175198 (768413), страница 4
Текст из файла (страница 4)
Рассмотрим интегрированную систему безопасности банка, на примере отделений банка Raiffeisen.
Постановка задачи: Проектирование, поставка оборудования, установка и пуско-наладка интегрированной системы безопасности в отделениях банка, находящихся в разных районах г. Москвы. Объединение в единую систему безопасности цифровой системы видеонаблюдения, системы контроля доступа в служебные помещения, системы доступа в по карточкам VISA в комнаты с банкоматами, системы охранно-пожарной сигнализации и системы оповещения о пожаре и эвакуации людей в каждом отделении банка.
История проекта: Первый контракт на создание интегрированной системы безопасности отделения банка «RaiffeisenBank» в бизнес-центре «Царев Сад» (Софийская набережная) был подписан в начале 2002 г. и выполнен в течение одного месяца. Второй контракт на создание системы безопасности банка в отделении на ул. 2-ая Ямская был выполнен за 25 дней.
Выполненные работы по созданию интегрированной системы безопасности отделения банка:
Обследованы помещения отделений банка, разработан и утвержден проект интегрированной системы безопасности каждого отделения банка.
Выполнена поставка компонентов и устройств системы безопасности, а также программного обеспечения для управления системой безопасности и учета рабочего времени персонала.
Осуществлена установка оборудования системы безопасности: цифровой системы видеонаблюдения, системы контроля доступа и охранно-пожарной сигнализации.
Проведена интеграция, инсталляция, наладка и тестирование работоспособности всей интегрированной системы безопасности и ее сдача в эксплуатацию.
Осуществлена сертификация системы безопасности банка в уполномоченном подразделении Центрального Банка РФ.
Организовано и проведено обучение сотрудников службы безопасности банка.
Выполняются регламентные работы по гарантийному техническому обслуживанию систем безопасности каждого отделения банка.
Краткое описание компонентов интегрированной системы безопасности банка: Цифровая система видеонаблюдения отделений банка построена на оборудовании ведущих мировых производителей. В частности, применены цифровые видеорегистраторы-мультиплексоры, позволяющие службе безопасности банка управлять работой телекамер в помещениях банка и уличными камерами, а также записывать всю информацию с телекамер в цифровом формате.
Программная среда сформирована на автоматической системе безопасности, которая основана на базе программно-аппаратных платформ мировых лидеров индустрии - компаний Lenel Systems International, SimplexGrinnell и Hirsch Electronics.
При построении системы пожарной безопасности банка применен аппаратно-программный комплекс Simplex известной американской компании SimplexGrinnell в составе адресной системы автоматической пожарной сигнализации, голосовой системы оповещения о пожаре и эвакуации людей и системы спринклерного пожаротушения. Интеграция пожарной сигнализации и системы оповещения в единую систему безопасности осуществлена на аппаратно-программном уровне.
Для ограничения доступа в служебные помещения отделений банка применены традиционные для банка системы контроля доступа и охранной сигнализации. Круглосуточный доступ клиентов в помещения с банкоматами обеспечивается системой, позволяющей использовать для входа банковские карты VISA. Для учета рабочего времени персонала использован специальный модуль системы Simplex.
Функциональные возможности интегрированной системы безопасности банка:
Круглосуточное видеонаблюдение в служебных помещениях банка, видеоконтроль за присутственными местами банка и за прилегающими территориями, с записью видео на устройства системы безопасности.
Архивирование видеозаписей по помещениям банка с возможностью покадрового воспроизведения записей тревог, в том числе по дате, времени суток, по камере и т.п.
Отображение видеоинформации с камер на мониторах системы безопасности в реальном времени.
Архивация видеоинформации по тревожным событиям.
Авторизация сотрудников банка в системе контроля доступа при их перемещениях по служебным помещениям.
Учет рабочего времени сотрудников отделений банка.
Предоставление круглосуточного доступа владельцев карточек VISA в помещения банка с банкоматами и обеспечение их безопасности.
Фиксация и оповещение службы безопасности банка о возникновении задымления или пожара на территории банка с указанием адреса тревожного помещения.
Автоматическое включение системы оповещения персонала о пожаре и системы пожаротушения в помещениях возникновения пожара.
Голосовое оповещение персонала банка о пожаре и указание безопасных путей их эвакуации.
Протоколирование и автоматическая запись на устройства системы безопасности всех тревожных событий, произошедших на территории отделения банка.
Для обеспечения информационной безопасности очень часто применяются лишь программно-аппаратные средства, позволяющие выполнять такие задачи, как аутентификация и идентификация пользователей, разграничение прав доступа, анализ трафиков Интернет, локальной сети и тому подобное. Однако практика показывает, что даже самая сложная защита со временем может быть взломана, или ключ к ней будет украден либо перекуплен. Ведь самым слабым и ненадежным звеном любой системы безопасности остается персонал. Поэтому, помимо технических, необходимо учитывать и принимать организационные меры, которые предусматривают детальную проработку бизнес-процессов, прописывание зон ответственности и разработку политики информационной безопасности.
Другим примером эффективного применения систем информационной безопасности в банковской сфере является – Метробанк. Система построена в соответствии с требованиями международных стандартов ISO 17799/BS7799. Необходимо отметить, что весь комплекс работ по построению системы управления информационной безопасностью банка проходил при поддержке высшего руководства,которое непосредственно участвовало и участвует на таких важных стадиях, как, например, оценка информационных рисков или классификация активов.
Банк стал полигоном, где прошло апробирование аналогичных методик, рассматриваемых в диссертационном исследовании.
Важную роль в соблюдении всеми сотрудниками положений политики информационной безопасности, принятой в банке, играет техническое обеспечение.
Одним из этапов внедрения системы информационной безопасности являлось обеспечение выполнения требования политики информационной безопасности в отношении смены паролей. Например, система была запрограммирована таким образом, чтобы исключить саму возможность работать неправильно. Когда не нужно напоминать, что пора сменить пароль — просто в определенный момент система не пустит пользователя по старому паролю, заставит создать новый и отследит, чтобы он содержал определенное количество символов, причем часть из них была цифрами.
Аналогичная ситуация с утечкой информации. Можно проверять у сотрудников на входе и выходе все съемные носители информации (дискеты, USB-устройства и т.д.), но надежнее разрешить использование съемных носителей только для чтения и только тем сотрудникам, которым это необходимо для выполнения служебных обязанностей. Причем использование USB-порта можно настроить так, чтобы к нему можно было подключить только конкретный принтер или сканер. При этом администрирование съемных носителей производится централизовано системным администратором, а все действия пользователей (включая действия системного администратора) протоколируются в электронные журналы событий, которые впоследствии анализируются сотрудниками департамента информационной безопасности.
Порой департамент информационной безопасности упрекают, что он мешает работать — пишет инструкции, заставляет следовать строгим правилам. Внедрение стандарта по информационной безопасности позволило, прежде всего, лучше разобраться в работе банка. Были четко прописаны все бизнес-процессы, разработана политика распределения ролей, которая позволила исключить дублирование обязанностей и полномочий и сделать так, чтобы за каждый процесс отвечал конкретный исполнитель, а не группа. Все это положительно сказалось не только на уровне информационной безопасности, но и на эффективности основного бизнеса.
Отличительной особенностью многих продуктов Метробанк является активное использование интернет-технологий. В то же время вопрос безопасности в глобальной сети до сих пор остается сдерживающим фактором - как для сетевой торговли, так и для денежного обращения в ней.
Чтобы обеспечить необходимый уровень информационной безопасности для клиентов, банк впервые в СНГ использовал в системе «Интернет-офис» и потребительского кредитования новую модель USB-ключа со встроенным генератором одноразовых паролей, для двухфакторной аутентификации, и PKI-хранилищем для хранения личных секретных сертификатов и ключей пользователя — eToken NG-OTP. Каждый клиент банка теперь получает специальный USB-брелок с дисплеем, где отображается одноразовый пароль. Чтобы войти в систему «Интернет-офис», клиент нажимает клавишу на брелоке и получает пароль.
Система его аутентифицирует и предоставляет доступ к ресурсам банка. Этот пароль больше нигде не будет использоваться — он нужен лишь для одноразового пользования системой. Естественно, передача всех данных защищена протоколом SSL. Это первая ступень.
Дальнейшие действия по отправке документов внутри системы «Интернет-офис» подписываются личной электронно-цифровой подписью клиента. Сертификат ЭЦП хранится в самом брелоке, в специальном PKI-хранилище, защищенном паролем как минимум из восьми символов.
Если какое-либо критичное действие клиента не будет корректно подписано, мы его не сможем принять к исполнению. На сегодняшний день - это самая передовая технология.
Кроме того, внедряются средства биометрической идентификации для клиентов и сотрудников банка. Например, доступ в серверные комнаты, переходы сотрудников внутри банка и доступ клиентов в депозитарий будут осуществляться по отпечатку пальца. В будущем году USB-брелоки или смарт-карты с сенсором отпечатка пальца будут использоваться и для аутентификации клиентов «Интернет-офис» и сотрудников при входе в персональный компьютер.
Для менее критичных помещений будет использован электронный «фэйс-контроль». При входе в охраняемое помещение банка устанавливается видеокамера. Когда к двери подходит посетитель, изображение его лица, полученное с камеры, сравнивается с базой данных, хранящейся на сервере: если посетителю разрешен доступ в это помещение, его пропускают. C одной стороны, эта технология позволит еще «на входе» вычислять мошенников и «плохих» клиентов. С другой — даст возможность практически моментально идентифицировать клиента и выдать на экран оператору всю необходимую информацию: от имени, отчества и дня рождения до сведений об используемых услугах.
Современные технологии позволяют хранить практически неограниченные объемы данных, в том числе изображения. Поэтому ничего сложного в их реализации нет.
Предусмотрено параллельное использование средств идентификации предыдущего поколения. Здесь многое зависит от менталитета, хотя и он со временем меняется, так же как и российская экономика быстро движется к открытости.
Неплохим примером для подражания является система в США - там для оценки заемщика используется FICO (название произошло от компании Fair, Isaac & Company) - суммарная оценка, состоящая из пяти основных параметров: как выплачивались предыдущие кредиты (платежная история), общая сумма долга по всем счетам, продолжительность кредитной истории и информация о счетах и кредитах (количество новых счетов, виды кредитов и количество счетов по каждому виду кредита). Чем баллы выше - тем охотнее с вами будут общаться кредитные организации.
Список литературы
Конституция РФ. Принята на всенародном голосовании 12 декабря 1993 года // Российская газета. 1993. № 237.
Гражданский процессуальный кодекс РФ от 14 ноября 2002 г. № 138-ФЗ // СЗ РФ. 2002. № 46. Ст. 4532.
Гражданский кодекс Российской Федерации (части первая, вторая и третья) (с изм. и доп. от 2 февраля 2006 г.) // СЗ РФ. 2001. № 49. Ст. 4552.
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" // СЗ РФ. 2002. № 52 (часть I). Ст. 5140.
Федеральный закон от 10 июля 2002 г. № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" // СЗ РФ. 2002. № 28. Ст. 2790.
Закон РФ от 5 марта 1992 г. № 2446-I "О безопасности" // Российская газета. 1992. № 103.
Федеральный закон от 2 декабря 1990 г. № 395-I "О банках и банковской деятельности" // Ведомости съезда народных депутатов РСФСР. 1990. № 27. Ст. 357.
Закон РФ от 21 июля 1993 г. № 5485-1 "О Государственной тайне" // СЗ РФ. 1997. № 41. Ст. 4673.
Указ Президента РФ от 3 апреля 1995 г. № 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" // СЗ РФ. 1995. № 15. Ст. 1285.
Постановление Правительства РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" // СЗ РФ. 1995. № 27. Ст. 2579.
Стандарт ЦБР СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением ЦБР от 26 января 2006 г. № Р-27) // Вестник Банка России от 3 февраля 2006. № 6.
Аванесян К. А. Депозитарная деятельность коммерческих банков на российском рынке ценных бумаг. - М., 2000. - 123 с.
Акимов Я.С. Проектное финансирование в российских банках // Юридическая работа в кредитной организации. - 2006. - № 2. - С.11-15.
Анненская Н.Е. Проблемы структурирования бизнес-процессов в российских инвестиционных банках // Инвестиционный банкинг. - № 2. - С. 32-36.
Бабкин В.В. Корпоративный конфликт в банке как реальная угроза для его клиентов // Управление в кредитной организации. - 2006. - № 1. - С.24-29.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
