Право
/ 2. Административное и финансовое право
ІI
Международной научно-практической конференции
“Актуальные достижения европейском науки – 2011»,
17 – 25 июня 2011 г.
Бял ГРАД-БГ (София, Болгария)
Правовые проблемы информационной безопасности
к.ю.н., доцент Алексеева Диана
Геннадьевна,
доцент
кафедры банковского права ГОУ ВПО Московская государственная юридическая
академия им. О.Е.Кутафина
На протяжении последнего десятилетия мировая
банковская индустрия находится в условиях жесткой конкурентной борьбы.
Появление новых информационных технологий оказывает серьезное воздействие на
выработку стратегической политики банка. Нынешние изменения в банковской сфере
связаны с влиянием ряда факторов, в числе которых международная тенденция к
глобализации рынка банковских услуг, изменение законодательства, а также
развитие информационных технологий. Но чтобы остаться конкурентоспособными,
банки должны оценивать и адекватно реагировать не только на внешние факторы, но
и на внутренние, такие как изменение запросов клиентов, необходимость
уменьшения времени обслуживания, тесная интеграция деятельности и высоких
технологий[1].
Указанные обстоятельства выдвигают на первый план
задачу обеспечения информационной безопасности кредитных организаций.
Специфика данного направления деятельности государства
как составляющей банковской безопасности состоит в способе ее воздействии на
общество: целенаправленное систематическое применение совокупности мер
правового, организационного, технического характера, направленных на повышение защищенности
интересов участников банковской системы, а также их клиентов при осуществлении
ими банковских операций и сделок (т.е. обеспечение безопасного проведения самих
операций, соблюдения режима банковской тайны, защиты информации при
использовании различных форм дистанционного банковского обслуживания и
т.д.).
В настоящее время существуют различные толкования
«информационной безопасности» банков. Так, по мнению одних ученых, это - один
из важнейших элементов системы безопасности банковской деятельности[2].
По мнению других - понятие «информационной
безопасности» можно сформулировать как «состояние защищенности интересов или
целей заинтересованного субъекта /собственника/ (в рассматриваемом случае – кредитной организации в широком ее понимании,
включая Банк России) в информационной сфере. Достигается через обеспечение
приоритетов безопасности: доступности, целостности, конфиденциальности»[3].
По сути, информационная безопасность – это «частное
применительно к конкретным технологиям отражение общего феномена, называемого
«безопасность», имеющего вполне определенные свойства и подчиняющиеся
собственным, внутренним правилам. Упрощенное понимание этого феномена или
подмена понятий представляется исключительно вредным занятием только потому,
что оно искажает наши взгляды, может увести в сторону наши практические
действия и в результате ослабить реальный уровень безопасности»[4].
Использование информационных технологий в
банковском секторе экономики «распространяется на большинство банковских
операций и управленческих функций, повышая их оперативность и качество.
Внедрение в банковскую практику информационных технологий и, в частности,
пластиковых карт как носителя информации, обеспечивает конкурентоспособность
кредитных учреждений и их продуктов, что отражает современные требования
экономического развития коммерческих банков»[5].
Банковские информационные системы и
технологии составляют неотъемлемую составляющую банковской деятельности. Они
используются и в различных банковских программах, в технологиях электронных расчетов
на основе «Клиент»-«Банк», «Интернет-банк» и иных, в системах дистанционного
банкинга, банковских карт, в системах валовых переводов реального времени,
международных электронных межбанковских взаимодействиях на основе системы S.W.I.F.T. и иных. В основе
«финансовых услуг лежат биты и байты информации, хранимой на компьютерных
дисках. Банкинг – это цифровой рынок, основанный на виртуальных финансовых
отношениях, оформленных электронными трансакциями»[6].
Информация, содержащаяся в банковских
информационных системах, «затрагивает интересы большого количества людей и
организаций, поскольку она отражает реальные деньги (остатки на счетах) <…>
любое несанкционированное манипулирование этой информацией может привести к
серьезным убыткам»[7]. Сегодня банкинг представляет собой одну из
тех немногих отраслей, «в которых технологии не только открывают новые
возможности, но и являются неотъемлемой жизненно важной составляющей – ее
кровью; в этом и сила его, и слабость. Сила – в умении финансового сектора
использовать, реализовывать и поддерживать технологии. Слабость кроется в
проблеме перехода от устаревших операций и инфраструктур к полностью
электронному бизнесу»[8],
который невозможно контролировать и в полной мере регулировать с юридической
точки зрения.
Угрозы информационной безопасности условно
можно разделить на следующие группы[9]:
1)
угрозы природного
характера – стихийные бедствия;
2)
угрозы техногенного
характера – аварии, сбои и отказы оборудования и т.д.;
3)
угрозы, связанные с
человеческим фактором: ошибки проектирования и разработки компонентов
информационных систем; ошибки эксплуатации; преднамеренные действия
нарушителей; террористические угрозы.
Данная группа угроз
представляется наиболее широкой и включает:
1) проблемы, связанные
с недостаточным правовым регулированием банковской и коммерческой тайны;
2) незащищенность расчетно-платежных операций
от злоумышленных действий третьих лиц. Проведение платежей с помощью фальшивых
расчетных документов не является новостью для российских банков.
С широким введением в оборот различных
способов дистанционного банковского обслуживания их число несколько снизилось.
Однако, до полного искоренения этой
проблемы, к сожалению, далеко, о чем наглядно свидетельствуют факты
многочисленных преступлений в указанной области. Так, например, 13 ноября 2009
г. в одном из операционных управлений ЦБ неизвестный предъявил два фальшивых
платежных поручения якобы от имени ПФР, на сумму 1,25 млрд. рублей, по которым
Банк России начал переводить деньги. Только 16 ноября ПФР в экстренном порядке
обратился в Банк России и правоохранительные органы. Однако, часть суммы вернуть на счета ПФР так и не удалось[10].
На активность инсайдеров в значительной
мере повлиял финансово-экономических кризис. Исследования прессы, проведенные
компанией "Новые поисковые технологии", специализирующейся на
информационной безопасности, показали, что только за первые четыре месяца 2009
года российская пресса зафиксировала утечек на 16% больше, чем за весь 2008 г.
При этом доля умышленных утечек конфиденциальной информации составила 38%.
Следует отметить, что это только те утечки, которые попали в поле зрения
прессы, т.е. фактически это вершина айсберга. В условиях кризиса заработать
стараются и сотрудники компаний, которые почувствовали на себе, что означает на
практике уменьшение заработной платы. При этом, от утечек конфиденциальной
информации не застрахованы ни частные компании, ни государственные организации.
Согласно результатам исследования кадрового холдинга АНКОР около 13%
сотрудников ИТ-отделов получали предложения о продаже информации, являющейся
конфиденциальной или составляющей коммерческую тайну той или иной компании.
Всего же различную информацию, принадлежащую официальному работодателю, так или
иначе для своего приработка используют 22% сотрудников[11].
3) угрозы хищения
денежных средств кредитных организаций ввиду недостаточной технической
оснащенности и (или) умышленные действия их неблагонадежных сотрудников. В
результате подобного рода преступных деяний кредитные организации терпят
значительные убытки, несут репутационные риски. Средства массовой информации
сообщают об ограблениях банков, практически, ежедневно. В большинстве случаев к
совершению преступлений причастны сотрудники банков.
Так, например, в Омской
области сотрудники районных отделений Сбербанка по Омской области совершили хищение средств банка на
сумму 884 млн. рублей, путем оформления кредитов на фиктивные крестьянские и
фермерские хозяйства[12].
Бывший руководитель
проектов управления развития систем процессингового центра ОАО «Альфа-банк»,
имя доступ к специальным аппаратно-программным комплексам, похитил у банка не
менее 1 млн. долларов США[13].
Начальник кредитного
отдела «Росбанка» с сообщником похитили с использованием подложных документов
для получения кредитов у банка 9,75 млн. долларов США[14]. Летом 2009 года с участием кассира Розы Аглемзяновой
из Райффазенбанка было похищено 11 млн.рублей. 7 августа служба безопасности
ВТБ24 зафиксировала подозрительную транзакцию в системе дистанционного
обслуживания «Банк-Клиент Онлайн» на сумму 3,8 млн. рублей. 18 августа 2009 г.
предпринята попытка хищения денег из Сбербанка. Организаторы – сотрудники
банка, сумма – 109 млн. и 52 млн. евро. 24 августа тольяттинский программист
снял со счетов своего банка 16 млн. рублей[15].
Указанные события
становятся возможными по двум причинам – отсутствие установленной на
законодательном уровне обязанности банков осуществлять политику информационной
безопасности и, соответственно, отсутствие соответствующих программ (включая
организационное, правовое, техническое, программное обеспечение в самих
кредитных организациях).
В условиях финансового
кризиса, когда нестабильная ситуация на рынке труда и высокая стрессовая
нагрузка подталкивали к совершению противоправных действий. Так, в результате
недавней (ноябрь 2009 г.) утечки сведений о более полутора миллионах банковских
карточек только прямые убытки компании RBS WorldPay составили 9 млн долл., не
говоря уже о репутационных потерях, которые понес королевский шотландский банк,
подразделением которого является RBS WorldPay[16]
.
4) рейдерство,
теснейшим образом связанное с распространением заведомо подложной или
недостоверной информации. Так, в период действующего финансово-экономического
кризиса стали распространены «информационные и долговые модели» рейдерства,
когда целенаправленным массированным информационным атакам подверглось более 35
российских банков[17]. Согласно
новой методике рейдерства,
стратегическим клиентам крупных или обладающих широкой сетью филиалов
кредитных организаций в массовом порядке направлялись сообщения о нахождении
банка на грани банкротства и необходимости в кратчайшие сроки вывода всех
денежных средств из банка и вложение в другой (чаще всего – государственный)
банк. Такого рода сообщения
направлялись по СМС, местному телевидению и радиовещанию, путем направления
писем, по электронной почте и иными доступными способами. К сожалению, «банки-потерпевшие» большей
частью оказались неготовыми к подобного рода атакам. Большинство их в конечном
итоге было поглощено либо санировано. К числу основных ошибок, допущенных
банками, впоследствии относили отсутствие: системы мониторинга всего
информационного поля; антикризисных информационных специалистов внутри
компании; неразработанность программ работы с вкладчиками и клиентами,
ограничивающей массовых отток средств из банка в течение короткого периода
времени и т.д.[18].
Именно указанный круг вопросов сегодня
должен находиться в орбите повышенного внимания законодателя и Банка России.
Но какими нормативно-правовыми актами
регулируется информационная безопасность?
Правовой режим банковской информации
регламентируется законодательством довольно подробно, но разнопланово. Каждый
нормативный акт, принимаемый в указанной области, регламентирует какой-то свой
специфический «участок» общественных отношений. Целостного, глубокого и
непротиворечивого регулирования информационной безопасности в России на текущий
момент не имеется.
Основу правового регулирования
информационной безопасности составляют общие и специальные федеральные законы,
а именно: от «02» декабря 1996 г. № 395-1 «О банках и банковской деятельности»,
от «10» июля 2002 г. «О Центральном банке Российской Федерации (Банке России)»;
от «27» июля 2006 г. N 149-ФЗ "Об
информации, информационных технологиях и о защите информации", от «10»
января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", от «27»
декабря 2009 г. № 152-ФЗ «О персональных данных» и иные.
При этом, внимание законодателя к
указанным вопросам не ослабевает. Одним из новых нормативных правовых актов в
рассматриваемой области является Федеральный закон от «06» апреля 2011 года №
63-ФЗ «Об электронной подписи», который регулирует отношения в области
использования электронных подписей при совершении гражданско-правовых сделок,
оказании государственных и муниципальных услуг, исполнении государственных и
муниципальных функций, при совершении иных юридически значимых действий.
На второе чтение вынесен «многострадальный»
проект № 455931-5 Федерального закона «О национальной платежной системе»,
который устанавливает правовые и организационные основы национальной платежной
системы, регулирует порядок оказания платежных услуг, в том числе осуществления
перевода денежных средств, использования электронных средств платежа,
деятельность субъектов национальной платежной системы, а также определяет
требования к организации и функционированию платежных систем, порядок
осуществления надзора и наблюдения в национальной платежной системе.
Довольно обширный «пласт» законодательства
в указанной области составляют нормативные акты Банка России (например, "Положение
об Электронной информационной системе Банка России" (утв. ЦБ РФ 04.08.2005
N 274-П).
Среди них особое внимание необходимо
уделять стандартам Банка России по информационной безопасности. Следует
отметить, что подобные стандарты не являются «ноу-хау» российского
законодательства, а довольно давно применяются в зарубежной практике. Появились такие стандарты в Великобритании в
конце прошлого тысячелетия. Первая версия британского стандарта BS 7799 "Менеджмент информационной безопасности.
Практические правила" была опубликована в 1995 г. Он создан как единый
стандарт управления программными и сетевыми ресурсами, а также контроля над
качеством предоставляемых услуг в компаниях, использующих информационные
системы, и явился обобщением мирового опыта в организации систем информационной
безопасности. Согласно этому стандарту целью информационной безопасности
является обеспечение бесперебойной работы компании, а также по возможности
предотвращение и/или минимизация ущерба от нарушений безопасности. Популярность
стандарта обусловлена его гибкостью, так как он представляет собой набор
рекомендаций по применению лучших практик обеспечения безопасности, подходящий
любому типу компании независимо от ее размера и направления деятельности, и был
предназначен для использования в качестве справочного документа как для
руководителей, так и для рядовых сотрудников, отвечающих за планирование,
реализацию и использование системы информационной безопасности[19].
В России подобные стандарты действуют
сравнительно недолго, но уже показали
свою высокую эффективность. При этом выделяются:
1) собственно стандарты информационной
безопасности (являющиеся нормативными актами):
а) "Стандарт Банка России "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Методика
оценки соответствия информационной безопасности организаций банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0-20xx" СТО БР
ИББС-1.2-2010" (принят и введен в действие Распоряжением Банка России от
21.06.2010 N Р-705);
б) "Стандарт Банка России "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Общие
положения" СТО БР ИББС-1.0-2010" (принят и введен в действие Распоряжением
Банка России от 21.06.2010 N Р-705) и иные.
Это – новейшие редакции Стандартов, которые, безусловно, являются
успешной попыткой самого Банка России, так и всего банковского сообщества
Российской Федерации вернуть рискоориентированный подход к процессу обеспечения
информационной безопасности в кредитные организации, призванная значительно
облегчить жизнь последним в части решения вопроса по защите персональных данных[20].
2) не
являются нормативными актами, но детализируют специфику применения Стандартов
Рекомендации Банка России, например:
а) "Рекомендации в области стандартизации
Банка России "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Отраслевая частная модель угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных организаций банковской системы Российской Федерации"
РС БР ИББС-2.4-2010" (приняты и введены в действие Распоряжением Банка
России от 21.06.2010 N Р-705);
б) "Рекомендации
в области стандартизации Банка России "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Требования по
обеспечению безопасности персональных данных в информационных системах
персональных данных организаций банковской системы Российской Федерации"
РС БР ИББС-2.3-2010" (приняты и введены в действие Распоряжением Банка
России от 21.06.2010 N Р-705) и т.д.
Вместе с тем, констатируем, что в
настоящее время остаются неурегулированными множество актуальных аспектов
применения в банковской деятельности информационных технологий и систем:
правовой режим банковской тайны и порядок раскрытия информации о ней третьим
лицам; порядок осуществления дистанционного банковского обслуживания и вопросы
корреляции последнего с законодательством о ПОД/ФТ; должным образом не
определен режим банковской тайны; порядок и особенности расчетов с
использованием банковских карт и многие другие.
Защита информации требуется при
осуществлении различных банковских операций: информация о заемщике и его
персональные данные – в банковском кредитовании; информация относительно паспорта сделки – при валютном
контроле; информация о клиенте и осуществляемых им операциях – в случаях
истребования сведений со стороны уполномоченных государственных органов и т.д.
Основная часть информационно-правовой
составляющей банковской безопасности
связана с осуществлением платежно-расчетных операций. Нарушения
действующего законодательства и явные пробелы в регулировании приводят с
завидным постоянством к значительным убыткам именно при проведении платежей.
В данной связи подчеркиваем, что «эффективная, надежная и безопасная
платежная система реального времени, представляющая собой совокупность
организационных форм, инструментов, процедур, программно-технических,
коммуникационных и информационных средств, необходима для стабильного
функционирования экономики и всего финансового сектора, интеграции России в
Европейское сообщество»[21], является одним из решающих факторов
совершенствования банковской безопасности страны.
Резюмируя, отмечаем следующее:
1) рассматривая информационно-правовую
составляющую банковской безопасности, нельзя не учитывать ее специфику, которая
состоит в способе ее воздействии на банковскую деятельность: целенаправленное
систематическое применение совокупности мер правового, организационного,
технического характера, направленных на повышение, прежде всего, безопасного
проведения платежно-расчетных операций.
2) Анализируя весь комплекс нормативных
правовых актов в сфере информационной безопасности банковской систем, отмечаем высокую
степень правовой неурегулированности множества
актуальных аспектов применения в банковской деятельности информационных
технологий. Нарушения действующего законодательства и явные пробелы в правовом
регулировании отношений именно в этом сегменте банковской деятельности с
завидным постоянством приводят к значительным убыткам именно при проведении
платежей.
3) Именно поэтому оперативная разработка
законодательства об информационной безопасности – важнейшая задача государства,
нацеленная на обеспечение не только банковской безопасности, но и укрепления
экономического суверенитета страны в целом.
13.06.2011
[1] Шахлевич А. Информационная безопасность банка // Финансовая газета. Региональный выпуск. 2010. N 29. С. 14.
[2] Гамза В.А., Ткачук И.Б., Чокпаров М.К. Системы информационной безопасности в банке: текущая практика и тенденции. // Управление в кредитной организации. 2009. N 3
[3] Обеспечение информационной безопасности бизнеса (под ред. А.П.Курило). – М.:БДЦ-пресс. 2005. С. 20.
[4] Обеспечение информационной безопасности бизнеса (под ред. А.П.Курило). – М.:БДЦ-пресс. 2005. С. 18.
[5] Банковские информационные системы. Учебник. (под ред. В.В. Дика). – М.:Маркет ДС. 2006. С. 26-27.
[6] Крис Скиннер. Будущее банкинга: мировые тенденции и новые технологии в отрасли. – Минск.: Гревцов Паблишер. 2009. С. 18
[7] Банковские информационные системы. Учебник. (под ред. В.В. Дика). – М.:Маркет ДС. 2006. С. 315.
[8] Крис Скиннер. Будущее банкинга: мировые тенденции и новые технологии в отрасли. – Минск.: Гревцов Паблишер. 2009. С. 18
[9] Обеспечение информационной безопасности бизнеса (под ред. А.П.Курило). – М.:БДЦ-пресс. 2005. С. 42.
[10] URL: Задержанных по делу о попытке хищения средств ПФР пока нет. 18.11.2009. // http://bankir.ru/news/newsline/3190332
[11]
Идов Р. Информационная безопасность в
условиях кризиса. // Финансовая газета. Региональный выпуск. 2009. N 33
[12] В суд переданы дела о хищениях в Омских отделения Сбербанка. 26.12.2007. http://bankir.ru/news/newsline/1093251
[13] Источник – «Коммерсант». Размещено: http://bankir.ru/news/newsline/1110783
[14] Источник: ИТАР-ТАСС. // URL: http://bankir.ru/news/newsline/1065897
[15] URL: Расследования Bankir.ru. Дело № 1. Банки в дырках. 01.09.2009. // http://bankir.ru/publication/article/2406365
[16]
Шахлевич А. Информационная
безопасность банка // Финансовая газета. Региональный выпуск. 2010. N 29. С.
14.
[17] Информация по источнику: Банковское обозрение. № 8, августа. 2009.// URL:http://bankir.ru/publication/article/2292659
[18]
Орфенов А., Ющук Е. Боевые блоги и
страховка против рейдеров. // Банковское обозрение. № 8. август. 2009
[19]
Ключко Н. Проблемы информационной
безопасности современного бизнеса. // Финансовая газета. 2008. N 28
[20]
Царев Е., Плахута М. Стандарт Банка
России по информационной безопасности // Финансовая газета. Региональный
выпуск. 2010. N 43. С. 14
[21]
Банковские информационные системы. информационные системы. Учебник. (под ред. В.В. Дика). – М.:Маркет ДС. 2006. С. 30