КОНЦЕПЦИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ БАНКОВСКИХ ОБЪЕКТОВ

Конспект лекций для Сбербанка и ЦБ РФ
Пособие для сотрудников служб безопасности,
руководителей деловых и коммерческих структур

Введение

Одной из главных забот руководителя банка или его отделения является стабильная работа возглавляемого им коллектива, функционирование всех служб и подразделений банка в соответствии с установленным регламентом. Любое отклонение от этого регламента приводит к сбоям в работе и, в конечном счете, к убыткам.

Если до недавнего времени к числу наиболее распространенных причин нарушения стабильной деятельности фирм и предприятий относили стихийные бедствия, пожары и хищения материальных ценностей, то с появлением новых форм собственности и рыночных отношений, развитием новых информационных технологий все чаще приходиться сталкиваться с проявлениями терроризма, несанкционированного доступа к информации, вандализма и другими преступления, направленными как против личности, чаще всего руководителя и владельцев, так и против фирмы в целом. К полной остановке деятельности банка, фирмы, предприятия и даже целой отрасли производства могут привести также и забастовки.

Таким образом, одним из главных условий бесперебойной работы банка, фирмы становится обеспечение безопасности их деятельности, что приобретает на сегодня все более сложный, разносторонний, комплексный характер и требует определенных материальных затрат. Эти затраты окупаются, если принятые меры сокращают или предотвращают ущерб от указанных выше угроз и, следовательно, можно говорить об эффективных расходах на обеспечение безопасности.

К сожалению, как показывает практика, далеко не всегда затраты на безопасность повышают стабильность деятельности фирм и предприятий. Так, например, один из крупнейших российских банков дважды, в феврале и марте 1995 года, понес от пожаров значительные убытки с человеческими жертвами, хотя главным направлением финансирования и деятельности его службы безопасности в 1994 г. являлась защита информации. В данном случае был игнорирован комплексный характер мер по обеспечению безопасности. И это далеко не единственный пример, когда защита банка формируется стихийно или волюнтаристски, без учета основных, стратегических задач в деятельности по обеспечению безопасности.

Вместе с этим, принимаясь за создание системы защиты и оценивая необходимые для этого силы и финансовые средства, надо четко представлять, что достижение 100 % безопасности невозможно, поскольку:

1) Такая защита сделает банк или его участок недоступным не только для злоумышленника, но и для всех остальных - персонала банка и его посетителей-клиентов.

2) Даже самая совершенная на сегодня система защиты не может противодействовать угрозам, которые пока неизвестен, но где-то разрабатываются и возникнут перед банком завтра.

3) Эффективность и надежность системы защиты во многом зависит от персонала, её обслуживающего, который не может быть застрахован от ошибок.

Как же построить эффективную и оптимальную защиту банка? Из каких главных элементов она должна состоять и какие функциональные задачи должна решать? Как объективно оценить состояние уязвимости банковского объекта и произвести оптимальные затраты на усиление его безопасности? На эти и другие вопросы отвечает данное пособие.

1. Банк как объект защиты, его структура

Российская и мировая практика показывают, что для эффективного противодействия угрозам и создания условий безопасной и стабильной работы банка, фирмы или предприятия должна быть создана система комплексной защиты и обеспечено ее правильное функционирование.

Как индивидуален каждый банк или фирма, так индивидуальна и система их комплексной защиты. Однако обязательными направлениями обеспечения безопасности должны быть:

  • жизнь, здоровье персонала и посетителей;
  • здание, оборудование, имущество и ценности;
  • информация во всех ее видах.

Расчеты свидетельствуют, что затраты на создание системы защиты минимальны, если она формируется вместе с защищаемым банком или фирмой, и максимальны, когда систему защиты организуют и устанавливают на уже действующем банковском объекте. По этой причине все направления обеспечения безопасности, т. е. основы системы комплексной

защиты, должны учитываться еще при проектировании банка и быть предметом самого пристального внимания руководителя и начальника службы безопасности на всех этапах проектирования и строительства.

В дальнейшем банковским объектом будем называть любую территорию - комнату, здание или комплекс зданий, в которых находятся и работают люди, используется оборудование и хранятся материальные ценности, а также циркулирует разнообразная информация. Под термином "безопасность объекта" будет пониматься его стабильная плановая деятельность, независимая от различных угроз. Угроза безопасности банковского объекта - это событие, действие, процесс или явление, которое посредством воздействия на людей , материальные ценности и информацию может привести к нанесению ущерба банку, остановке его деятельности.

Для того, чтобы построить эффективную систему защиты банка или его отделения, верно определить главные направления использования разнообразных технических средств и методов их использования, обеспечить оптимальное соотношение между параметрами защиты и ее стоимостью, необходимо провести анализ защищаемого банковского объекта с точки зрения возможных угроз его деятельности.

В общем случае банковский объект включает в себя здания и прилегающую к ним территорию, границы которой обозначены физической преградой или просто зафиксированы законодательно. Для определенности в дальнейшем будем считать, что защищаемый объект представляет собой помещения, здание или комплекс зданий на одной территории. С точки зрения обеспечения безопасности в банке необходимо защищать:

  • персонал банка;
  • клиенты;
  • посетители;
  • имущество;
  • оборудование;
  • ценности;
  • вся используемая информация в различных видах.

Все эти объекты защиты внутри банка могут быть подвержены действиям угроз , источники которых находятся как снаружи банковского объекта, вне здания банка и его территории, так и внутри его.

1.1. Основные виды угроз деятельности банковского объекта

Все возможные виды угроз можно классифицировать по нескольким основным показателям. Наиболее существенным из них является степень ущерба, который может быть нанесен или уже понес банк в результате действия какой-либо угрозы.

Действительно, практическая деятельность большинства банков, фирм и предприятий богата на различные ЧП, как крупные, приводящие к остановкам, а иногда и к полному уничтожению объекта (стихийные бедствия, крупные аварии и катастрофы), так и мелкие происшествия, которые по своей совокупности наносят достаточно большой ущерб отдельным участкам объекта, а иногда всей фирме или банку в целом. По степени ущерба угрозы можно разделить на три основные группы:

ConcBank.gif (8304 bytes)

Мировая статистика показывает, что угроза подслушивания (из группы III), например, в большинстве своем приводит к ущербу не более 15%, редко до 20%, от полной стоимости объекта. И действительно, еще не было такого случая, чтобы подслушивание непосредственно привело к гибели людей и к уничтожению всего объекта.

Следует однако отметить, что в последние десятилетия, в связи с бурным развитием электронной техники и появлением самых разнообразных микроминиатюрных устройств, угрозу подслушивания чаще всего преувеличивают, что наблюдается сейчас очень наглядно в России. В большинстве своем это происходит от некомпетентности и субъективизма в теории и практике создания систем комплексной защиты.

Иногда угроза подслушивания возводится в ранг наиглавнейшей сознательно, что может привести к печальным последствиям, как это дважды и произошло с московским посольством крупнейшей страны, дипломаты и пресса которой, постоянно заявляя о подслушивании, сами поверили в приоритет этой угрозы и чуть не поплатились жизнью во время двух пожаров, нанесших посольству и зданию огромные убытки.

Объективно оценить степень ущерба о указанных трех групп угроз позволяет статистика происшествий в данной отрасли, их анализ в истории банков, фирм и предприятия, материалы местной и городской уголовной хроники и др.

1.2. Объективные и субъективные угрозы

По природе возникновения угрозы можно разделить на два класса:

1) естественные или объективные;
2) искусственные или субъективные.

Естественные угрозы - это угрозы, вызванные стихийными природными явлениями, не зависящими от человека (землетрясения, наводнения, ураганы и т.п.). Искусственные угрозы - это угрозы, вызванные деятельностью человека. К ним относятся:

  • непреднамеренные, неумышленные угрозы, вызванные ошибками в проектировании, монтаже оборудования и в его эксплуатации: носителем (субъектом) таких угроз является нарушитель;
  • преднамеренные, умышленные угрозы, связанные с определенными устремлениями людей, такими как терроризм, забастовки, хищения, кражи, подслушивание, несанкционированный доступ в компьютерные сети и т.п.,

Неумышленные угрозы могут вызвать на объекте:

а) травмы и гибель людей;

б) повреждения оборудования, линий связи, каналов жизнеобеспечения из-за недостаточной квалификации, нарушения должностных инструкций.

Эти угрозы могут быть как внутренними, так и внешними по отношению к защищаемому банку. В последнем случае имеется в виду, что они могут возникать за границей территории, но наносить ущерб защищаемому банку. Так, например, пожар или взрыв на соседнем объекте может вызвать повреждения и в банке; радиоактивный выброс, химическое заражение, повреждение линий энергоснабжения и т.п. за пределами территории также могут повлечь за собой нарушение безопасности конкретного банка. Поскольку источник внешних угроз нельзя устранить силами объекта, их можно отнести к стихийным бедствиям.

в) неумышленное изменение банковского технологического процесса, внедрение и использование нерегламентированных технических средств, документов, компьютерных программ;

г) неосторожные действия, приводящие к разглашению информации различных видов;

д) некомпетентное использование, настройка или неправомерное отключение персоналом банка средств и систем защиты.

Умышленные угрозы могут вызвать на банковском объекте:

а) травмы и гибель людей;

б) физическое разрушение объекта или отдельных его элементов как результат терроризма, хулиганства, вандализма;

в) отключение или вывод из строя систем жизнеобеспечения банка вследствие тех же причин;

г) действия по дезорганизации функционирования банка, его отделения забастовки, саботаж, постановка помех);

д) съем информации путем контроля каналов связи, негласной установки специальных технических средств, анализа и контроля побочных излучений, негласной видео- и фотосъемки, хищения документов, магнитных носителей и бумажных, информационных отходов (распечаток, копировальной бумаги, и т.п.), несанкционированный доступ в банковскую компьютерную сеть;

е) хищение ценностей, продукции, ценных бумаг, имущества, оборудования,

Перечисленные выше виды угроз не равноценны. Так, например, разрушение банковского оборудования или здания банка может повлечь за собой и такие угрозы, как гибель и травмы персонала и посетителей.

2. Главные функции системы комплексной защиты

При анализе состояния защиты, например, на этапах проектирования, модернизации или экспертной оценки целесообразно составить функциональную схему системы защиты, на которой были бы отображены основные, стратегические направления противодействия угрозам. Как уже говорилось ранее, при отсутствии в системе защиты этих главных функций невозможно обеспечить эффективную безопасность банковского объекта и оптимальность расходов на противодействие угрозам.

2.1. Обнаружение угроз

Как показывает практика, первейшей задачей, функцией системы защиты должно быть обнаружение угроз. Обнаруживать угрозы могут как отдельные технически устройства (простейшие датчики с оповещателями), так и целые системы, такие как пожарно-охранная сигнализация, охранное телевидение, системы контроля доступа и пр.

Отдельное внимание при формировании функции обнаружения системы защиты банка следует уделять человеку, как правило, единственному источнику упреждающей информации, например, о готовящейся угрозе терроризма, планируемых хищениях, работах по установке техники подслушивания и пр.

Руководитель, отвечающий за безопасность банка или крупной фирмы, должен обладать оперативным мастерством работы с информаторами для наблюдения и объективной оценки ситуаций как внутри коллектива банка, особенно на его главных участках, так и для своевременного выявления готовящихся угроз извне.

Обнаружение угроз в свою очередь может делиться по режиму работы на системы непрерывного и периодического действия. Системы непрерывного действия постоянно следят за обстановкой и могут не обнаружить субъект или наличие угрозы из-за несовершенства, неправильного выбора типа системы обнаружения или из-за её отказа.

Системы обнаружения периодического действия анализируют обстановку в определенной точке пространства с периодом времени Т, например, монитор, обслуживающий несколько камер и периодически подключаемый к каждой из них, обход территории сотрудниками охраной и т.п.. Эти системы не обнаруживают субъекта или угрозу, если они имели место в течение времени t<Т, т.е. в перерыве между включениями датчиков обнаружения.

2.2. Отражение угроз

Вторую главную функцию защиты выполняют системы отражения, препятствующие реализации угрозы и продвижению её внутрь объекта -ограждение территории, решётки, усиленные двери и замки, специальная планировка помещений банка, защита коммуникаций и баз данных и т.п.

Средства индивидуальной защиты (каски, бронежилеты, спецавтомобили и т.п.) выполняют функции отражения угроз жизни человека. Наличие телохранителя может служить охраняемой персоне хорошим средством отражения самых разнообразных угроз.

Чем прочнее и надежнее системы отражения, тем больше времени понадобится угрозе для преодоления их. Если период действия угрозы t ограничен, а стойкость систем отражения определяется временем Т, то при t<Т защита банка непреодолима для данной угрозы. Это соотношение учитывается при выборе конструкции и материала систем отражения.

Наиболее эффективными в комплексной защиты банка являются средства, выполняющие двойные функции, например, электронный кодовый замок, дополненный тревожной сиреной. Такой замок ограничивает доступ в помещение, т.е. отражает угрозу несанкционированного проникновения в помещение и одновременно выполняет функцию обнаружения, когда при попытке набора неправильного кода сирена подает сигнал тревоги. Подобные средства двойного назначения широко используются в современных банковских системах контроля доступа.

Особое место в отражении угроз занимают инструкции и нормативы, регламентирующие весь порядок работы банка, его участков и каждого сотрудника; они входят в организационно-правовые средства защиты. Как показывает практика защиты особо важных объектов (к ним можно отнести и банки), инструкции и нормативы, правильно подготовленные с учетом реальных угроз, осознанно выполняемые персоналом объекта и контролируемые службой безопасности, могут создавать непреодолимые преграды, например, для попыток установки техники подслушивания злоумышленниками из числа самих сотрудников объекта.

2.3. Ликвидация угроз

Анализ противодействия угрозам показывает, что система защиты, состоящая только из обнаружения и отражения, не является полной. И действительно, если, например, в подвале здания возник пожар и он будет зафиксирован системой обнаружения, его распространению далее но зданию будут препятствовать системы отражения (перекрытия и двери из огнестойкого материала, защитные заслонки и т.п.). Но огнестойкость указанных материалов не бесконечна и если пожар не будет ликвидирован, системы отражения не смогут длительное время сдерживать огонь. Поэтому третьей главной функцией защиты является ликвидация угрозы, которая в данном случае будет реализована с помощью огнетушителей или системы автоматического пожаротушения, быстро прибывшей пожарной командой и др.

Если в системе комплексной защиты предусмотрено противодействие несанкционированному проникновению на объект с целью кражи, то функцию ликвидации в этом случае должна выполнять вооруженная тревожная группа службы безопасности или вооруженный наряд милиции, вызванный в срочном порядке для задержания и обезвреживания злоумышленника.

Таким образом эффективной будет являться такая система защиты, которая имеет все три функции - обнаружение, отражение и ликвидацию, для каждой из угроз, способных нанести ущерб объекту. Перечень угроз и размеры ущерба рассчитываются для данного объекта на основании:

  • учета и анализа происшествий на данном объекте;
  • учета и анализа происшествий в данной отрасли;
  • анализа статистики происшествий для данного района, города и региона;
  • анализа мирового опыта для данной сферы деятельности.

3. Взаимодействие функций защиты

Три основные функции защиты должны обеспечить противодействие угрозам на всех этапах их действий, а именно - на этапе возникновения и формирования угроз, проникновения на объект и дальнейшего продвижения к наиболее важным его участкам, а в случае преодоления угрозами систем отражения должны сработать системы ликвидации. При этом действия систем обнаружения, отражения и ликвидации должны быть взаимно согласованы и степень их взаимодействия существенно влияет на обеспечение безопасности банковского объекта.

3.1. Рубежи и зоны безопасности

Поскольку любая защита действует в ограниченном пространстве (внутри территории, здания, помещения, линий коммуникации и т.п.), необходимо четко и однозначно определять границы пространства, защищаемого от угрозы. Эти границы называют рубежами защиты, а область пространства внутри замкнутого рубежа защиты называется зоной безопасности. Иными словами, зона безопасности защищена по периметру рубежами защиты.

Рубежи защиты должны быть. оборудованы инженерно-техническими средствами. В простейшем случае это стены, заборы и другие ограждения, двери, решетки и ставни на окнах и т.п. Совершенно очевидно, что преодоление рубежа защиты - это первое, что должен сделать, например, злоумышленник. На этом этапе ему противодействуют системы обнаружения и отражения угрозы. Если он обнаружен, то должны приводиться в действие системы ликвидации. Их применение будет возможно только при условии, если время, требуемое на их применение, не превышает времени, которое требуется для преодоления средств отражения. Рассмотрим возможные ситуации для угрозы несанкционированного проникновения:

1. Субъект (нарушитель) угрозы обнаружен на рубеже защиты.

а) факт обнаружения субъекту неизвестен, например, злоумышленник не знает, что рубеж защищен охранной сигнализацией. Субъект преодолевает средства отражения угрозы на данном рубеже (взламывает замок, решетки, и т.п.), на что требуется время Т1 .По факту обнаружения "запускается" система ликвидации, например, вызывается и направляется в соответствующее место объекта тревожная группа, на что требуется время Т2. Если Т2>Т1, злоумышленник успевает проникнуть в зону безопасности и , возможно, реализовать угрозу. Если Т2<Т1, угроза не реализуется. Отсюда следует очевидное требование: средства отражения должны обеспечивать такое время преодоления их угрозой, чтобы оно превышало срабатывание (действия) средств ликвидации;

б) факт обнаружения субъекту известен. Очевидно, стратегия злоумышленника будет заключаться в том, чтобы покинуть зону безопасности. В этом случае угроза не реализуется. Если для того, чтобы покинуть зону, опять требуется преодолеть средства отражения, то справедливы выводы в ситуации а).

2. Субъект не обнаружен на рубеже зоны безопасности и он преодолевает средства отражения, а средства ликвидации не срабатывают. "Успех" злоумышленника зависит от времени преодоления средств отражения: если это время оценивается злоумышленником как значительное, он может отказаться от реализации угрозы.

Такое взаимодействие должно быть реализовано по всему периметру зоны безопасности, т.е. по всему рубежу. Если на каком-то участке рубежа одной из составляющих защиты нет или какая-то функция защиты отсутствует, это означает возможность для прохождения угрозы. Если система защиты на данном рубеже присутствует или сработала соответствующая ее функция, то это означает успех для защиты.

4. Основные принципы построения системы защиты

Средства защиты сложным образом взаимодействуют друг с другом, с субъектом угрозы и с объектом зашиты. Эффективность их применения зависит от местных факторов, объективных и субъективных условий. Типы средств защиты многообразны и различны по принципам построения, функциональным возможностям и стоимости. Эти и другие особенности определяют два важных вывода:

1. Защита должна проектироваться как единая система. Для этого применяются системотехнические методы проектирования.

2. Система защиты должна строиться с учетом определенных принципов, обеспечивающих эффективность ее создания и эксплуатации. При этом учитывается выводы, сделанные в предыдущих разделах .

Построение системы защиты объекта должно основываться на следующих основных принципах: комплексности, эшелонирования, равнопрочности рубежа, разумной достаточности и непрерывности.

ПРИНЦИП КОМПЛЕКСНОСТИ означает, что при построении системы защиты необходимо учитываться все угрозы, способные нанести ущерб банковскому объекту, а выбранные системы, средства и методы защиты должны функционировать согласовано как единый механизм защиты, взаимно дополняя друг друга в функциональном и в техническом смысле. Особое внимание должно уделяться обеспечению "стыков" между разными средствами защиты.

ПРИНЦИП ЭШЕЛОНИРОВАНИЯ заключается в создании нескольких последовательных рубежей защиты таким образом, чтобы наиболее важная зона безопасности банка находилась внутри других зон:

ЗОНА № 1 Периметр территории здания
ЗОНА № 2 Периметр здания банка
ЗОНА № 3 Прием посетителей
ЗОНА № 4 Служебные кабинеты
ЗОНА № 5 Руководство Хранилища банка Депозитарий

Тогда вероятность реализация угрозы Q в зоне 5 (наиболее важный участок банка) будет зависеть от вероятностей преодоления рубежей Rl, R2, R3, R4, R5, т.е. будет равна произведению:

Q5 = P(Pl)*P(P2)*P(P3)*Р(Р4)*Р(Р5 )

Поскольку Р( Ri)<1, то вероятность Q уменьшается с ростом числа рубежей, т.е. с увеличением степени эшелонированности зон.

ПРИНЦИП РАВНОПРОЧНОСТИ требует, чтобы все участки всех рубежей, защищающих зону безопасности, были равнопрочными с точки зрения вероятности реализации угрозы . Если в рубежах есть слабые, плохо защищенные, места и злоумышленнику это известно, то никакие эффективные меры защиты на остальных участках не защитят эту зону безопасности.

ПРИНЦИП РАЗУМНОЙ ДОСТАТОЧНОСТИ заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать "абсолютную" защиту. При достаточном количестве средств и времени можно преодолеть любую защиту. Высокоэффективная система защиты стоит дорого, поэтому важно выбрать тот достаточный уровень, при котором риск и размер возможного ущерба находились бы в разумных пределах.

ПРИНЦИП НЕПРЕРЫВНОСТИ требует, чтобы в процессе функционирования системы защиты не было перерывов в ее работе, вызванных ремонтом, сменой паролей и т.п., которыми может воспользоваться субъект угрозы.

5. Средства и методы, используемые в системы защиты банковских объектов

На практике выделяют несколько групп средств и методов, используемых в системе защиты государственных и коммерческих объектов, которые также используются и в системе комплексной защиты банков:

1. Организационно-правовые
2. Инженерно-технические
3. Информационно-технологические
4. Оперативно-технические
5. Моральное-психологические
6. Специальные

5.1. Организационно-правовые средства

Организационно-правовые средства и методы регламентируют весь технологический цикл работы банка, от методики подбора кадров и приема их на работу, например, на контрактной основе, до положений о функциональных обязанностях любого банковского сотрудника. Каждая банковская инструкция или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы комплексной защиты банка. Для государственных и коммерческих банков, их отделений, на сегодняшний день разработано большое количество нормативов, инструкций, положений и рекомендаций, авторами которых являются Минфин и ЦентроБанк. Как надо банкам жить и работать - пишут сегодня различные государственные структуры: Налоговая Служба, МВД, ФАПСИ, ФСБ и др, а также негосударственные, например, Ассоциация Российских Банков.

Разобраться в большом количестве нормативов и советов достаточно сложно, тем более, что далеко не каждая рекомендация может быть применима банками на местах в "чистом" виде, без корректировки с учетом местных особенностей. Для оценки и корректировки всех регламентирующих банковскую "жизнь" документов с точки зрения комплексной системы защиты практикуется создание Совета по безопасности при руководстве банка. В экспертную группу Совета по безопасности могут входить как Высококлассные специалисты данного банка, так и опытные консультанты из других организаций. После рекомендаций Совета по безопасности руководство банка. Совет директоров утверждают инструкции, нормативы и рекомендации, которые далее приобретают форму приказов для всего персонала банка и его отделений.

Служба безопасности банка является одним из важнейших подразделений (в дальнейшем СБ), главной задачей которой является создание и поддержание условий деятельности банка, необходимых для безопасности его персонала и посетителей, сохранности всех материальных ценностей и безопасности информации в различных ее видах.

Для обеспечения таких условий, как говорилось ранее, создается комплексная система банковской защиты. Детальные задачи СБ формулируются в Положении о СБ конкретного банка, которое готовится с учетом основных направлений деятельности данного банка и его финансовых потенциалов, специфики региона и нормативов его администрации.

В настоящее время достаточно широко практикуется вовлечение СБ во все банковские направления деятельности, в том числе в кредитование, в сферу оценки рисков, в информационно-аналитическую, кадровую работу и др. Такое положение, когда на СБ возлагается слишком много функций, может привести к серьезным просчетам, к "размыванию" ответственности в принятии стратегических решений. В тех банках, где существует контроль и участие со стороны С Б в деятельности всех подразделений банка часто делает СБ трудно управляемой организацией, может быть причиной кризиса и даже банкротства. Оптимальной является ситуация, когда, например, отдел кадров или информационно-аналитическая служба банка (его внешняя разведка), ведущая в том числе и работу против конкурентов, независимы от СБ и подчиняется непосредственно руководству банка, Совету по безопасности.

5.2. Инженерно-технические средства

Инженерно-технические средства и методы - это аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз банковскому объекту, создания преград на пути их распространения и для ликвидации угроз. Инженерно-технические средства и методы составляют основу, фундамент комплексной системы защиты; их качество и надежность во многом определяют уровень безопасности банка и его помещений, каждого рабочего места в нем. Охранно-пожарная сигнализация, охранное телевидение, охранное освещение, системы контроля доступа, аппаратура зашумления помещений, генераторы радиопомех и др. должны взаимно дополнять друг друга, их сильные и слабые стороны необходимо учитывать при построении комплексной системы защиты.

Основные инженерно-технические средства, их типы и состав для банковских объектов рекомендуется правоохранительными органами и Центральным Банком. Необходимость оснащения банка дополнительными средствами, такими, например, как радиосвязь, укрытие автомашины инкассации и т.п., а также специальных средств, например, для поиска техники подслушивания, определяется на местах руководством банка по рекомендации СБ, с учетом направлений деятельности банка и вероятности соответствующих угроз, финансовых потенциалов банка и нормативов местной администрации.

5.3. Информационно-технологические средства

Информационно-технологические средства и методы относятся к сфере защиты электронной информационной сети. В настоящее время большинство служащих банка имеет в своем распоряжении электронное рабочее место - персональный компьютер с дополнительными устройствами ввода и вывода информации (сканеры, принтеры, модемы и др). С его помощью ведётся ввод, хранение, обработка и вывод необходимой информации - т.н. базы данных. Электронное рабочее место может быть подключено к локальной банковской компьютерной сети, через которую будет осуществляться выход в межбанковскую и далее в международную сеть.

Средства и методы этой группы защиты предусматривают классификацию циркулирующей в компьютерной сети информацию на:

  • конфиденциальную информацию, передача или утечка которой к посторонним лицам повлечет за собой ущерб банку, его персоналу;
  • критическую информацию, отсутствие или порча которой сделает невозможной повседневную работу персонала и всего банка в целом.

Безопасность информации невозможно обеспечить отдельно, без защиты всей компьютерной техники, коммуникаций и применяющихся программ. В связи с эти все технические средства обработки информацией, программное обеспечение и базы данных объединяют в понятие ресурс, безопасность которого будет зависеть от таких характеристик, как:

а) конфиденциальность - способность ресурса быть доступным только пользователям банка, имеющим на это разрешение и недоступным всем остальным;

б) целостность - способность ресурса быть полным, неизменным и работоспособным во все необходимые периоды работы пользователей банка;

в) доступность - способность ресурса быть в нужном для пользователя месте, в нужное для него время и в нужной форме. Все сотрудники банка, занимающиеся вопросами безопасности ресурса, должны иметь четкие правовые инструкции, в которых оговорены с одной стороны вся их разрешенная работы с ресурсом, а с другой стороны последствия противоправных действий с ресурсом.

5.4. Оперативно-технические средства

Оперативно-технические средства и методы предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность банка, его персонала и технологий банковской работы. Использование таких средств и методов, как контроль городских телефонных линий, конспиративная запись разговоров на магнитофон или с помощью радиомикрофонов, скрытое видео наблюдение и документирование действий посетителей и персонала банка в определенные моменты времени и др. может в значительной мере способствовать раннему обнаружению и ликвидации таких угроз как хищения и шпионаж, халатное или злонамеренное не выполнение должностных инструкций, приводящих к ущербу и т.п.

Работа с оперативно-техническими средствами проводится, как правило, сотрудниками СБ банка из числа бывших офицеров спецслужб с помощью разнообразной аппаратуры и приспособлений. Правомочность таких оперативно-технических мероприятий может определяться с учетом контрактной основы работы персонала банка, наличия в банке специфических участков, таких как операционный зал, кассы, комнаты пересчета, инкассационные помещения, депозитарий, хранилища и др.

К этой группе относится и поиск техники подслушивания и съема информации. Такая работа проводится с использованием специальных, конфиденциальных методов и средств.

5.5. Морально-психологические средства

Морально-психологические средства и методы включают в себя мероприятия СБ по работе как с персоналом и посетителями банка, так и с категорией лиц вне банка, сведения и действия которых оказывают могут оказать существенное влияние на безопасность банка, его персонала, ценностей и информации. К таким мероприятиям относят:

1. Проведение периодических инструктивных совещаний с персоналом банка по различным аспектам безопасности, разбор имевших место происшествий, аварий, нарушений инструкций, ознакомление с текущей открытой и закрытой информацией о преступлениях в отношении банков.

2. Обязательное ознакомление всего персонала банка "под расписку" с основными, текущими и персональными приказами и распоряжениями руководства как по нарушениям в отношении системы защиты, так и по фактам предотвращения ущерба и поддержания должного уровня безопасности сотрудниками банк.

3. Периодическая проверка знаний должностных инструкций и рабочих нормативов сотрудниками СБ и лицами, имеющих отношение к системам безопасности и работающих с конфиденциальной информацией. Проведение периодических тестирований персонала.

4. Периодический контроль, в том числе и медицинский, психофизиологического состояния сотрудников наиболее важных и секретных участков банка.

5. Оборудование наиболее важных участков банка открытыми, демонстративными и фальшивыми (ложными) средствами безопасности, сопровождая их предупредительными надписями и рекомендациями.

Наряду с этим, существенным моментом поддержания необходимого уровня безопасности банка может быть работа руководства СБ банка с информаторами как из числа лиц, работающих в наиболее важных и секретных подразделениях банка, так и вне банка, в его окружении. Практика показывает, что информатор-осведомитель часто бывает единственным источником упреждающих (обнаруживающих) сведений об грозах, чреватых большим ущербом для банка и его руководителей.

Такая работа должна проводится сотрудниками СБ, имеющими соответствующий опыт с использованием приемов конспирации, материального поощрения, продвижения информаторов на ответственные участки системы защиты банка.

5.6. Специальные средства и методы

Специальные средства и методы используются для получения, сбора и анализа информации о конкурентах и фирмах, представляющих источник опасности для банка. Для подобного рода "разведывательной" деятельности может быть создано отдельная от банка, "независимая" фирма или "информационное бюро", укомплектованное бывшими оперативными работниками правоохранительных органов.

Заключение

Эффективность системы комплексной защиты банка может быть обеспечена путем рационального сочетания всех рассмотренных функций, средств и методов. Они должны объединяться в единый, целостный механизм защиты, создание которого лучше всего вести параллельно с проектированием и строительством банковского объекта.

Функционирование системы комплексной защиты должно планироваться и обеспечиваться, в том числе и финансами, наряду с планированием и обеспечением жизнедеятельности всего банка. При этом необходимо периодически проверять качество и надежность всей системы защиты.

Следует учитывать и то обстоятельство, что на каждом участке системы защиты задействован человек. Следовательно, важнейшим фактором, способствующим обеспечению безопасности, является личная заинтересованность персонала в надежном функционировании защиты. Разумная кадровая политика руководства банка, воспитывающая стремление к стабильности в сочетании с материальной заинтересованностью у всего персонала банка будет залогом эффективной работы системы комплексной защиты в качестве надежного барьера на пути нарушителей, злоумышленников и других многочисленных проблем сегодняшней российской действительности.

Статья опубликована на сайте: 25.04.2000


Яндекс.Метрика