Окатов Костянтин Вікторович
Москва 2009
1.1. Методичні засади удосконалення безпеки банківської системи
Необхідність удосконалення безпеки банківської системи обумовлена подальшим успішним розвитком як банківської системи в цілому, так і підвищенням ефективності діяльності та стійкості функціонування окремих банків.
Такі фактори, як поліпшення якості корпоративного управління, включаючи досягнення більшої прозорості діяльності банків, ефективності ризик-менеджменту, вдосконалення відносин органів управління банків, акціонерів і зацікавлених осіб, в значній мірі можуть сприяти досягненню мети підвищення ефективності вдосконалення безпеки банківської системи.
Формування і подальше поліпшення банками систем управліннями ризиками, наближення їх до відповідних міжнародних стандартів дозволяє зменшити схильність банківського сектора ризикам, що приймаються на себе. Поряд з цим позитивний вплив на ризики банківської діяльності може надавати проведення заходів щодо узгодженості динаміки зростання активів банківського сектора з темпами економічного зростання.
Основним орієнтиром вдосконалення принципів та інструментів безпеки банківської системи слід вважати наближення діяльності КБ у даній сфері до міжнародних стандартів, включаючи міжнародні стандарти з угодами щодо капіталу (Базель II), а також використання підходів до банківського регулювання і нагляду, перевірених світовою практикою. Також, позитивний вплив на безпеку і результативність роботи КБ може надавати і послідовне зменшення масштабів перенесення ризиків нефінансового сектора економіки на фінансовий.
Структурно, система безпеки зараз знаходиться на порозі переходу до якісно іншого стану. І в зв'язку з цим, слід звернути особливу увагу на популярний останнім часом принцип економічної доцільності: не можна допустити, щоб він виявився обмежувачем об'єктивного розвитку банківської безпеки.
Активізація організованої злочинності, зростання її фінансової потужності і технічної оснащеності дає підставу вважати, що тенденція ускладнень у криміногенній обстановці навколо банків у найближчому майбутньому збережеться. Тому визначення та прогнозування можливих загроз, оцінка ступеня їх небезпеки для банківської системи принципово важливі і необхідні при виборі і реалізації відповідних захисних заходів.
Дуже актуальним є вдосконалення комплексу завдань забезпечення інформаційної безпеки, впровадження та комплексного застосування сучасних технічних засобів охорони, виявлення, спостереження, збору та обробки інформації. При цьому, природно, зберігаються завдання забезпечення збереження матеріальних цінностей, фізичної охорони банків, відповідного режиму внутрішньооб'єктового та пропускного режиму.
У доктрині інформаційної безпеки Російської Федерації (Доктрина інформаційної безпеки Російської Федерації, схвалена Радою Безпеки Російської Федерації на засіданні 23 червня 2000 року) захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційних систем розглядаються як «четверта складова національних інтересів Російської Федерації в інформаційній сфері».
Банк Росії особливу увагу приділяє забезпеченню безпеки електронних розрахунків, так як основна маса розрахунків між банками здійснюється через його розрахункову систему.
Поряд з безумовними позитивними моментами прискореного розвитку інфраструктури, платіжних банківських технологій, переходу до централізованих форм обробки платіжної інформації, ці процеси супроводжуються виникненням додаткових ризиків. Це вимагає прийняття цілого ряду заходів, спрямованих на виключення загроз інформаційної безпеки. Принципово важливо, якщо не виключити повністю, то, принаймні, звести до мінімуму шкоду від можливого розкрадання грошових коштів з платіжних систем. Вирішити це завдання можна тільки на основі чітко проведеної політики безпеки, а також реалізації єдиного комплексного підходу при побудові систем безпеки та впровадження їх у платіжні та інформаційні банківські технології.
Банком Росії визначені цілі політики безпеки: забезпечення надійного безперебійного функціонування платіжної системи в умовах виникаючих загроз і впливів, які можуть призвести до порушення і дестабілізації роботи платіжної системи, до руйнування її безпеки і розкрадання грошових коштів.
У дисертаційній роботі ми спираємося на принципи управління ризиками в електронних банківських операціях. До них зокрема відносяться:
ідентифікація клієнтів, що беруть участь в електронних розрахунках;
реалізація електронних розрахунків на основі встановленої відповідальності сторін;
чітке розмежування повноважень по доступу співробітників до електронної банківської системи;
регламентація функціональних обов'язків;
організація належного контролю за доступом в електронну банківську систему і базу даних;
забезпечення цілісності інформації та програмного забезпечення;
забезпечення конфіденційності інформації, що циркулює в системі електронних розрахунків.
Банки Росії реалізують ці принципи на основі єдиного комплексного підходу до забезпечення безпеки системи електронних розрахунків, який передбачає застосування певних технічних, організаційних та програмних заходів, що забезпечують захист на всіх етапах підготовки, обробки, передачі і зберігання платіжних документів. Причому в безперервному режимі.
У платіжній системі в першу чергу забезпечується ідентифікація користувачів, контроль цілісності та підтвердження автентичності платіжних документів, розмежування прав доступу, захист від несанкціонованого доступу до ресурсів і, природно, контроль за правильністю розрахунків. Широко застосовується криптографічний захист платіжної інформації. Щоб не допустити збоїв у роботі, робиться резервування програмно-технічних комплексів та інформаційних ресурсів. У цілому, система побудована таким чином, що вихід з ладу якогось окремого комплексу - через припинення подачі електроенергії, технологічних порушень або терористичного акту - не може привести до зупинки розрахунків. У крайньому випадку, він буде проходити через інші регіони.
У Банку Росії велика група фахівців зайнята вдосконаленням та розвитком платіжної системи. При цьому робота йде паралельно в чотирьох основних напрямках: законодавче поле, інформаційне забезпечення, нормативна база і власне захист.
Корпоративна мережа платіжної системи відокремлена від інших мереж і входить в єдину транспортну банківську мережу. Вона забезпечує взаємодію між регіональними платіжними системами та інформаційною системою Банку Росії. Її безпека досягається завдяки застосуванню засобів міжмережевий захисту - сертифікованих міжмережевих екранів. Перевагу при створенні системи безпеки єдиної транспортної банківської мережі було віддано програмно-апаратних засобів вітчизняної розробки. Фактично вони дозволяють відокремити її від глобальних телекомунікаційних систем, включаючи Інтернет.
Серед сучасних засобів захисту інформації, що застосовуються в комерційних банках, важливе значення має криптографічний захист інформації, яка грунтується на симетричних і несиметричних (асиметричних) шифри, на шифри і алгоритмах Діффі-Хелмана, на стеганографії, на інфраструктурі відкритих ключів (PKI) і на електронних цифрові підписи (ЕЦП).
Кількість реєстрованих вірусних атак, особливо в мережі Інтернет, щорічно зростає. Відповідно до нормативних документів Банку Росії впроваджена і постійно підтримується жорстка система забезпечення антивірусного захисту. Вона дозволяє не допустити проникнення вірусів у платіжну систему. Проте, постійно виникають нові види загроз (Рис 1). Крім вірусів, серед найбільш динамічно розвиваються систем порушення банківської безпеки можна виділити наступні:
СПАМ і Фішинг;
Фармінг;
Вішинг.
Рис. 1. Види шкідливого ПО, з яким стикалися учасники опитування, проведеного компаніями Softline та Symantec в жовтні 2007 року
Причини такого стану справ, як вважає старший вірусний аналітик з «Лабораторії Касперського» Віталій Камлюк, полягають в наступному:
прибутковість;
простота виконання (як з технічної, так і з моральної точки зору);
низький рівень ризику, пов'язаний насамперед з екстериторіальність мережі;
поява нових сервісів, які вигідно атакувати.
У результаті за оцінкою Віталія Камлюка 96% шкідливого коду є інструментом кримінального бізнесу, спрямованого на крадіжку інформації, розсилку спаму, шантаж, атаки на ресурси конкурентів.
Ще одна важлива проблема, яку належить вирішити, пов'язана з критеріями, на підставі яких можна оцінювати реальну захищеність банківських автоматизованих систем. Сьогодні діють нормативні документи Гостехкомиссии РФ, які грунтуються на склалися в країні підходах до забезпечення інформаційної безпеки та оцінки її фактичного рівня. У той же час світове фінансове співтовариство, частиною якого є і Банк Росії, рекомендує використовувати міжнародні стандарти. Між цими двома системами існують певні протиріччя, і їх, очевидно, найближчим часом потрібно буде зняти.
Важливе місце в системі безпеки Банку Росії займає створення інженерно-технічних засобів охорони об'єктів та забезпечення збереження матеріальних цінностей. Не секрет, що в Центральному банку є що охороняти. У зв'язку з цим на об'єктах Банку Росії знаходять широке застосування найсучасніша охоронна, пожежна та тривожна сигналізація, телевізійна система охорони та спостереження, променеві системи, системи контролю і управління доступом. Їх застосування забезпечує належний рівень захисту персоналу, збереження коштів і матеріальних цінностей.
Створення рухомої системи управління перевезеннями, у тому числі з використанням супутникового зв'язку, дозволяє забезпечувати контроль за рухом цінностей на будь-яку відстань в будь-якій точці країни. Тому на даний питання безпеки Банк Росії також звертає дуже серйозну увагу.
Однією з методологічних засад удосконалення безпеки банківської системи є планування безперебійної діяльності КБ у разі потенційної загрози, яка трактується як, виявлення та захист критично важливих бізнес-процесів і ресурсів, необхідних для підтримки діяльності організації на потрібному рівні, а також розробка процедур, які забезпечать виживання організації при порушенні її нормальної діяльності.
План забезпечення безперебійної діяльності банку в разі лих (здійснення потенційних та надзвичайних загроз) не є тільки технічним планом - він головним чином передбачає проведення організаційних заходів. Тому в основу плану повинні бути покладені відомості про структуру та функції організації, засобах, необхідних для підтримки її діяльності, величиною збитку від неможливості нормального функціонування, осіб, які візьмуть на себе управління в кризовій ситуації, і процедурах, які вони будуть використовувати. Для структуризації процесу розробки плану необхідно використовувати відповідну методологію, що забезпечить облік всіх факторів безперервності.
Методологія складається з стадій та етапів, в сукупності складових життєвий цикл проекту з розробки плану забезпечення безперервності діяльності банку.
Планування діяльності банку базується на таких основних чинниках:
якості послуг;
ефективності роботи;
можливості розвитку організації.
Багато в чому воно забезпечується технологією, прийнятою в банку. Тому важливо, щоб при виявленні критичних областей діяльності враховувалася їх залежність від технологічних складових.
Раніше плани на випадок непередбачених обставин враховували тільки лиха, пов'язані з комп'ютерною технікою. Це дуже вузький підхід. Для забезпечення безперебійної діяльності необхідно враховувати всі взаємопов'язані зовнішні і внутрішні функції, в тому числі ручні методи обліку та обробки інформації.
Найбільш важливими чинниками, що забезпечують успіх планування, є облік всіх дрібниць і поетапна розробка кожного невеликого елемента плану. Повинно бути визначено, на події якого масштабу розрахований план. Якщо організація розташовується в районі, де можуть виникнути регіональні лиха, план повинен передбачати можливість припинення подачі електроенергії, води та інших комунальних послуг. В іншому випадку досить враховувати можливість лих лише в масштабі будівлі і розраховувати на допомогу влади і міських структур.
Необхідно також встановити "широту охоплення" плану. Вона залежить від багатьох факторів, зокрема, від структури банку, допустимих витрат, кількості наявних будівель і т.п.
В основу методології "Планування безперебійної діяльності" покладено прагматичний підхід, що передбачає підтримку критично важливих процесів. Захист всіх аспектів діяльності організації від згубних наслідків у разі лих або нереальна, або пов'язана з надмірними витратами.
Цілями проекту зі складання плану, що забезпечує безперебійність і відновлення діяльності банку у разі лих, є:
Створення методики оцінки бізнес-процесів, яка забезпечить розробку плану з допомогою добре структурованої та всеохоплюючої методології.
Розробка прагматичного, економічного і працездатного плану, який забезпечить безперебійність критично важливих процесів у разі серйозного порушення діяльності організації.
Мінімізація наслідків будь-якого лиха.
Ефективний план забезпечення безперебійної діяльності є відносно недорогою формою страхування банку від наслідків можливих лих, і витрати на нього повинні розглядатися як складова необхідних витрат на підтримання нормальної діяльності.
Неодмінною умовою швидкого і успішного відновлення діяльності банку після лиха є попередня розробка і регулярне оновлення постійно діючого плану забезпечення безперебійної діяльності.
План включає такі основні розділи:
1. Основні положення плану;
2. Оцінка надзвичайних ситуацій:
виявлення уразливих місць;
класифікація можливих небезпечних подій та оцінка ймовірності їх виникнення;
сценарії надзвичайних ситуацій;
потенційні джерела негативних наслідків кожної надзвичайної ситуації та оцінка величини збитку;
набір критеріїв, на підставі яких оголошується надзвичайна ситуація.
3. Діяльність банку в надзвичайній ситуації:
початкове реагування на надзвичайну ситуацію (оцінка небезпечної події, оголошення надзвичайної ситуації, оповіщення необхідного кола осіб, введення в дію надзвичайного плану);
заходи, що забезпечують безперебійність діяльності банку в надзвичайній ситуації і відновлення її нормального функціонування.
4. Підтримання готовності до виникнення надзвичайної ситуації:
контроль правильності і коректування змісту плану;
складання списку адрес і процедури розсилки плану;
розробка програми підвищення кваліфікації та ознайомлення персоналу з діями, необхідними для відновлення діяльності банку після лиха;
підготовка до небезпечних подій, забезпечення безпеки і запобігання лих;
регулярне проведення часткових і комплексних перевірок (типу пожежних навчань) готовність банку до дій у надзвичайній ситуації і здатності відновити нормальну діяльність;
регулярне створення резервних копій даних, документації, бланків вхідних і вихідних документів і основного програмного забезпечення, їх зберігання в безпечному місці.
5. Інформаційне забезпечення:
пріоритетні функції, що виконуються банком;
списки внутрішніх і зовнішніх ресурсів - технічних засобів, програмного забезпечення, засобів зв'язку, документів, офісного устаткування і персоналу;
облікова інформація про технічний, програмному і другом забезпеченні, необхідному для відновлення діяльності банку у разі надзвичайної ситуації;
список осіб, яких необхідно сповістити про надзвичайну ситуацію із зазначенням адрес і телефонів;
Допоміжна інформація - плани і схеми, маршрути перевезень, адреси і т.п.;
опис детальних покрокових процедур, які забезпечують чітке виконання всіх передбачених заходів;
функції та обов'язки працівників у разі виникнення непередбачених обставин;
терміни відновлення діяльності в залежності від типу виникла надзвичайної ситуації;
кошторис витрат, джерела фінансування.
6. Технічне забезпечення:
створення та обслуговування бази технічних засобів, що забезпечує безперебійну діяльність банку в надзвичайній ситуації;
створення і підтримка в належному стані резервних приміщень.
7. Організаційне забезпечення, складу та функцій наступних груп, які забезпечують безперебійну діяльність у разі лиха:
групи оцінки надзвичайної ситуації;
групи управління в кризовій ситуації;
групи для робіт у надзвичайній ситуації;
Групи з відбудови;
групи забезпечення роботи в резервному виробничому приміщенні;
групи адміністративної підтримки.
Удосконалення інформаційної безпеки організації банківських систем слід проводити з урахуванням рекомендацій у галузі стандартизації процедур безпеки, встановлених Банком Росії. У цьому випадку повинні бути сформовані такі вимоги:
призначення та розподілу ролей та забезпечення довіри до персоналу;
забезпечення інформаційної безпеки на стадіях життєвого циклу автоматизованої банківської системи;
захисту від несанкціонованого доступу та нерегламентованих дій в рамках наданих повноважень, управління доступом і реєстрацією всіх дій в автоматизованій банківській системі, в телекомунікаційному обладнанні, автоматичних телефонних станціях і т.д.;
антивірусного захисту;
використання ресурсів Інтернету;
використання засобів криптографічного захисту інформації;
захисту банківських платіжних та інформаційних технологічних процесів.
Для забезпечення інформаційної безпеки та контролю за якістю її забезпечення в КБ повинні бути визначені ролі, пов'язані з діяльністю щодо її забезпечення. Керівництво банку має здійснювати координацію своєчасності та якості виконання ролей, пов'язаних із забезпеченням інформаційної безпеки.
При прийнятті керівництвом банку рішень про використання мережі Інтернет, при формуванні документів, що регламентують порядок використання мережі Інтернет, а також інших документів, пов'язаних із забезпеченням інформаційної безпеки при використанні мережі Інтернет, необхідно враховувати наступні положення:
мережа Інтернет не має єдиного органу управління (за винятком служби управління простором імен і адрес) і не є юридичною особою, з якою можна було б укласти договір (угода). Провайдери (посередники) мережі Інтернет можуть забезпечити тільки ті послуги, які реалізуються безпосередньо ними;
існує ймовірність несанкціонованого доступу, втрати і спотворення інформації, переданої за допомогою мережі Інтернет;
існує ймовірність атаки зловмисників на обладнання, програмне забезпечення та інформаційні ресурси, підключені / доступні з мережі Інтернет;
гарантії щодо забезпечення безпеки при використанні мережі Інтернет жодним органом / установою / організацією не надаються.
У рамках банківських платіжних технологічних процесів в якості активів, що захищаються в першу чергу, слід розглядати:
банківський платіжний технологічний процес;
платіжну інформацію.
В організації системи безпеки повинні бути виділені і документально визначені ролі її працівників. Ролі слід персоніфікувати з встановленням відповідальності за їх виконання. Відповідальність повинна бути документально зафіксована в посадових інструкціях.
З метою зниження ризиків порушення інформаційної безпеки не рекомендується, щоб у рамках однієї ролі поєднувалися такі функції: розробки та супроводу системи / ПЗ, їх розробки та експлуатації, супроводу та експлуатації, адміністратора системи та адміністратора інформаційної безпеки, виконання операцій в системі і контролю їх виконання .
Також, повинні бути документально визначено та виконуватися процедури контролю діяльності працівників, що володіють сукупністю повноважень (ролями), що дозволяють отримати контроль над захищається інформаційним активом організації.
Процедури прийняття на роботу, яка впливає на забезпечення інформаційної безпеки, включають:
перевірку справжності наданих документів, що заявляється кваліфікації, точності і повноти біографічних фактів;
перевірку в частині професійних навичок і оцінку професійної придатності.
Зазначені процедури повинні передбачати документальну фіксацію результатів проведених перевірок.
Рекомендується документально визначити процедури регулярної перевірки (з документальною фіксацією результатів) в частині професійних навичок та оцінки професійної придатності працівників, а також позапланової перевірки (з документальною фіксацією результатів) - при виявленні фактів їх нештатного поведінки, участі в інцидентах або підозри в такій поведінці або участь .
Усі працівники організації повинні давати письмове зобов'язання про дотримання конфіденційності, прихильності правилам корпоративної етики, включаючи вимоги щодо недопущення конфлікту інтересів.
При взаємодії із зовнішніми організаціями та клієнтами вимоги щодо забезпечення інформаційної безпеки мають регламентуватися положеннями, включеними в договори (угоди) з ними.
Обов'язки персоналу по виконанню вимог щодо забезпечення інформаційної безпеки повинні включатися в трудові контракти (угоди, договори) і (або) посадові інструкції.
Невиконання працівниками організації вимог щодо забезпечення інформаційної безпеки має прирівнюватися до невиконання посадових обов'язків і призводити як мінімум до дисциплінарної відповідальності.
При формуванні вимог щодо забезпечення інформаційної безпеки рекомендується розглядати наступні загальні стадії моделі життєвого циклу автоматизованих банківських систем:
розробка технічних завдань;
проектування;
створення і тестування;
приймання і введення в дію;
експлуатація;
супровід та модернізація;
зняття з експлуатації.
У разі розробки власної автоматизованої банківської системи слід розглядати всі стадії, а в разі придбання готових систем рекомендується розглядати стадії 4-7.
Розробка технічних завдань та приймання таких систем, а також, введення в дію, експлуатація та супровід (модернізація), зняття з експлуатації, повинні здійснюватися за погодженням і за участю підрозділу (осіб), відповідальних за забезпечення інформаційної безпеки.
Залучені для розробки і (або) виробництва засобів і систем захисту автоматизованої банківської системи на договірній основі спеціалізовані організації повинні мати ліцензії на даний вид діяльності відповідно до законодавства РФ. Подібні системи та їх компоненти повинні бути забезпечені документацією, що містить опис реалізованих захисних заходів, в тому числі щодо загроз безпеки (джерел загроз), а також опис реалізованих захисних заходів, вжитих розробником щодо безпеки розробки та безпеки постачання.
При розробці технічних завдань на системи дистанційного банківського обслуговування має бути враховано, що захист даних повинна забезпечуватися в умовах:
спроб доступу до банківської інформації анонімних, неавторизованих зловмисників при використанні мереж загального користування;
можливості помилок авторизованих користувачів систем;
можливості ненавмисного або неадекватного використання конфіденційних даних авторизованими користувачами.
Слід мати на увазі, що на стадії тестування повинні забезпечуватися анонімність даних і перевірка адекватності розмежування доступу, а на стадії експлуатації повинні бути документально визначено та виконуватися процедури контролю працездатності (функціонування, ефективності) реалізованих захисних заходів. Результати виконання контролю повинні документуватися.
У складі автоматизованої банківської системи повинні застосовуватися вбудовані захисні заходи, а також рекомендуються до використання сертифіковані або дозволені керівництвом організації до застосування засоби захисту інформації від несанкціонованого доступу та засоби криптографічного захисту інформації.
Необхідною вимога є документально визначені і затверджені керівництвом, виконувані і контрольовані процедури ідентифікації, аутентифікації, авторизації; управління доступом; контролю цілісності; реєстрації подій і дій.
Необхідно документально визначити процедури моніторингу та аналізу даних реєстрації, дій та операцій, що дозволяють виявляти неправомірні чи підозрілі операції і транзакції. Для проведення процедур моніторингу та аналізу даних реєстрації, дій та операцій рекомендується використовувати спеціалізовані програмні і (або) технічні засоби.
Процедури моніторингу та аналізу повинні використовувати документально певні критерії виявлення неправомірних або підозрілих дій та операцій. Зазначені процедури моніторингу та аналізу повинні застосовуватися на регулярній основі, наприклад, щодня, до всіх виконані операції і транзакціями.
Порядок доступу працівників до приміщень, в яких розміщуються об'єкти середовища інформаційних активів, повинен бути регламентований у внутрішніх документах організації, а його виконання має контролюватися.
Використовувані в організації автоматизовані банківські системи, в тому числі системи дистанційного банківського обслуговування, повинні забезпечувати серед іншого можливість реєстрації:
операцій з даними про клієнтських рахунках, включаючи операції відкриття, модифікації і закриття клієнтських рахунків;
проведених транзакцій, що мають фінансові наслідки;
операцій, пов'язаних з призначенням і розподілом прав користувачів.
Системи дистанційного банківського обслуговування повинні реалізовувати захисні заходи, щоб забезпечити неможливість відмови від авторства проводяться клієнтами операцій і транзакцій, наприклад, електронний цифровий підпис.
Протоколів операцій, виконуваних за допомогою систем дистанційного банківського обслуговування, рекомендується надати властивість юридичної значимості, наприклад, шляхом внесення відповідних положень до договорів на дистанційне банківське обслуговування.
При укладанні договорів зі сторонніми організаціями рекомендується юридичне оформлення домовленостей, які передбачають необхідний рівень взаємодії у разі виходу інциденту за рамки окремої організації банківської системи. Прикладом такої взаємодії може служити призупинення виконання розподіленої між кількома організаціями транзакції у випадку, якщо наявні дані моніторингу та аналізу протоколів операцій дозволяють припустити, що виконання даної транзакції є частиною задуму зловмисників.
Перевірка і оцінка інформаційної безпеки проводиться шляхом виконання наступних процесів:
моніторингу та контролю захисних заходів;
самооцінки інформаційної безпеки.
аудиту інформаційної безпеки;
аналізу функціонування системи забезпечення інформаційної безпеки (в тому числі з боку керівництва).
Основними цілями моніторингу та контролю захисних заходів є оперативне і постійне спостереження, збір, аналіз і обробка даних під задані цілі. Такими цілями аналізу можуть бути:
контроль за реалізацією положень внутрішніх документів щодо забезпечення інформаційної безпеки;
виявлення автоматизованої банківської системи;
виявлення інцидентів інформаційної безпеки.
Моніторинг та контроль захисних заходів проводяться уповноваженим персоналом.
Аудит проводиться зовнішніми, незалежними перевіряючими організаціями як для власних цілей самої організації банківської системи, так і з метою підвищення довіри до неї з боку інших організацій. При підготовці до аудиту рекомендується проведення самооцінки інформаційної безпеки. Вона проводиться власними силами і за ініціативою керівництва організації.
Аналіз функціонування система забезпечення інформаційної безпеки проводиться персоналом організації, відповідальним за її забезпечення, а також керівництвом, в тому числі на підставі підготовлених для керівництва документів (даних).
Основними цілями проведення аналізу функціонування системи забезпечення інформаційної безпеки є:
оцінка її ефективності;
оцінка її відповідності вимогам законодавства Російської Федерації і стандартів Банку Росії;
оцінка її відповідності існуючим і можливим загрозам;
оцінка проходження принципам і виконання вимог щодо забезпечення інформаційної безпеки, закріпленим в політиці безпеки організації, а також в інших внутрішніх документах.
1.2. Апробація методичних положень
В останні п'ятнадцять років у Російській Федерації реалізовано низку практичних заходів з підвищення рівня банківської безпеки. Завдяки скоординованим зусиллям законодавців, Уряду РФ і Банку Росії сформована в цілому система нормативного правового та організаційного забезпечення банківської безпеки, здійснено практичні заходи з удосконалення заходів безпеки в самих банках. Разом з тим рівень банківської безпеки в сучасній Росії не відповідає об'єктивним потребам, і стан захисту банків від злочинних посягань залишає бажати кращого.
Представляється, що підвищення рівня захищеності банків від кримінальних посягань на нинішньому етапі безпосередньо пов'язане з необхідністю наукового опрацювання проблеми та отримання більш повних уявлень про механізми забезпечення безпеки банку, у тому числі про особливості організації та функціонування системи захисту банку, забезпечення безпеки нових напрямків банківської діяльності та нових банківських технологій.
Провідним суб'єктом забезпечення захисту російських банків від протиправних посягань є держава. Це обумовлено його конституційними зобов'язаннями, що гарантують захист всіх форм власності (див. ст. 8, 35 і 114 Конституції РФ), тому саме держава має виступати головним замовником досліджень у галузі безпеки банківської діяльності. Насправді це не так. Своєрідність ситуації полягає в тому, що держава взяла на себе в основному функції кримінально-правового та адміністративного припинення протиправних посягань в банківській сфері. Основну ж роботу з організації системи виявлення та попередження кримінальних посягань такого роду законодавець поклав переважно на самі банки.
Вимоги про прийняття банками заходів захисту свого майна та інфраструктури містяться у ряді федеральних законів і нормативних актів Банку Росії. Саме банк повинен забезпечувати своїми силами і засобами безпеку банківських операцій, охорону майна, захист інформації (банківської таємниці, інших відомостей конфіденційного характеру, комп'ютерної інформації) та інформаційної інфраструктури, захист системи кадрового забезпечення, особисту безпеку керівництва і персоналу банку. Зрозуміло, що організація такої обширної і різнопланової роботи вимагає відповідного наукового і методичного забезпечення. З цієї причини банківське співтовариство Росії дуже зацікавлена в теоретичних розробках та практичних рекомендаціях у сфері банківської безпеки.
В останні роки вітчизняні вчені провели ряд досліджень, що стосуються злочинів у сфері банківської діяльності. Однак більшість цих досліджень, як і раніше адресовано правоохоронним органам і не зачіпає питань участі самих банків у боротьбі зі злочинами і створення ними систем безпеки.
Структурування поняття безпеки банку дозволяє представити в загальному вигляді складність завдань побудови системи банківського захисту. Функціонування багаторівневої системи захисту забезпечується застосуванням заходів правового, організаційного, розшукового, криміналістичного характеру.
Створення такої системи захисту на практиці пов'язане з рішенням широкого та різнопланового набору проблем. У їх числі завдання розробки стратегії і тактики забезпечення безпеки банку; структурування і уточнення цілей і завдань забезпечення безпеки; розробка комплексу основних заходів, спрямованих на досягнення зазначених цілей; підготовка пропозицій щодо вдосконалення правового, нормативно-методичного, науково-технічного та організаційного забезпечення безпеки; розробка цільових криміналістичних програм захисту майна та інфраструктури банку.
Щоб "не втратити" жодного з названих напрямів діяльності, чітко сформулювати їх кінцеві цілі, забезпечити необхідну послідовність дій, виявити всі наслідки і взаємозв'язки кожного приватного рішення, необхідний спосіб формалізації відомостей, що відповідає рівню виникаючих задач. Формалізований опис проблем захисту дозволяє, крім того, виявити приховані від поверхового погляду нові зв'язки між факторами загроз і діяльністю щодо забезпечення безпеки банку.
Найбільш вдалим способом системного викладу відомостей про проблеми забезпечення безпеки банку та способи їх вирішення є застосування такої широко розповсюдженої в цей час форми, як концепція. Саме концепція безпеки банку повинна слугувати методологічною основою для забезпечення безпеки банку, вирішення тактичних і методичних завдань її практичної реалізації.
В даний час, мабуть, не знайдеться банку, який не володів би власною концепцією безпеки, викладеної в тій чи іншій формі. Проте вивчення зазначених документів свідчить про різний якості їх опрацювання. Деякі з них містять суттєві похибки методологічного плану.
Найбільш "вагомим" з названої категорії документів, безсумнівно, є "Концепція безпеки комерційного банку", розроблена в 1995 р. групою вчених і фахівців на замовлення Асоціації російських банків. Названа концепція являє собою науково обгрунтовану систему поглядів на основні напрями, умови та порядок практичного вирішення завдань захисту банківської справи від протиправних дій та недобросовісної конкуренції. У цілому концепція стала кроком вперед у справі системного осмислення проблем безпеки банку, проте час зажадав оновлення даної концепції та доповнення ряду її положень. Зусилля в цьому напрямку здійснені у виданій в 2003 р. роботі "Концепція та система безпеки банку" (Гамза В.А., Ткачук І. Б. Концепція і система безпеки банку. - М.: Видавець Шумилова І.І., 2003) . Необхідно відзначити, що будь-яка типова концепція безпеки є свого роду моделлю з певним ступенем узагальнення. З цього випливає, що практичне застосування такої моделі припускає її попередню "підгонку" до специфіки діяльності конкретного банку. Разом з тим існує обов'язковий набір елементів системи забезпечення безпеки, які повинні бути відображені саме в концепції безпеки будь-якого банку.
Вивчення завдань, що випливають з чинного законодавства та інших нормативних правових актів, розробок в галузі криміналістики і результатів практичної діяльності щодо забезпечення безпеки банків призводить до висновку про те, що творці концепції повинні включити в неї, як мінімум, п'ять основних розділів. У їх числі:
основи формування і функціонування системи безпеки банку (поняття та визначення в системі банківської безпеки, принципи забезпечення, сили і засоби, основи організації системи безпеки);
система правового забезпечення банківської безпеки;
концептуальне проектування системи безпеки банку (об'єкти захисту, основні види посягань, суб'єкти правовідносин у галузі забезпечення банківської безпеки);
робоче проектування системи безпеки банку (організаційно-правові питання створення системи безпеки, організація служби безпеки);
управління діяльністю служби безпеки банку.
Застосування при розробці концепції системного підходу дозволяє уникнути типових помилок (перекосів і пробілів) в організації захисту конкретних напрямків та елементів безпеки банку. До числа таких помилок слід віднести, зокрема непропорційні витрати сил і коштів на захист банків від насильницьких посягань на майно при недооцінки небезпеки злочинів ненасильницького характеру, насамперед таких, як шахрайство (у тому числі з використанням інформаційних технологій), зловживання повноваженнями, незаконне отримання кредиту.
Інший різновид аналогічної диспропорції має місце у більш вузькій сфері, а саме - в галузі організації захисту охоронюваної інформації банку. Тут вельми поширене надмірне захоплення програмно-технічними засобами захисту при недооцінки механізмів правового забезпечення інформаційної безпеки.
Названі диспропорції знаходять своє відображення в тематиці наукових праць і методичних рекомендацій по темі банківської безпеки. Незважаючи на дані зарубіжної та вітчизняної статистики про те, що майновий збиток від дій "білокомірцеві" злочинності набагато значніше шкоди, завданої відкритими нападами на банки і зломами їх сховищ, в пресі все одно переважають публікації, присвячені фізичної та технічної захист банків.
Правильна побудова концепції та системи безпеки банку дозволяє істотно підвищити ефективність діяльності служби безпеки, організувати її активне і всебічне участь по всьому спектру захисту інтересів банку. Крім того, використання системних принципів дає можливість передбачити з необхідним ступенем деталізації дії служби безпеки з метою:
забезпечення безпеки банківських операцій;
управління банківською діяльністю;
захисту охороняється інформації, нематеріальних активів, системи кадрового забезпечення;
забезпечення особистої охорони керівництва і персоналу банку.
Особливості банківської системи такі, що негативні наслідки збоїв у роботі окремих організацій можуть привести до швидкого розвитку системної кризи платіжної системи РФ, завдати шкоди інтересам власників та клієнтів. У випадках настання інцидентів інформаційної безпеки значно зростають результуючий ризик і можливість нанесення шкоди організаціям банківської системи. Тому загрози інформаційної безпеки представляють істотну небезпеку.
Для протистояння таким загрозам та забезпечення ефективності заходів з ліквідації несприятливих наслідків інцидентів (їх впливу на операційний, репутаційний, стратегічний та інші ризики) слід забезпечити достатній рівень безпеки. Необхідно також зберегти цей рівень протягом тривалого часу. З цих причин забезпечення інформаційної безпеки є одним з основоположних аспектів діяльності банків.
Апробація методологічних положень можлива практичним і теоретичним способами. Теоретичний спосіб апробації може бути представлений, як синтез системного, структурного та функціонального підходів, а також, методу наукового моделювання.
Практичний спосіб може бути реалізований за допомогою розгляду і оцінки комплексних систем інформаційної безпеки існуючих фінансових організацій.
Розглянемо інтегровану систему безпеки банку, на прикладі відділень банку Raiffeisen.
Постановка завдання: Проектування, поставка обладнання, установка та пуско-налагодження інтегрованої системи безпеки у відділеннях банку, що знаходяться в різних районах м. Москви. Об'єднання в єдину систему безпеки цифрової системи відеоспостереження, системи контролю доступу в службові приміщення, системи доступу в за картками VISA в кімнати з банкоматами, системи охоронно-пожежної сигналізації та системи сповіщення про пожежу та евакуації людей у кожному відділенні банку.
Історія проекту: Перший контракт на створення інтегрованої системи безпеки відділення банку «RaiffeisenBank» в бізнес-центрі «Царьов Сад» (Софійська набережна) був підписаний на початку 2002 р. і виконаний протягом одного місяця. Другий контракт на створення системи безпеки банку у відділенні на вул. Другий Ямська був виконаний за 25 днів.
Виконані роботи щодо створення інтегрованої системи безпеки відділення банку:
Обстежені приміщення відділень банку, розроблений і затверджений проект інтегрованої системи безпеки кожного відділення банку.
Виконано постачання компонентів і пристроїв системи безпеки, а також програмного забезпечення для управління системою безпеки та обліку робочого часу персоналу.
Здійснено установка обладнання системи безпеки: цифрової системи відеоспостереження, системи контролю доступу та охоронно-пожежної сигналізації.
Проведена інтеграція, інсталяція, налагодження і тестування працездатності всієї інтегрованої системи безпеки та її здача в експлуатацію.
Здійснено сертифікація системи безпеки банку в уповноваженому підрозділі Центрального Банку РФ.
Організовано та проведено навчання співробітників служби безпеки банку.
Виконуються регламентні роботи з гарантійного технічного обслуговування систем безпеки кожного відділення банку.
Короткий опис компонентів інтегрованої системи безпеки банку: Цифрова система відеоспостереження відділень банку побудована на обладнанні провідних світових виробників. Зокрема, застосовані цифрові відеореєстратори-мультиплексори, що дозволяють службі безпеки банку керувати роботою телекамер у приміщеннях банку і вуличними камерами, а також записувати всю інформацію з телекамер у цифровому форматі.
Програмне середовище сформована на автоматичній системі безпеки, яка заснована на базі програмно-апаратних платформ світових лідерів індустрії - компаній Lenel Systems International, SimplexGrinnell і Hirsch Electronics.
При побудові системи пожежної безпеки банку застосований апаратно-програмний комплекс Simplex відомої американської компанії SimplexGrinnell у складі адресної системи автоматичної пожежної сигналізації, голосової системи оповіщення про пожежу та евакуації людей і системи спринклерного пожежогасіння. Інтеграція пожежної сигналізації та системи оповіщення в єдину систему безпеки здійснена на апаратно-програмному рівні.
Для обмеження доступу в службові приміщення відділень банку застосовані традиційні для банку системи контролю доступу і охоронної сигналізації. Цілодобовий доступ клієнтів в приміщення з банкоматами забезпечується системою, що дозволяє використовувати для входу банківські карти VISA. Для обліку робочого часу персоналу використаний спеціальний модуль системи Simplex.
Функціональні можливості інтегрованої системи безпеки банку:
Цілодобове відеоспостереження в службових приміщеннях банку, відеоконтроль за офіційними установами місцями банку і за прилеглими територіями, із записом відео на пристрої системи безпеки.
Архівування відеозаписів по приміщеннях банку з можливістю покадрового відтворення записів тривог, в тому числі по даті, часу доби, по камері і т.п.
Відображення відеоінформації з камер на моніторах системи безпеки в реальному часі.
Архівація відеоінформації по тривожних подій.
Авторизація співробітників банку в системі контролю доступу при їх переміщеннях у службових приміщеннях.
Облік робочого часу співробітників відділень банку.
Надання цілодобового доступу власників карток VISA в приміщення банку з банкоматами та забезпечення їх безпеки.
Фіксація і оповіщення служби безпеки банку про виникнення задимлення або пожежі на території банку із зазначенням адреси тривожного приміщення.
Автоматичне включення системи оповіщення персоналу про пожежу та системи пожежогасіння в приміщеннях виникнення пожежі.
Голосове оповіщення персоналу банку про пожежу та вказівку безпечних шляхів їх евакуації.
Протоколювання і автоматична запис на пристрої системи безпеки всіх тривожних подій, які сталися на території відділення банку.
Для забезпечення інформаційної безпеки дуже часто застосовуються лише програмно-апаратні засоби, що дозволяють виконувати такі завдання, як аутентифікація й ідентифікація користувачів, розмежування прав доступу, аналіз трафіків Інтернет, локальної мережі тощо. Однак практика показує, що навіть найскладніша захист з часом може бути зламана, або ключ до неї буде вкрадений або перекуплений. Адже самим слабким і ненадійним ланкою будь-якої системи безпеки залишається персонал. Тому, крім технічних, необхідно враховувати і приймати організаційні заходи, які передбачають детальне опрацювання бізнес-процесів, прописування зон відповідальності і розробку політики інформаційної безпеки.
Іншим прикладом ефективного застосування систем інформаційної безпеки в банківській сфері є - Метробанк. Система побудована відповідно до вимог міжнародних стандартів ISO 17799/BS7799. Необхідно відзначити, що весь комплекс робіт з побудови системи управління інформаційною безпекою банку проходив за підтримки вищого керівництва, яке безпосередньо брало участь і бере участь на таких важливих стадіях, як, наприклад, оцінка інформаційних ризиків або класифікація активів.
Банк став полігоном, де пройшло апробування аналогічних методик, що розглядаються в дисертаційному дослідженні.
Важливу роль у дотриманні всіма співробітниками положень політики інформаційної безпеки, прийнятої в банку, грає технічне забезпечення.
Одним з етапів впровадження системи інформаційної безпеки було забезпечення виконання вимоги політики інформаційної безпеки щодо зміни паролів. Наприклад, система була запрограмована таким чином, щоб виключити саму можливість працювати неправильно. Коли не потрібно нагадувати, що пора змінити пароль - просто в певний момент система не пустить користувача за старим паролем, змусить створити новий і відстежить, щоб він містив певну кількість символів, причому частина з них була цифрами.
Аналогічна ситуація з витоком інформації. Можна перевіряти у співробітників на вході і виході все знімні носії інформації (дискети, USB-пристрої і т.д.), але надійніше дозволити використання знімних носіїв тільки для читання і тільки тим співробітникам, яким це необхідно для виконання службових обов'язків. Причому використання USB-порту можна налаштувати так, щоб до нього можна було підключити тільки конкретний принтер або сканер. При цьому адміністрування знімних носіїв проводиться централізовано системним адміністратором, а всі дії користувачів (включаючи дії системного адміністратора) протоколюються в електронні журнали подій, які згодом аналізуються співробітниками департаменту інформаційної безпеки.
Часом департамент інформаційної безпеки дорікають, що він заважає працювати - пише інструкції, змушує дотримуватися суворих правил. Впровадження стандарту з інформаційної безпеки дозволило, перш за все, краще розібратися в роботі банку. Були чітко прописані всі бізнес-процеси, розроблена політика розподілу ролей, яка дозволила виключити дублювання обов'язків та повноважень і зробити так, щоб за кожен процес відповідав конкретний виконавець, а не група. Все це позитивно позначилося не тільки на рівні інформаційної безпеки, але і на ефективності основного бізнесу.
Відмінною рисою багатьох продуктів Метробанк є активне використання інтернет-технологій. У той же час питання безпеки в глобальній мережі до цих пір залишається стримуючим чинником - як для мережевої торгівлі, так і для грошового обігу в ній.
Щоб забезпечити необхідний рівень інформаційної безпеки для клієнтів, банк вперше в СНД використовував у системі «Інтернет-офіс» та споживчого кредитування нову модель USB-ключа з вбудованим генератором одноразових паролів, для двофакторної аутентифікації, і PKI-сховищем для зберігання особистих секретних сертифікатів і ключів користувача - eToken NG-OTP. Кожен клієнт банку тепер отримує спеціальний USB-брелок з дисплеєм, де відображається одноразовий пароль. Щоб увійти в систему «Інтернет-офіс», клієнт натискає клавішу на брелоку і отримує пароль.
Система його аутентифікує і надає доступ до ресурсів банку. Цей пароль більше ніде не буде використовуватись - він потрібен лише для одноразового користування системою. Природно, передача всіх даних захищена протоколом SSL. Це перший щабель.
Подальші дії по відправці документів усередині системи «Інтернет-офіс» підписуються особистої електронно-цифровим підписом клієнта. Сертифікат ЕЦП зберігається у самому брелоку, в спеціальному PKI-сховище, захищеному паролем як мінімум з восьми символів.
Якщо будь-яке критичне дію клієнта не буде коректно підписано, ми його не зможемо прийняти до виконання. На сьогоднішній день - це сама передова технологія.
Крім того, впроваджуються засоби біометричної ідентифікації для клієнтів та співробітників банку. Наприклад, доступ в серверні кімнати, переходи співробітників усередині банку і доступ клієнтів в депозитарій будуть здійснюватися за відбитком пальця. У майбутньому році USB-брелоки або смарт-карти з сенсором відбитка пальця будуть використовуватися і для аутентифікації клієнтів «Інтернет-офіс» та співробітників при вході в персональний комп'ютер.
Для менш критичних приміщень буде використаний електронний «фейс-контроль». При вході в приміщення, що банку встановлюється відеокамера. Коли до дверей підходить відвідувач, зображення його обличчя, отримане з камери, порівнюється з базою даних, що зберігається на сервері: якщо відвідувачеві дозволений доступ у це приміщення, його пропускають. C одного боку, ця технологія дозволить ще «на вході» обчислювати шахраїв і «поганих» клієнтів. З іншого - дасть можливість практично моментально ідентифікувати клієнта і видати на екран оператору всю необхідну інформацію: від імені, по батькові і дня народження до відомостей про використовувані послуги.
Сучасні технології дозволяють зберігати практично необмежені обсяги даних, у тому числі зображення. Тому нічого складного в їх реалізації немає.
Передбачено паралельне використання засобів ідентифікації попереднього покоління. Тут багато що залежить від менталітету, хоча і він з часом змінюється, так само як і російська економіка швидко рухається до відкритості.
Непоганим прикладом для наслідування є система в США - там для оцінки позичальника використовується FICO (назва походить від компанії Fair, Isaac & Company) - сумарна оцінка, що складається з п'яти основних параметрів: як виплачувалися попередні кредити (платіжна історія), загальна сума боргу по всіх рахунками, тривалість кредитної історії та інформація про рахунки і кредити (кількість нових рахунків, види кредитів та кількість рахунків по кожному виду кредиту). Чим бали вище - тим більш охоче з вами будуть спілкуватися кредитні організації.
Список літератури
Конституція РФ. Прийнята на всенародному голосуванні 12 грудня 1993 року / / Російська газета. 1993. № 237.
Цивільний процесуальний кодекс РФ від 14 листопада 2002 р. № 138-ФЗ / / СЗ РФ. 2002. № 46. Ст. 4532.
Цивільний кодекс Російської Федерації (частини перша, друга і третя) (з ізм. І доп. Від 2 лютого 2006 р.) / / СЗ РФ. 2001. № 49. Ст. 4552.
Федеральний закон від 27 грудня 2002 р. № 184-ФЗ "Про технічне регулювання" / / Відомості Верховної. 2002. № 52 (частина I). Ст. 5140.
Федеральний закон від 10 липня 2002 р. № 86-ФЗ "Про Центральний банк Російської Федерації (Банку Росії)" / / Відомості Верховної. 2002. № 28. Ст. 2790.
Закон РФ від 5 березня 1992 р. № 2446-I "Про безпеку" / / Російська газета. 1992. № 103.
Федеральний закон від 2 грудня 1990 р. № 395-I "Про банки і банківську діяльність" / / Відомості з'їзду народних депутатів РРФСР. 1990. № 27. Ст. 357.
Закон РФ від 21 липня 1993 р. № 5485-1 "Про Державну таємницю" / / Відомості Верховної. 1997. № 41. Ст. 4673.
Указ Президента РФ від 3 квітня 1995 р. № 334 "Про заходи щодо дотримання законності в області розробки виробництва, реалізації та експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації" / / Відомості Верховної. 1995. № 15. Ст. 1285.
Постанова Уряду РФ від 26 червня 1995 р. № 608 "Про сертифікації засобів захисту інформації" / / Відомості Верховної. 1995. № 27. Ст. 2579.
Стандарт ЦБР СТО БР Іббс-1.0-2006 "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення" (прийнятий і введений в дію розпорядженням ЦБР від 26 січня 2006 р. № Р-27) / / Вісник Банку Росії від 3 лютого 2006 . № 6.
Аванесян К. А. Депозитарна діяльність комерційних банків на російському ринку цінних паперів. - М., 2000. - 123 с.
Акімов Я.С. Проектне фінансування в російських банках / / Юридична робота в кредитній організації. - 2006. - № 2. - С.11-15.
Анненська Н.Є. Проблеми структурування бізнес-процесів в російських інвестиційних банках / / Інвестиційний банкінг. - № 2. - С. 32-36.
Бабкін В.В. Корпоративний конфлікт в банку як реальна загроза для його клієнтів / / Управління в кредитній організації. - 2006. - № 1. - С.24-29.
Бабкін В.В. Модель порушника інформаційної безпеки - превенція появи самого порушника / / Управління в кредитній організації. - 2006. - № 5. - С. 18-23.
Башликов М. Актуальні питання інформаційної безпеки / / Фінансова газета. Регіональний випуск. - 2006. - № 4. - С. 9-15.
Бедрань А. Узгоджена методика проведення аудиту інформаційної безпеки / / Фінансова газета. - 2007. - № 6. - С. 33-36.
Бєлікова А.В. Проблеми участі банків в інвестиційному процесі / / Інвестиційний банкінг. - 2006. - № 3. - С. 16-22.
Бєлоглазова Г.М. Регулювання ринкових ризиків як елемент ефективності банківського нагляду. - Актуальні проблеми фінансів і банківської справи: Збірник наукових праць / За ред. А. І. Міхайлушкіна, Н. А. Савінський. - СПб.: СПбГІЕА, 2000. - 178 с.
Блінова С., Копилов Д. "Клієнт-Банк": правила безпеки / / Розрахунок. - 2005. - № 8. - С. 28-32.
Братко А.Г. Центральний банк у банківській системі Росії. - М.: Спарк, 2001. - 172 с.
Бугров А. Міжнародні стандарти для побудови системи інформаційної безпеки / / Фінансова газета. - 2007. - № 10. - С.5-9.
Бурмістрова Л. А., Тілов А. А. Банківська система Російської Федерації: Учеб. посібник Щоб студентів усіх спец. - М.: ГУУ, 2000. - 258 с.
Васильєв Г. Російський ринок інформаційної безпеки: нові тенденції / / Фінансова газета. - 2007. - № 1. - С. 16-20.
Велігура О. Забезпечення інформаційної безпеки кредитних організацій на основі використання стандартів ЦБ РФ / / Бухгалтерія і банки. - 2006. - № 7. - С.3-6.
Власенко І.Б., Комов С.Ф., Красикова Ю.В. Центральний банк Російської Федерації і фінансова політика держави - М: Б.в., 2000. - 144 с.
Волков П. Системи забезпечення інформаційної безпеки як частина корпоративної культури сучасної організації / / Фінансова газета. - 2006. - № 34. - С.77-80.
Високовський Д.В. Управління ризиками в комерційному банку / / Розрахунки і операційна робота в комерційному банку. - 2006. - № 5. - С. 20-24.
Глущенко В.В. Право як інструмент зниження інвестиційних ризиків національної економіки в умовах глобалізації / / Законодавство і економіка. - 2006. - № 9. - С.31-35.
Голікова Ю.С., Хохленкова М.А. Банк Росії: організація діяльності. М.: декан, 2000. - 138 с.
Голубєв С.А. Роль Центрального банку Російської Федерації в регулюванні банківської системи країни. - М.: Юстіцінформ, 2000. - 177 с.
Гончарук О.В. Про теоретичних проблемах управління готівковим грошовим обігом в Росії. - Актуальні проблеми фінансів і банківської справи: Збірник наукових праць / За ред. А. І. Міхайлушкіна, Н. А. Савінський. - СПб.: СПбГІЕА, 2000. - 162 с.
Гроші, кредит, банки: Підручник / За ред. О. І. Лаврушина. - М: Фінанси і статистика, 2001. - 214 с.
Журавель Ю.Ю. Що може і чого не може скоринг в споживчому кредитуванні / / Банківський рітейл. - 2006. - № 4. - С. 34-38.
Заріпов І.А., Петров А.В. Електронні фінанси, інтернет-банкінг: світові тенденції і російська специфіка / / Міжнародні банківські операції. - 2006. - № 1. - С. 39-42.
Зимін А.І. Інвестиції. - М.: Юриспруденція, 2006. - 241 с.
Зінов'єва М.Ю. Холдинги, фінансово-промислові та банківські групи / / Право і економіка. - 2003. - № 4. - С.35-39.
Ігоніна Л.Л. Інвестиції. - М.: МАУП, 2002. - 182 с.
Каленбет Д. Управління ризиками та захист інформації в системах інтернет-банкінгу / / Розрахунки і операційна робота в комерційному банку. - 2006. - № 6. - С. 2-6.
Каурова М.М. Тенденції та перспективи розвитку роздрібного бізнесу комерційних банків у Росії / / Банківський рітейл. - 2006. - № 2. - С.28-31.
Київський В. Вектори розвитку / / Банківська справа в Москві. - 2006. - № 10. - С. 23-29.
Ковальов П. Методи банківського ризик-менеджменту на етапі ідентифікації та оцінки наслідків від настання ризиків / / Управління в кредитній організації. - 2006. - № 3. - С.14-17.
Комісарів Г.П., Господарчук Г.Г. Методологічні підходи до розробки стратегії розвитку банківського сектору регіону / / Управління в кредитній організації. - 2006. - № 2. - С.43-48.
Коптелов А., Беркович В. Впровадження інформаційних технологій з метою підвищення ефективності бізнесу / / Фінансова газета. - № 25, 26. - С.15-20 ..
Курило О., Зефиров С. Безпека інформації - надійність банку / / Банківська справа в Москві. - 2006. - № 3. - С. 30-35.
Ларіонов Р. Система Гарант в допомогу кредитним організаціям / / Фінансова газета. Регіональний випуск. - 2006. - № 25. - С.7-13.
Лямін Л.В. Три складові частини і три джерела інформаційної безпеки в кредитних організаціях. / / Управління в кредитній організації. - 2006. - № 2. - С. 26-33.
Муричев А. Банкам потрібні ресурси / / Банківська справа в Москві. - 2005. - № 4. - С.47-50.
Новини кредитно-фінансового сектору / / Банківське кредитування. - 2006. - № 2. - С.17-20.
Загальна теорія грошей і кредиту: підручник для вузів / Під ред. Є. Ф. Жукова. - М.: ЮНИТИ-ДА-НА, 2002. - 253 с.
Оксюк Т.Т. Правове становище керуючої компанії пайового інвестиційного фонду / / Законодавство. - 2004. - № 10, 11. - С.23-26.
Орлов К. Політика кредитування співробітників / / Консультант. - 2005. - № 19. - С. 11-14.
Основи банківської діяльності / За ред. Тагірбекова К.Р. - М.: Инфра-М, 2003. - 238 с.
Ромашина-Скут Є.А. Основні банківські ризики, їх взаємозв'язок і вплив на управління банком / / Банківський рітейл. - 2006. - № 2. - С. 36-41.
Саркісянц А. Реформа фінансової звітності французьких банків / / Бухгалтерія і банки. - 2006. - № 7. - С.34-37.
Семенов Д., Лісіцин А. Управління ризиками / / Бюджет. - 2006. - № 9. - С.17-19.
Сіднєв С. Нові підходи до оцінки кредитного ризику / / Бухгалтерія і банки. - 2006. - № 6. - С.22-28.
Смирнов І.Є. Електронний банкінг у Росії: перспективи обнадіюють / / Банківське кредитування. - 2006. - № 3. - С. 34-40.
Соколинська Н.Е. Управління ризиками в інвестиційному кредитуванні / / Інвестиційний банкінг. - 2006. - № 1. - С.39-42.
Тімкин М. Інформаційне забезпечення процесу управління ризиками в банку / / Фінансова газета. - 2006. - № 49. - С. 21-26.
Фінансовий кур'єр / / Фінансова газета. Регіональний випуск. - 2006. - № 22. - С.10-17.
Хорошилов С.Д. Банківський сектор країн - членів Ради із співпраці в Перській затоці / / Міжнародні банківські операції. - 2006. - № 4. - С.27-31.
Чорнобильська А.Б., Вороненко Д.І. Управління ризиками при роздрібному кредитуванні / / Банківське кредитування. - 2006. - № 3. - С.5-9.
Чикалов І., Леденко С. У що обходиться інформаційна безпека / / Банківська справа в Москві. - 2006. - № 7. - С. 41-46.
Шапран В.С. Інвестиційний банківський бізнес у країнах ЄС: технології і тенденції / / Інвестиційний банкінг. - 2006. - № 2. - С.22-25.
Шпунт Я. Intelligent Enterprise / / Спецвипуск 7. - 25 грудня 2007. - С. 32
Щелов О. Кредитні бюро: перші кроки і перші сумніви / / Бухгалтерія і банки. - 2005. - № 10. - С. 8-12.