· В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).
Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах:
· Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
· Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.
· К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.
· Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).
· Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.
· Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.
Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.
3.2 Страхование компьютерных (электронных) преступлений в банковской сфере
Безопасность - один из ключевых элементов, обеспечивающих нормальное функционирование электронной банковской системы. Проблемы обеспечения безопасности деятельности банков всегда актуальны, особенно в переходный период.
В начале 1980-х годов назрела потребность в получении страхового покрытия от электронных и компьютерных преступлений. В ответ на возникший спрос андеррайтеры Ллойда в Лондоне разработали полис (условия) страхования финансовых учреждений от электронных и компьютерных преступлений, совершенных третьими лицами. Этот полис является дополнительным в стандартной системе страхования банковских рисков, известной в мире под названием Bankers Blanket Bond (В.В.В.). С момента разработки данный полис начал активно использоваться банками и страховщиками и практически сразу же стал неотъемлемой частью стратегии риск - менеджмента.
К решению проблем компьютерной безопасности необходим комплексный подход. Использование систем технической и информационной безопасности, на которых казахстанские банки в настоящее время сосредотачивают основное внимание, могут только в определенной степени предотвратить ущерб. Страхование же в отличие от этих систем не только предотвращает преступление, но и, что самое важное, возмещает убытки, понесенные в результате их совершения.
Страхование от компьютерных преступлений в Европе и США стало стандартным видом страхования для банков, дилерских фирм, страховых компаний и крупных трансляционных коммерческих компаний, осуществляющих переводы своих денежных средств, а также несущих ответственность за сохранность средств своих клиентов при клиринговых и депозитных операциях.
Страховой полис Ллойда предлагает свой подход к проблеме страхового риска, выделяя ряд объектов страхования в соответствии с существующими факторами риска. По данному полису выделяются следующие объекты страхового покрытия.
1. Страхование компьютерных систем банка от несанкционированного входа. По данному полису Страхователю возмещается убыток в случае, если он перевел, оплатил или поставил какие-либо средства или имущество, открыл кредит, оплатил счет или осуществил любой другой вид выплат в результате несанкционированного входа третьих лиц в компьютерную систему Страхователя.
2. Страхование банков от нелояльности персонала, временно выполняющего работу для Страхователя по контракту. По данному полису Страхователю возмещаются убытки, нанесенные ему независимыми консультантами и другими сотрудниками, выполняющими определенные работы для банка по контракту и не являющимися его постоянными сотрудниками, в результате осуществления мошеннических модификаций в компьютерных программах, независимо от способа внедрения в компьютерную сеть Страхователя. Однако преступления, совершенные сотрудниками, временно работающими по контракту на Страхователя, не покрываются по полису страхования от компьютерных преступлений, так как данный вид покрытия предоставляет В.В.В.
3. Страхование электронных данных и их носителей. По данному полису Страхователю возмещаются убытки, нанесенные ему в результате умышленного уничтожения или попытки уничтожения электронных данных. Однако данный страховой полис покрывает страхователям только стоимость восстановления этих данных. Если они не подлежат восстановлению, то выплачивается номинальная стоимость носителя электронной информации.
4. Страхование средств электронной связи банка. Страхователю компенсируются убытки, в случае, если он перевел, оплатил, или поставил какие-либо средства или имущество, открыл кредит, оплатил счета или осуществил другую выплату на основании получения мошеннического поручения на осуществление этих операций по средствам электронной связи.
5. Страхование юридической ответственности Страхователя в результате осуществления его клиентом или финансовым институтом перевода денежных средств, оплаты или поставки каких-либо средств или имущества, а также осуществил любой другой вид выплат на основании получения мошеннического поручения или подтверждения на осуществление перевода, платежа, доставки или получения средств/имущества, которое было передано им якобы от имени Страхователя.
6. Страхование от убытков вследствие перевода денежных средств по мошенническим телефонным инструкциям. Страхователю компенсируются убытки, понесенные им в результате мошенничества при операциях с переводом денег по телефонным инструкциям.
7. Страхование компьютерных систем банка от компьютерных вирусов. Страхователю возмещается убыток в случае, если он перевел, оплатил или поставил какие-либо средства или имущество, осуществил какую-либо выплату в результате порчи данных, находящихся в компьютерной сети Страхователя компьютерным вирусом или в результате уничтожения электронных данных, находившихся в автоматизированной системе Страхователя в результате умышленной порчи или попытки порчи этих данных посредством компьютерного вируса. При умышленном введении в программы команд или кодов, вызывающих сбои в компьютерной сети или в системе электронного перевода денег на определенный день, предотвратить убыток практически невозможно, так как программирование осуществляется с таким расчетом, что при проверке мошеннические команды и коды могут быть выявлены только через определенное время после того, как убыток уже произойдет. Если сегодня преступники способны на такие хитроумные махинации, то можно только предполагать, какие новые виды компьютерных и электронных преступлений могут появиться в конце нашего тысячелетия.
8. Страхование операций с ценными бумагами на электронных носителях. Данный страховой полис обеспечивает покрытие убытков Страхователя, понесенных им в результате повреждения или уничтожения ценных бумаг на электронных носителях, использующихся Страхователем в своей работе и находящихся на хранении в депозитарии или у самого Страхователя.