция безопасности является своего рода моделью с определенной степенью обобщения. Из этого следует, что практическое применение такой модели предполагает ее предварительную "подгонку" к специфике деятельности конкретного банка. Вместе с тем существует обязательный набор элементов системы обеспечения безопасности, которые должны быть отражены именно в концепции безопасности любого банка.
Изучение задач, вытекающих из действующего законодательства и иных нормативных правовых актов, разработок в области криминалистики и результатов практической деятельности по обеспечению безопасности банков приводит к выводу о том, что создатели концепции должны включить в нее, как минимум, пять основных разделов. В их числе:
основы формирования и функционирования системы безопасности банка (понятия и определения в системе банковской безопасности, принципы обеспечения, силы и средства, основы организации системы безопасности);
система правового обеспечения банковской безопасности;
концептуальное проектирование системы безопасности банка (объекты защиты, основные виды посягательств, субъекты правоотношений в области обеспечения банковской безопасности);
рабочее проектирование системы безопасности банка (организационно-правовые вопросы создания системы безопасности, организация службы безопасности);
управление деятельностью службы безопасности банка.
Применение при разработке концепции системного подхода позволяет избежать типичных ошибок (перекосов и пробелов) в организации защиты конкретных направлений и элементов безопасности банка. К числу таких ошибок следует отнести, в частности непропорциональные затраты сил и средств на защиту банков от насильственных посягательств на имущество при недооценке опасности преступлений ненасильственного характера, прежде всего таких, как мошенничество (в том числе с использованием информационных технологий), злоупотребление полномочиями, незаконное получение кредита.
Другая разновидность аналогичной диспропорции имеет место в более узкой сфере, а именно - в области организации защиты охраняемой информации банка. Здесь весьма распространено чрезмерное увлечение программно-техническими средствами защиты при недооценке механизмов правового обеспечения информационной безопасности.
Названные диспропорции находят свое отражение в тематике научных работ и методических рекомендаций по теме банковской безопасности. Несмотря на данные зарубежной и отечественной статистики о том, что имущественный ущерб от действий "беловоротничковой" преступности гораздо значительнее ущерба, причиняемого открытыми нападениями на банки и взломами их хранилищ, в прессе все равно преобладают публикации, посвященные физической и технической защите банков.
Правильное построение концепции и системы безопасности банка позволяет существенно повысить эффективность деятельности службы безопасности, организовать ее активное и всестороннее участие по всему спектру защиты интересов банка. Кроме того, использование системных принципов дает возможность предусмотреть с необходимой степенью детализации действия службы безопасности в целях:
обеспечения безопасности банковских операций;
управления банковской деятельностью;
защиты охраняемой информации, нематериальных активов, системы кадрового обеспечения;
обеспечения личной охраны руководства и персонала банка.
Особенности банковской системы таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов информационной безопасности значительно возрастают результирующий риск и возможность нанесения ущерба организациям банковской системы. Поэтому угрозы информационной безопасности представляют существенную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов (их влияния на операционный, репутационный, стратегический и иные риски) следует обеспечить достаточный уровень безопасности. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение информационной безопасности является одним из основополагающих аспектов деятельности банков.
Апробация методологических положений возможна практическим и теоретическим способами. Теоретический способ апробации может быть представлен, как синтез системного, структурного и функционального подходов, а также, метода научного моделирования.
Практический способ может быть реализован при помощи рассмотрения и оценки комплексных систем информационной безопасности существующих финансовых организаций.
Рассмотрим интегрированную систему безопасности банка, на примере отделений банка Raiffeisen.
Постановка задачи: Проектирование, поставка оборудования, установка и пуско-наладка интегрированной системы безопасности в отделениях банка, находящихся в разных районах г. Москвы. Объединение в единую систему безопасности цифровой системы видеонаблюдения, системы контроля доступа в служебные помещения, системы доступа в по карточкам VISA в комнаты с банкоматами, системы охранно-пожарной сигнализации и системы оповещения о пожаре и эвакуации людей в каждом отделении банка.
История проекта: Первый контракт на создание интегрированной системы безопасности отделения банка «RaiffeisenBank» в бизнес-центре «Царев Сад» (Софийская набережная) был подписан в начале 2002 г. и выполнен в течение одного месяца. Второй контракт на создание системы безопасности банка в отделении на ул. 2-ая Ямская был выполнен за 25 дней.
Выполненные работы по созданию интегрированной системы безопасности отделения банка:
Обследованы помещения отделений банка, разработан и утвержден проект интегрированной системы безопасности каждого отделения банка.
Выполнена поставка компонентов и устройств системы безопасности, а также программного обеспечения для управления системой безопасности и учета рабочего времени персонала.
Осуществлена установка оборудования системы безопасности: цифровой системы видеонаблюдения, системы контроля доступа и охранно-пожарной сигнализации.
Проведена интеграция, инсталляция, наладка и тестирование работоспособности всей интегрированной системы безопасности и ее сдача в эксплуатацию.
Осуществлена сертификация системы безопасности банка в уполномоченном подразделении Центрального Банка РФ.
Организовано и проведено обучение сотрудников службы безопасности банка.
Выполняются регламентные работы по гарантийному техническому обслуживанию систем безопасности каждого отделения банка.
Краткое описание компонентов интегрированной системы безопасности банка: Цифровая система видеонаблюдения отделений банка построена на оборудовании ведущих мировых производителей. В частности, применены цифровые видеорегистраторы-мультиплексоры, позволяющие службе безопасности банка управлять работой телекамер в помещениях банка и уличными камерами, а также записывать всю информацию с телекамер в цифровом формате.
Программная среда сформирована на автоматической системе безопасности, которая основана на базе программно-аппаратных платформ мировых лидеров индустрии - компаний Lenel Systems International, SimplexGrinnell и Hirsch Electronics.
При построении системы пожарной безопасности банка применен аппаратно-программный комплекс Simplex известной американской компании SimplexGrinnell в составе адресной системы автоматической пожарной сигнализации, голосовой системы оповещения о пожаре и эвакуации людей и системы спринклерного пожаротушения. Интеграция пожарной сигнализации и системы оповещения в единую систему безопасности осуществлена на аппаратно-программном уровне.
Для ограничения доступа в служебные помещения отделений банка применены традиционные для банка системы контроля доступа и охранной сигнализации. Круглосуточный доступ клиентов в помещения с банкоматами обеспечивается системой, позволяющей использовать для входа банковские карты VISA. Для учета рабочего времени персонала использован специальный модуль системы Simplex.
Функциональные возможности интегрированной системы безопасности банка:
Круглосуточное видеонаблюдение в служебных помещениях банка, видеоконтроль за присутственными местами банка и за прилегающими территориями, с записью видео на устройства системы безопасности.
Архивирование видеозаписей по помещениям банка с возможностью покадрового воспроизведения записей тревог, в том числе по дате, времени суток, по камере и т.п.
Отображение видеоинформации с камер на мониторах системы безопасности в реальном времени.
Архивация видеоинформации по тревожным событиям.
Авторизация сотрудников банка в системе контроля доступа при их перемещениях по служебным помещениям.
Учет рабочего времени сотрудников отделений банка.
Предоставление круглосуточного доступа владельцев карточек VISA в помещения банка с банкоматами и обеспечение их безопасности.
Фиксация и оповещение службы безопасности банка о возникновении задымления или пожара на территории банка с указанием адреса тревожного помещения.
Автоматическое включение системы оповещения персонала о пожаре и системы пожаротушения в помещениях возникновения пожара.
Голосовое оповещение персонала банка о пожаре и указание безопасных путей их эвакуации.
Протоколирование и автоматическая запись на устройства системы безопасности всех тревожных событий, произошедших на территории отделения банка.
Для обеспечения информационной безопасности очень часто применяются лишь программно-аппаратные средства, позволяющие выполнять такие задачи, как аутентификация и идентификация пользователей, разграничение прав доступа, анализ трафиков Интернет, локальной сети и тому подобное. Однако практика показывает, что даже самая сложная защита со временем может быть взломана, или ключ к ней будет украден либо перекуплен. Ведь самым слабым и ненадежным звеном любой системы безопасности остается персонал. Поэтому, помимо технических, необходимо учитывать и принимать организационные меры, которые предусматривают детальную проработку бизнес-процессов, прописывание зон ответственности и разработку политики информационной безопасности.
Другим примером эффективного применения систем информационной безопасности в банковской сфере является – Метробанк. Система построена в соответствии с требованиями международных стандартов ISO 17799/BS7799. Необходимо отметить, что весь комплекс работ по построению системы управления информационной безопасностью банка проходил при поддержке высшего руководства,которое непосредственно участвовало и участвует на таких важных стадиях, как, например, оценка информационных рисков или классификация активов.
Банк стал полигоном, где прошло апробирование аналогичных методик, рассматриваемых в диссертационном исследовании.
Важную роль в соблюдении всеми сотрудниками положений политики информационной безопасности, принятой в банке, играет техническое обеспечение.
Одним из этапов внедрения системы информационной безопасности являлось обеспечение выполнения требования политики информационной безопасности в отношении смены паролей. Например, система была запрограммирована таким образом, чтобы исключить саму возможность работать неправильно. Когда не нужно напоминать, что пора сменить пароль — просто в определенный момент система не пустит пользователя по старому паролю, заставит создать новый и отследит, чтобы он содержал определенное количество символов, причем часть из них была цифрами.
Аналогичная ситуация с утечкой информации. Можно проверять у сотрудников на входе и выходе все съемные носители информации (дискеты, USB-устройства и т.д.), но надежнее разрешить использование съемных носителей только для чтения и только тем сотрудникам, которым это необходимо для выполнения служебных обязанностей. Причем использование USB-порта можно настроить так, чтобы к нему можно было подключить только конкретный принтер или сканер. При этом администрирование съемных носителей производится централизовано системным администратором, а все действия пользователей (включая действия системного администратора) протоколируются в электронные журналы событий, которые впоследствии анализируются сотрудниками департамента информационной безопасности.
Порой департамент информационной безопасности упрекают, что он мешает работать — пишет инструкции, заставляет следовать строгим правилам. Внедрение стандарта по информационной безопасности позволило, прежде всего, лучше разобраться в работе банка. Были четко прописаны все бизнес-процессы, разработана политика распределения ролей, которая позволила исключить дублирование обязанностей и полномочий и сделать так, чтобы за каждый процесс отвечал конкретный исполнитель, а не группа. Все это положительно сказалось не только на уровне информационной безопасности, но и на эффективности основного бизнеса.
Отличительной особенностью многих продуктов Метробанк является активное использование интернет-технологий. В то же время вопрос безопасности в глобальной сети до сих пор остается сдерживающим фактором - как для сетевой торговли, так и для денежного обращения в ней.
Чтобы обеспечить необходимый уровень информационной безопасности для клиентов, банк впервые в СНГ использовал в системе «Интернет-офис» и потребительского кредитования новую модель USB-ключа со встроенным генератором одноразовых паролей, для двухфакторной аутентификации, и PKI-хранилищем для хранения личных секретных сертификатов и ключей пользователя — eToken NG-OTP. Каждый клиент банка теперь получает специальный USB-брелок с дисплеем, где отображается одноразовый пароль. Чтобы войти в систему «Интернет-офис», клиент нажимает клавишу на брелоке и получает пароль.
Система его аутентифицирует и предоставляет доступ к ресурсам банка. Этот пароль больше нигде не будет использоваться — он нужен лишь для одноразового пользования системой. Естественно, передача всех данных защищена протоколом SSL. Это первая ступень.
Дальнейшие действия по отправке документов внутри системы «Интернет-офис» подписываются личной электронно-цифровой подписью клиента. Сертификат ЭЦП хранится в самом брелоке, в специальном PKI-хранилище, защищенном паролем как минимум из восьми символов.
Если какое-либо критичное действие клиента не будет корректно подписано, мы его не сможем принять к исполнению. На сегодняшний день - это самая передовая технология.
Кроме того, внедряются средства биометрической идентификации для клиентов и сотрудников банка. Например, доступ в серверные комнаты, переходы сотрудников внутри банка и доступ клиентов в депозитарий будут осуществляться по отпечатку пальца. В будущем году USB-брелоки или смарт-карты с сенсором отпечатка пальца будут использоваться и для аутентификации клиентов «Интернет-офис» и сотрудников при входе в персональный компьютер.
Для менее критичных помещений будет использован электронный «фэйс-контроль». При входе в охраняемое помещение банка устанавливается видеокамера. Когда к двери подходит посетитель, изображение его лица, полученное с камеры, сравнивается с базой данных, хранящейся на сервере: если посетителю разрешен доступ в это помещение, его пропускают. C одной стороны, эта технология позволит еще «на входе» вычислять мошенников и «плохих» клиентов. С другой — даст возможность практически моментально идентифицировать клиента и выдать на экран оператору всю необходимую информацию: от имени, отчества и дня рождения до сведений об используемых услугах.
Современные технологии позволяют хранить практически неограниченные объемы данных, в том числе изображения. Поэтому ничего сложного в их реализации нет.
Предусмотрено параллельное использование средств идентификации предыдущего поколения. Здесь многое зависит от менталитета, хотя и он со временем меняется, так же как и российская экономика быстро движется к открытости.
Неплохим примером для подражания является система в США - там для оценки заемщика используется FICO (название произошло от компании Fair, Isaac & Company) - суммарная оценка, состоящая из пяти основных параметров: как выплачивались предыдущие кредиты (платежная история), общая сумма долга по всем счетам, продолжительность кредитной истории и информация о счетах и кредитах (количество новых счетов, виды кредитов и количество счетов по каждому виду кредита). Чем баллы выше - тем охотнее с вами будут общаться кредитные организации.
Список литературы
Конституция РФ. Принята на всенародном голосовании 12 декабря 1993 года // Российская газета. 1993. № 237.
Гражданский процессуальный кодекс РФ от 14 ноября 2002 г. № 138-ФЗ // СЗ РФ. 2002. № 46. Ст. 4532.
Гражданский кодекс Российской Федерации (части первая, вторая и третья) (с изм. и доп. от 2 февраля 2006 г.) // СЗ РФ. 2001. № 49. Ст. 4552.
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" // СЗ РФ. 2002. № 52 (часть I). Ст. 5140.
Федеральный закон от 10 июля 2002 г. № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" // СЗ РФ. 2002. № 28. Ст. 2790.
Закон РФ от 5 марта 1992 г. № 2446-I "О безопасности" // Российская газета. 1992. № 103.
Федеральный закон от 2 декабря 1990 г. № 395-I "О банках и банковской деятельности" // Ведомости съезда народных депутатов РСФСР. 1990. № 27. Ст. 357.
Закон РФ от 21 июля 1993 г. № 5485-1 "О Государственной тайне" // СЗ РФ. 1997. № 41. Ст. 4673.
Указ Президента РФ от 3 апреля 1995 г. № 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" // СЗ РФ. 1995. № 15. Ст. 1285.
Постановление Правительства РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" // СЗ РФ. 1995. № 27. Ст. 2579.
Стандарт ЦБР СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением ЦБР от 26 января 2006 г. № Р-27) // Вестник Банка России от 3 февраля 2006. № 6.
Аванесян К. А. Депозитарная деятельность коммерческих банков на российском рынке ценных бумаг. - М., 2000. - 123 с.
Акимов Я.С. Проектное финансирование в российских банках // Юридическая работа в кредитной организации. - 2006. - № 2. - С.11-15.
Анненская Н.Е. Проблемы структурирования бизнес-процессов в российских инвестиционных банках // Инвестиционный банкинг. - № 2. - С. 32-36.
Бабкин В.В. Корпоративный конфликт в банке как реальная угроза для его клиентов // Управление в кредитной организации. - 2006. - № 1. - С.24-29.
Бабкин В.В. Модель нарушителя информационной безопасности - превенция появления самого нарушителя // Управление в кредитной организации. - 2006. - № 5. - С. 18-23.
Башлыков М. Актуальные вопросы информационной безопасности // Финансовая газета. Региональный выпуск. - 2006. - № 4. - С. 9-15.
Бедрань А. Согласованная методика проведения аудита информационной безопасности // Финансовая газета. - 2007. - № 6. - С. 33-36.
Беликова А.В. Проблемы участия банков в инвестиционном процессе // Инвестиционный банкинг. - 2006. - № 3. - С. 16-22.
Белоглазова Г.Н. Регулирование рыночных рисков как элемент эффективности банковского надзора. - Актуальные проблемы финансов и банковского дела: Сборник научных трудов / Под ред. А.И.Михайлушкина, Н.А.Савинской. - СПб.: СПбГИЭА, 2000. - 178 с.
Блинова С., Копылов Д. "Клиент-Банк": правила безопасности // Расчет. - 2005. - № 8. - С. 28-32.
Братко А.Г. Центральный банк в банковской системе России. - М.: Спарк, 2001. - 172 с.
Бугров А. Международные стандарты для построения системы информационной безопасности // Финансовая газета. - 2007. - № 10. - С.5-9.
Бурмистрова Л. А., Тилов А. А. Банковская система Российской Федерации: Учеб. пособие ля студентов всех спец. - М.: ГУУ, 2000. - 258 с.
Васильев Г. Российский рынок информационной безопасности: новые тенденции // Финансовая газета. - 2007. - № 1. - С. 16-20.
Велигура А. Обеспечение информационной безопасности кредитных организаций на основе использования стандартов ЦБ РФ // Бухгалтерия и банки. - 2006. - № 7. - С.3-6.
Власенко И.Б., Комов С.Ф., Красикова Ю.В. Центральный банк Российской Федерации и финансовая политика государства - М: Б.и., 2000. - 144 с.
Волков П. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации // Финансовая газета. - 2006. - № 34. - С.77-80.
Высоковский Д.В. Управление рисками в коммерческом банке // Расчеты и операционная работа в коммерческом банке. - 2006. - № 5. - С. 20-24.
Глущенко В.В. Право как инструмент снижения инвестиционных рисков национальной экономики в условиях глобализации // Законодательство и экономика. - 2006. - № 9. - С.31-35.
Голикова Ю.С., Хохленкова М.А. Банк России: организация деятельности. М.: ДеКА, 2000. - 138 с.
Голубев С.А. Роль Центрального банка Российской Федерации в регулировании банковской системы страны. - М.: Юстицинформ, 2000. - 177 с.
Гончарук О.В. О теоретических проблемах управления наличным денежным обращением в России. - Актуальные проблемы финансов и банковского дела: Сборник научных трудов / Под ред. А.И.Михайлушкина, Н.А.Савинской. - СПб.: СПбГИЭА, 2000. - 162 с.
Деньги, кредит, банки: Учебник / Под ред. О.И.Лаврушина. - М: Финансы и статистика, 2001. - 214 с.
Журавель Ю.Ю. Что может и чего не может скоринг в потребительском кредитовании // Банковский ритейл. - 2006. - № 4. - С. 34-38.
Зарипов И.А., Петров А.В. Электронные финансы, интернет-банкинг: мировые тенденции и российская специфика // Международные банковские операции. - 2006. - № 1. - С. 39-42.
Зимин А.И. Инвестиции. - М.: Юриспруденция, 2006. - 241 с.
Зиновьева М.Ю. Холдинги, финансово-промышленные и банковские группы // Право и экономика. - 2003. - № 4. - С.35-39.
Игонина Л.Л. Инвестиции. - М.: Юристъ, 2002. - 182 с.
Каленбет Д. Управление рисками и защита информации в системах интернет-банкинга // Расчеты и операционная работа в коммерческом банке. - 2006. - № 6. - С. 2-6.
Каурова Н.Н. Тенденции и перспективы развития розничного бизнеса коммерческих банков в России // Банковский ритейл. - 2006. - № 2. - С.28-31.
Киевский В. Векторы развития // Банковское дело в Москве. - 2006. - № 10. - С. 23-29.
Ковалев П. Методы банковского риск-менеджмента на этапе идентификации и оценки последствий от наступления рисков // Управление в кредитной организации. - 2006. - № 3. - С.14-17.
Комиссаров Г.П., Господарчук Г.Г. Методологические подходы к разработке стратегии развития банковского сектора региона // Управление в кредитной организации. - 2006. - № 2. - С.43-48.
Коптелов А., Беркович В. Внедрение информационных технологий в целях повышения эффективности бизнеса // Финансовая газета. - № 25, 26. - С.15-20..
Курило А., Зефиров С. Безопасность информации - надежность банка // Банковское дело в Москве. - 2006. - № 3. - С. 30-35.
Ларионов Р. Система Гарант в помощь кредитным организациям // Финансовая газета. Региональный выпуск. - 2006. - № 25. - С.7-13.
Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях. // Управление в кредитной организации. - 2006. -№ 2. - С. 26-33.
Мурычев А. Банкам нужны ресурсы // Банковское дело в Москве. - 2005. - № 4. - С.47-50.
Новости кредитно-финансового сектора // Банковское кредитование. - 2006. - № 2. - С.17-20.
Общая теория денег и кредита: учебник для вузов / Под ред. Е.Ф.Жукова. - М.: ЮНИТИ-ДА-НА, 2002. - 253 с.
Оксюк Т.Т. Правовое положение управляющей компании паевого инвестиционного фонда // Законодательство. - 2004. - № 10, 11. - С.23-26.
Орлов К. Политика кредитования сотрудников // Консультант. - 2005. - № 19. - С. 11-14.
Основы банковской деятельности / Под ред. Тагирбекова К.Р. - М.: Инфра-М, 2003. - 238 с.
Ромашина-Скута Е.А. Основные банковские риски, их взаимосвязь и влияние на управление банком // Банковский ритейл. - 2006. - № 2. - С. 36-41.
Саркисянц А. Реформа финансовой отчетности французских банков // Бухгалтерия и банки. - 2006. - № 7. - С.34-37.
Семенов Д., Лисицын А. Управление рисками // Бюджет. - 2006. - № 9. - С.17-19.
Сиднев С. Новые подходы к оценке кредитного риска // Бухгалтерия и банки. - 2006. - № 6. - С.22-28.
Смирнов И.Е. Электронный банкинг в России: перспективы обнадеживают // Банковское кредитование. - 2006. - № 3. - С. 34-40.
Соколинская Н.Э. Управление рисками в инвестиционном кредитовании // Инвестиционный банкинг. - 2006. - № 1. - С.39-42.
Тимкин М. Информационное обеспечение процесса управления рисками в банке // Финансовая газета. - 2006. - № 49. - С. 21-26.
Финансовый курьер // Финансовая газета. Региональный выпуск. - 2006. - № 22. - С.10-17.
Хорошилов С.Д. Банковский сектор стран - членов Совета по сотрудничеству в Персидском заливе // Международные банковские операции. - 2006. - № 4. - С.27-31.
Чернобыльская А.Б., Вороненко Д.И. Управление рисками при розничном кредитовании // Банковское кредитование. - 2006. - № 3. - С.5-9.
Чикалев И., Леденко С. Во что обходится информационная безопасность // Банковское дело в Москве. - 2006. - № 7. - С. 41-46.
Шапран В.С. Инвестиционный банковский бизнес в странах ЕС: технологии и тенденции // Инвестиционный банкинг. - 2006. - № 2. - С.22-25.
Шпунт Я. Intelligent Enterprise //Спецвыпуск 7. - 25 декабря 2007. – С. 32
Щелов О. Кредитные бюро: первые шаги и первые сомнения // Бухгалтерия и банки. - 2005. - № 10. - С. 8-12.
Для подготовки данной применялись материалы сети Интернет из общего доступа