Каким предметам во время обучения нужно уделять повышенное внимание, во многом зависит от того, где студент по окончании вуза собирается работать и в каком качестве себя видит. Но невозможно умозрительно угадать, как и в какой степени будут применяться на работе получаемые знания, умения и навыки. Чтобы сделать учёбу более эффективной, с особенностями будущей профессии лучше знакомиться ещё на студенческой скамье. В том числе и тем, кто получает высшее образование по специальностям, связанным с защитой информации.

ОАО АКБ «Росбанк» и компания «Аладдин Р.Д.», ведущий российский разработчик решений по информационной безопасности, объявили об успешном внедрении электронных ключей eToken ГОСТ в системе «Интернет Клиент-Банк» (ИКБ), позволившем существенно повысить безопасность дистанционного банковского обслуживания корпоративных клиентов.

Кредитные организации в России в настоящий момент предоставляют широкий спектр услуг как предприятиям и организациям, так и частным лицам. Если ранее банки были в основном заинтересованы в привлечении крупных клиентов из числа юридических лиц, то сейчас, в связи с ростом благосостояния населения, банки стремятся заработать и на обслуживании физических лиц. Одним из необходимых условий для кредитных организаций при привлечении физических лиц на обслуживание является удобство взаимодействия потенциального клиента с банком.

Говорить об опасности транзакционных систем в интернете стало модным, говорить о безопасности в системах дистанционного банковского обслуживания (ДБО) – неинтересным, потому что до сих пор есть существенные проблемы принципиального характера, которые в теории имеют решение, а на практике – увы, нет. Однако…

Системы фрод-мониторинга, разработка которых была начата 2 года назад, сейчас используются большинством банков. Но опыт активного противодействия банков хакерам актуален по-прежнему. К сожалению, среди граждан недостаточно широко распространено ответственное отношение к информационной безопасности собственных электронных кошельков. Ситуация, с которой довелось столкнуться, − типичная, с подобными хорошо знакомы во всех банках. Описываемая история началась в ноябре 2009 года: служба информационной безопасности банка выявила попытку несанкционированного перевода денег со счета клиента через систему дистанционного банковского обслуживания.

Преимущества быстрых, простых и удобных электронных расчётов, которые прочно вошли в нашу жизнь, реализуются только при надёжной защите от хищений. Но информационная безопасность банков обеспечивается не только техническими средствами и организационными мерами, но и распределением ответственности между банками и клиентами. Этот баланс после принятия 27 июня 2011 года федерального закона «О национальной платежной системе» приходится выстраивать заново.

Ведущие банки Кабардино-Балкарской Республики в кратчайшие сроки привели свои информационные системы в соответствие с положениями федерального закона о персональных данных №152-ФЗ с учетом поправок, принятых Государственной думой РФ в июле 2011 года.

Юридическую значимость электронного документооборота в корпоративных и внешних информационных системах обеспечивает работа Удостоверяющего центра (далее – УЦ) и применение средств ЭЦП. Представляемый опыт разработки комплекса нормативного обеспечения PKI-инфраструктуры был наработан в сфере банковской деятельности. В том числе – обеспечения юридически значимого электронного документооборота внутри организации, дистанционного банковского обслуживания и работы платежных систем (за исключением платёжных карт).

Новый Федеральный закон «Об электронной подписи» от 6 апреля 2011 года № 63-ФЗ отличается от старого, об электронно-цифровой подписи, радикально: поменялись не только отдельные конкретные нормы, но и вся основополагающая терминология и понятийный аппарат. Какие мероприятия необходимо осуществить в банке за оставшееся до дня «Ч» время, чтобы после вступления в силу «нового» закона продолжить работу систем, построенных согласно требованиям «старого», и сохранить юридическую силу документов, подписанных ЭЦП?

Информационная защита электронных платежей, а значит, и банковское дело, и рыночная экономика, в наши дни были бы невозможны без электронной подписи (ЭП), которая является техническим средством не только идентификации участников расчётов, но и информационной защиты. Ведь открытая информационная среда в условиях рынка наполнена субъектами с противоположными интересами, а потому зачастую является недружественной и даже враждебной. Принятие 6 апреля 2011 года федерального закона«Об электронной подписи» № 63-ФЗ делает опыт применения и стандартизации этого средства защиты электронных платежей, наработанный Банком России, не просто интересным, но и актуальным, востребованным всеми кредитно-финансовыми учреждениями.

Информационная безопасность банковских процессов должна обеспечиваться в высшей степени надёжно, на серьезном государственном уровне. Именно поэтому стандарт информационной безопасности Банка России является рабочим инструментом для специалистов по IT-безопасности ОАО «ФОНДСЕРВИСБАНК», который одинаково успешно обслуживает как предприятия малого и среднего бизнеса, так и крупные высокотехнологичные производства отечественного оборонно-промышленного комплекса.

Атака на экран - угроза для дистанционного банковского обслуживания сравнительно новая, «свежая». Из компаний, работающих на рынке технических средств информационной защиты, никто не поспешил браться за разработку нового приспособления. Сотрудникам Банка Москвы пришлось «тряхнуть стариной», вспомнить прежние профессиональные навыки и попробовать самостоятельно создать столь нужное техническое устройство.

Штрафные санкции − не самые худшие из неприятностей, которые грозят банку, не соответствующему требованиям международного стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard − PCI DSS).

Особенностью крупных универсальных банков является наличие большого количества используемых информационных ресурсов (задач). В частности, Автоматизированная информационная система ОАО Банк ВТБ (АИС ВТБ), включает несколько сотен задач, в каждой из которых выделяются типовые наборы полномочий – роли пользователей.

Принятие в июне 2010 года комплекса документов Банка России в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (Комплекс БР ИББС) широко обсуждалось в банковском сообществе.

В сфере информационной безопасности принцип неизбежности не подразумевает обязательного наказания, если произошла ошибка, а не было сознательного нарушения. Неотвратимость обнаружения инцидента обязывает их автора своевременно сигнализировать о сделанной ошибке, чтобы предупредить каскад негативных последствий.

Банкам, поскольку они являются операторами персональных данных клиентов и сотрудников, Федеральный закон от № 152-ФЗ «О персональных данных» предписывает внедрение соответствующей системы информационной защиты − комплекса организационных мер и технических средств.

Для дистанционных банковских услуг риск правовой (legal risk), вынужденного обслуживания возможных убытков − среди самых значимых. Согласно рекомендациям Базельского комитета по банковскому надзору и регулированию (Basel II) и требованиям Европейского банка реконструкции и развития (ЕБРР), кредитная организация рассматривает правовой риск как составную часть операционного. Чтобы свести правовые риски к минимуму, кредитные организации должны выстраивать эффективные системы риск-менеджмента.

С проблемой мошенничества при дистанционном банковском обслуживании автору на практике впервые довелось столкнуться полтора года назад, в марте 2009 года. Когда клиент обратился в банк, обнаружилось несовпадение выписок. Как такое могло случиться, если выполняются требования сертифицированной криптографии, строгие регламенты обращения с ключевой информацией.

Информационная защита минимизирует многочисленные информационные, организационные и правовые риски, среди которых − разглашение банковской, коммерческой тайны и хищение денежных средств. В то же время меры и средства защиты не должны тормозить работу банков и критически повышать цену обслуживания клиентов.

В середине 2010 года Банк России ввел новую редакцию комплекса документов «Обеспечение информационной безопасности организации банковской системы РФ» (Комплекс БР ИББС), разработанный с учетом требований закона о персональных данных (152-ФЗ), тем самым усилив его роль в качестве отраслевого стандарта.

Угрозы информационной безопасности чреваты для банков разнообразными видами ущерба различной степени тяжести, а также и иных негативных последствий. Хищения хакерами клиентских денег, вызванные утечкой конфиденциальной информации, всегда чреваты незапланированными расходами на покрытие судебных издержек по искам пострадавших и выплаты им компенсаций

В последнее время атаки на системы ДБО не просто участились, но совершаются при помощи новых, всё более изощрённых и успешных технологий. Новые угрозы – не повод разочаровываться в удобном и перспективном сервисе, без которого многие уже не могут представить жизнь.

Не все воры пока поняли, что кража денег клиентов в системе дистанционного банковского обслуживания сейчас – настоящее золотое дно. Условия для роста этого вида преступлений очень комфортные, чуть ли не тепличные. Ничтожные затраты, легко и повсеместно доступный инструментарий, очень ощутимый выигрыш, высочайшая рентабельность при максимальном чувстве безнаказанности.

Отдельные недостаточно продуманные решения способны значительно подпортить эффект самых благих начинаний. Образование Таможенного союза России, Белоруссии и Казахстана – шаг, безусловно, прогрессивный. Правоприменительная практика в части ввоза средств шифрования разъяснена письмом Федеральной таможенной службы № 01-11/6832 от 15 февраля 2010 года.

Четвёртый день конференции был посвящен применению облачных и мобильных технологий в деятельности банков − вот такой «облачный день в солнечную погоду». В целом у меня сложилось впечатление, что данная тема была преждевременной для столь глубокого обсуждения в течение целого дня. Оказалось, что большинство докладчиков в публичные облака не верит, при этом активно предлагая средства защиты для них.

Противодействие хищениям денежных средств со счетов клиентов кредитных организаций с использованием дистанционного банковского обслуживания (ДБО) и обеспечение безопасности систем ДБО − тема, безусловно, актуальная для всех кредитных организаций. Именно этой теме был посвящен третий день деловой программы форума.

На тематическом заседании № 2 были представлены доклады всего спектра участников конференции – банков, в том числе Банка России, регуляторов и поставщиков продуктов и услуг. Основным на заседании № 2 был доклад заместителя начальника ГУБиЗИ А.П. Курило о, пожалуй, наиболее значимом событии прошедшего года в области стандартизации вопросов информационной безопасности банков. Андрей Петрович рассказал о создании приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2010 года № 5527 на базе Банка России Технического комитета ТК 122 «Стандарты финансовых операций», который является аналогом международного технического комитета ISO-TC 68.

Первый день Уральского форума, программа которого занимает несколько дней, поневоле оказывается самым насыщенным и «установочным». Тематическое заседание № 1, посвящённое обеспечению информационной безопасности Национальной платёжной системы, открыли доклады ведущих отраслевых регуляторов. Целый ряд выступлений сделали представители Банка России, различных его подразделений и региональных отделений, а также поставщиков продукции и услуг.

13 − 18 февраля 2012 года в Республике Башкортостан прошла IV Межбанковская конференция «Уральский форум: Информационная безопасность банков». Участники ключевого отраслевого делового мероприятия отметили: стремительное расширение сектора электронных финансовых услуг сопровождается ростом угроз хищений. Итогом форума стала договорённость о слаженной совместной работе для обеспечения надежной защиты денег клиентов и противодействия организованной IT-преступности.

Главную опасность для России в XVII веке представляли разведывательные службы Швеции, Польши и Турции как наиболее враждебных тогда государств. Активный «хозяйственный» шпионаж вели у нас и нейтральные Англия, Франция, Голландия, германские государства и римский папа. «Шпионские скандалы» привели к пониманию необходимости создания «экономической контрразведки», главную роль сыграли Посольский и Разрядный приказы. Мероприятия включали в себя засекречивание государственной переписки, цензуру, наблюдение за подозрительными иностранцами, и т.д., что позволяло в целом эффективно пресекать действия западных спецслужб.

Новый федеральный закон «Об электронной подписи» № 63-ФЗ от 6 апреля 2011 года, обеспечив большую степень соответствия отечественной электронной подписи с законодательством иностранных государств, одновременно повысил статус различных суррогатов подписи, не позволяющих строить полноценный электронный документооборот.

Финансовая выгода применения технологий голосовой биометрии состоит в предотвращении финансовых или иных потерь, по сравнению с которыми затраты на такой способ обеспечения безопасности более чем оправданы. В частности, чип на кредитной карте с параметрами голоса владельца может обеспечить предотвращение ее несанкционированного использования в банкоматах, снабженных системой верификации. Внедрение эффективной системы подтверждения личности по голосу, подобной описанной ниже, позволит юридическим организациям и физическим лицам существенно повысить безопасность управления финансовыми и информационными ресурсами.

Для эффективного решения задач обеспечения информационной безопасности специалистам необходимо иметь актуальную информацию о доступных в настоящее время продуктах и услугах, позволяющим снизить риски информационной безопасности до приемлемого уровня. Чтобы удовлетворять потребности специалистов в такой актуальной информации и предоставить поставщикам возможность довести её до потенциальных потребителей, на отраслевом портале «Информационная безопасность банков» www.ib-bank.ru создан Каталог решений и услуг в сфере информационной безопасности http://www.ru-ib.ru.

Современные технологические возможности превращают персональные данные во всё более желанный объект покушений злоумышленников. Незаконное копирование частной информации, включая логины, пароли, коды и ключи доступа к банковским счётам, угрожает уже не только нарушением тайны личной жизни и ущербом деловой репутации, но и прямой потерей денег. Поскольку защита личной информации клиентов становится всё более важной для обеспечения информационной безопасности кредитно-финансовой сферы, представители банков приняли активное и заинтересованное участие в II Международной конференции «Защита персональных данных», проведённой Роскомнадзором 26 октября 2011 года в Москве, в Международном выставочном центре «ИнфоПространство».

Пытаясь представить Красную Поднебесную чуть ли не «пиратским королевством» хакеров, угрожающих безопасности международных электронных расчётов, глобальные средства массовой информации время от времени пугают аудиторию различными «страшилками». Как же в действительности обстоят дела с развитием передовых банковских сервисов, в частности дистанционного обслуживания, в Китайской Народной Республике, что делается для обеспечения их информационной безопасности?

Уже с XII века на Руси политическая и деловая, в том числе торговая, корреспонденция стали немыслимой без тайнописи. Секретные директивы своих хозяев контрагентам по городам и весям возили приказчики. Центрами развития национальной криптографии, сначала на бересте, потом на бумаге стали, естественно, духовно-политические центры, очаги грамотности и культуры монастыри.

16 июня в Москве в выставочном центре «ИнфоПространство» прошла однодневная конференция «Вопросы применения и соответствия стандартам PCI DSS / PA DSS», посвящённая соотношению двух стандартов информационной безопасности − международного и отечественного, разработанного Банком России, обсуждению перспектив интеграции их требований.

Одними из ключевых моментов в информационном обществе являются идентификация и аутентификация участников взаимодействия. Какова методология решения этой проблемы, которая определяет особенности функционирования электронного правительства и, конечно, обеспечения информационной безопасности кредитно-финансовой системы?

В Уральском государственном университете им.А.М. Горького (УрГУ) завершились V всероссийские межвузовские студенческие соревнования по защите информации RuCTF 2011. В этом году в финале соревнований впервые проводилась школа CSEDays.Theory 2011 − «Информационная безопасность и криптография».

В информационной безопасности, как во многих других областях, кадры решают всё. Как обстоит дело с их подготовкой, насколько она отвечает поставленным задачам?

III Межбанковская конференция «Информационная безопасность банков», прошедшая 14-19 февраля 2011 года, ознаменовала важный этап развития отрасли.

Третья по счёту ежегодная межбанковская конференция «Информационная безопасность банков», проходящая 14-19 февраля 2011 года традиционно в Республике Башкортостан, наглядно демонстрирует динамичное развитие отрасли.

Время от времени полезно вспоминать, как зарождались исторически современные информационные угрозы в финансовой сфере, рассматривать их в самом простом, исходном виде. C зарождения товарно-денежных отношений, появления монетного и банкирского дела ни частные лица, ни, увы, представители государственной власти не брезговали технологиями обмана.

На I Международной конференции «Защита персональных данных», проведенной 27-28 октября 2010 года в Подмосковье, обсуждался широкий круг вопросов, актуальных для российских компаний и структур, попадающих под юрисдикцию ФЗ-152 «О персональных данных».

Странствовать по Европе недёшево, и я распихал запас евро-наличности по потайным уголкам рюкзака. Мои спутницы, подружки-однокурсницы, доверились «пластику», взяли свои карточки одного из банков, входящего в «топовую десятку». Бывалые путешественницы поступали так и раньше, в вояжах и по старушке Великобритании, и по загадочному Китаю, и по удивительной Африке.

Страхование рисков российских банков в сфере информационной безопасности − предмет на удивление парадоксальный. Давно созрело всеобщее понимание, что подобные услуги нужны и выгодны всем − и банкам, и клиентам, и, разумеется, страховым компаниям.

В розыске и возвращении средств, похищенных преступниками со счетов клиентов банков, эффективной помощи от милиции ждать пока не приходится. Уповать можно только на создание банковским сообществом и государственными регуляторами эффективных механизмов информационной самообороны, – такой вывод следовал из выступлений многих участников конференции «Вопросы обеспечения безопасности национальной платежной системы и дистанционного банковского обслуживания».

Прошедший 2011 год ознаменовался активной нормотворческой деятельностью, направленной на гармонизацию действующего законодательства и совершенствование правовых основ контрольно-надзорной деятельности в области защиты персональных данных. В июле в Федеральном законе № 152-ФЗ от 27 июля 2006 года «О персональных данных» были приняты изменения, коснувшиеся его сферы действия, используемых понятий, принципов и условий обработки персональных данных.

Решение «переформатировать» Сообщество ABISS в НП «АБИСС» с перспективой статуса саморегулируемой организации было одобрено итоговой резолюцией III Межбанковской конференции «Информационная безопасность банков». Работу, которую предстояло проделать, называли тогда «дорогой длиной в год». Какие шаги были сделаны за это время, каковы итоги прошедшего года, насколько удалось осуществить задуманное?

Первое заседание подкомитета №1 «Безопасность финансовых (банковских) операций» технического комитета № 122 «Стандарты финансовых операций», состоявшееся 3 августа 2011 года, показало: стандартизация информационной безопасности банков в нашей стране, в соответствии с международной практикой, все более ориентируется на потребности банков, продвигаясь от защиты информации к защите банковских (финансовых) технологий (операций).

Видимо, в силу высоких темпов развития этих проектов даже представления профессионалов о состоянии работ, основных подходах и направлениях развития проектов программы «Информационное общество» не всегда соответствуют реальной ситуации. В связи с этим хотелось бы рассмотреть, что представляет программа «Информационное общество», каковы её основные особенности, какое место занимает в ней создание электронного правительства.

В современном мире правовая база применения информационных технологий становится всё более глобальной. Зарубежная практика правового регулирования технологичных областей часто опережает отечественную. В частности, в ходе совершенствования российской законодательной базы для реализации концепции информационного общества представляется полезным учитывать европейский опыт регулирования применения электронной подписи и электронной аутентификации.

Для модернизации экономики, провозглашённой высшим руководством государства, нужна организационно-методологическая платформа – важное условие взаимодействия, и в направлении её создания сделаны настоящие революционные шаги. Один из них на пути формирования эффективной организационно-методологической платформы стандартизации – широкое использование международных стандартов и лучших зарубежных практик там, где до настоящего времени не удалось создать современных российских регламентов, стандартов и правил.

Итоги контрольно-надзорной деятельности в сфере защиты персональных данных в 2010 году свидетельствуют: общий объем выявленных нарушений соответствующих норм законодательства в деятельности кредитных организаций остается достаточно высоким. Большинство связано с неправомерной деятельностью по обработке персональных данных, осуществляемой без уведомления уполномоченного органа либо с нарушениями установленного порядка осуществления такой деятельности.

В Республике Башкортостан реализуется проект по созданию автоматизированной информационной системы «Социальная карта Башкортостана», направленный на решение триединой задачи государственного масштаба: целевое использование бюджетных средств, адресная социальная помощь, повышение доступности розничных услуг. Как решается задача обеспечивания информационной безопасности этого масштабного проекта, в том числе многочисленных электронных платежей?

Саморегулирование – один из важнейших механизмов осуществления задач модернизации, сформулированных Президентом России. В основу института саморегулирования положена идеология, выработанная на основе передового мирового опыта

При дистанционном банковском обслуживании – использовании систем электронного, интернет-банкинга – самой желанной целью злоумышленников является секретный ключ цифровой подписи клиента, доступ к которому они всеми силами пытаются получить.

Непосредственной нормативно-правовой базой для отрасли информационной безопасности банков являются три федеральных закона: об электронной подписи, о персональных данных и о лицензировании деятельности, связанной с использованием криптографического оборудования.

Межрегиональная общественная организация «Ассоциация защиты информации» отметила своё 10-летие, проведя 3 апреля 2012 года конференцию «Актуальные проблемы информационной безопасности» в Конгресс-центре Московского технического университета связи и информатики (МТУСИ). Праздничная дата отмечалась в атмосфере «трудовых будней»: участники отрасли явно не собираются почивать на лаврах, а нацелены на решение непростых проблем.

Рисуя портрет типичного хакера, что в профиль, что анфас, не стоит тешить себя иллюзиями, что этот тип легко поддается классификации. Эти люди принципиально терпеть не желают соответствовать какому-то стереотипу. Каждый из них, прежде всего, индивидуалист, и слишком высоко ценит собственную неповторимость, чтобы жертвовать ею, в особенности в угоду какой-то там моде. Что же за личность хакер? «Штучный» типаж трудно подгонять под общие внешние характеристики. Но сами того не желая, многие хакеры имеют схожие взгляды на мир, стиль жизни, привычки и внешний вид.

Приоткроем лишь одну страничку истории финансового клана Ротшильдов − использование основателями династии шифров для защиты важных коммерческих сведений, в том числе при их пересылке. По мере развития капитализма, сопровождавшегося стремительным расширением торговли, информационная безопасность стала необходимой для успеха сделок, и, в особенности − финансовых спецопераций.

В 2011 году отметила 20-летие Ассоциация российских банков – АРБ, ведущий неправительственный общественный регулятор обеспечения информационной безопасности банков. АРБ регулярно проводит специализированные деловые мероприятия, в том числе ежегодную тематическую конференцию, семинары, активно работает профильный комитет – консультационный центр по вопросам выполнения требований отраслевого стандарта. Хорошим импульсом продвижения Стандарта Банка России стало подписание руководством АРБ летом прошлого года так называемого «Письма шестерых».

Каково в наши дни значение IT-технологий в современной финансовой системе в целом и в банковском деле в частности? Как формулируются действующие приоритеты и стратегические перспективы развития? Насколько надёжна защита от информационно-финансовых диверсий и посягательств международной кибер-преступности? На эти вопросы отвечает М.Ю. Сенаторов, заместитель Председателя Банка России, директор Департаментов телекоммуникаций и информационных систем.

В ХХ, юбилейной олимпиаде по криптографии победу завоевала школьница из Подмосковья − ученица 11 класса школы-интерната «интеллектуал» Александра Гаража. Следует отметить, что отечественной традиции поиска одарённых детей при помощи проведения олимпиад школьников уже три четверти века. Банковским кадровикам предлагается надёжный ориентир подбора специалистов по информационной безопасности.

Можно достаточно точно описать место Компании «КАБЕСТ» на рынке информационной безопасности банков, кратко рассказав о ее ключевых заказчиках, государственных органах, и проектах, выполненных для в банковских структур.

Заместитель начальника Главного управления информационной безопасности и защиты информации (ГУБЗИ) Банка России Андрей Петрович КУРИЛО − одна из ключевых фигур в отрасли информационной безопасности банков.

Откуда берутся специалисты по информационной безопасности банков, как они формируют свои профессиональные навыки, какими путями достигают высокого мастерства? Один из них − Фарит МУЗИПОВ, начальник отдела информационной безопасности ООО «АМТ Банк», председатель правления Некоммерческого партнёрства «Партнерство специалистов информационной безопасности», − достаточно авторитетный профессионал в своей области.

О том, как удобно пользоваться дистанционными банковскими услугами, сегодня не знают только те, кто никогда в жизни не подходил к компьютеру. Нужно только помнить, что современные мошенники тоже активно «осваивают» удалённые сервисы, и своя доля ответственности за безопасность электронных платежей лежит не только на банке, но и на клиенте.

В последние годы мы наблюдаем постоянный рост количества преступлений, связанных с использованием систем дистанционного банковского обслуживания (ДБО). По словам специалистов, проводящих расследования подобных преступлений, доход одной отдельно взятой преступной группировки сравним с совокупным бюджетом служб информационной безопасности всех российских банков – и такая оценка не кажется преувеличением.

Практически любой современный банк в том или ином виде предлагает своим клиентам сервисы дистанционного обслуживания, которые, с одной стороны, позволяют не тратить время самого клиента на походы в офис финансовой организации, а с другой – снизить расходы банка на аренду помещений и зарплату менеджеров. Казалось бы, все должны быть довольны, однако на практике все получается несколько сложнее. В первую очередь, из-за вопросов безопасности удаленного доступа.

Сегодня одним из самых востребованных банковских сервисов является дистанционное банковское обслуживание (ДБО). Его распространенность, практически неограниченный доступ к сервису пользователей и связанные с этим проблемы по безопасности привели к серьезным инцидентам и потерям различного рода (репутационным, денежным и т.д.) в этой сфере за последние годы. Из всех преступлений в кредитно-финансовой сфере более половины приходится на мошенничество при ДБО. Поэтому защита этого сервиса является для кредитно-финансовых организаций наиболее актуальной задачей на настоящий момент. Как обеспечить ее наиболее эффективным способом?

Во всем мире все больше банков, в том числе и в России, начинают активно использовать технологии биометрической идентификации. Среди них − Societe Generale, российский Сбербанк, «Народный банк Казахстана», California Commerce Bank, ING и другие гиганты. Чем же привлекают банкиров биометрические системы и как они их используют?

В современном банке системы «Банк – Клиент» давно перешагнули грань информационных систем для управления счетом и стали полноценной системой электронного документооборота между Банком и Клиентом. Принятие Федерального закона об электронной подписи, постепенное внедрение анализа операционного риска, а также Комплекса Стандартов Банка России заставляет по новому взглянуть на эксплуатируемые системы «Банк-Клиент» с целью минимизации риска и стоимости владения с улучшением качества обслуживания и уменьшением требований, по возможности, к рабочему месту Клиента.

Российские банки постепенно приходят к мысли о необходимости вынесения процессинга за пределы сферы своей деятельности, тем самым избавляясь от большей части забот о соответствии стандарту PCI DSS.

Возможно ли увязать требования СТО БР и PCI DSS и обеспечить внедрение стандартов одновременно? Для того, чтобы ответить на этот вопрос, нужно рассмотреть основные отличия каждого из стандарта.

Стандарт PCI DSS разработан ведущими международными платежными системами для снижения уровня фрода, осуществляемого с использованием пластиковых карточек, целью его внедрения является частичный перенос рисков и затрат, связанных с фродом, с платёжных систем на процессинговые центры, банки, мерчантов и других участников платежного процесса.

Под независимостью PCI DSS аудита понимается совокупность многих факторов – независимость аудиторской и проверяемой компаний, персональная независимость аудитора, в том числе отсутствие финансовой выгоды от результатов аудита, отсутствие отношений с проверяемой компанией или конкретными ее сотрудниками, отвечающими за выполнение поверяемых функций и т.п. Одной из наиболее частых причин конфликта интересов в ходе аудита является проверка областей и функций IT-систем, в реализации которых участвовал ранее аудитор.

Заблаговременно нейтрализовать потенциальные информационные угрозы этой индустрии в любой стране помогает выполнение требований стандарта информационной безопасности платежных карт PCI DSS (Payment Card Industry Data Security Standard). Какова сегодняшняя практика применения этих норм в России, в чём проблемы и как они решаются, как оцениваются дальнейшие перспективы? Точка зрения специалистов компании "Энвижн Груп" комментирует эксперт из "Россельхозбанка".

«Вторая волна» глобального кризиса, о возможности которой предупреждают наиболее дальновидные аналитики, не должна застать врасплох специалистов по информационной безопасности банков. В неспокойные времена повышается и активность преступников, и вероятность проведения крупномасштабных финансовых диверсий типа грандиозной аферы с фальшивыми авизо.

В ходе оценки соответствия банка «Возрождение», аудиторской группой было проанализировано более 110 внутренних нормативных документов банка различного уровня, а также собрано и проанализировано более 820 документов-свидетельств выполнения процессов обеспечения информационной безопасности.

Одной из основных задач стандартизации в области ИБ организаций БС РФ является повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

Перед руководством каждого банка рано или поздно встаёт вопрос о принятии и выполнении требований отраслевого стандарта информационной безопасности. Именно тогда приходится решать, пригласить профессионалов − поставщиков решений в лице аудиторов, консультантов и интеграторов или же постараться обойтись собственными силами.

Закупки банками специального оборудования и программного обеспечения для информационной защиты ‑ дело довольно новое. Хотя на рынке уже работают десятки поставщиков такого специализированного оборудования, некоторые банки ещё удовлетворяет работа по старинке.