Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)

МИНОБРНАУКИ РОССИИ

 

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

 

«РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ»

(РГГУ)

 

ИНСТИТУТ ИНФОРМАЦИОННЫХ НАУК И ТЕХНОЛОГИЙ БЕЗОПАСНОСТИ

 

ФАКУЛЬТЕТ ЗАЩИТЫ ИНФОРМАЦИИ

 

 

Кафедра организационно-правовой защиты информации

 

 

ВОЛОДИН АЛЕКСАНДР ВЛАДИМИРОВИЧ

 

Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)»

 

Дипломная работа

студента 5 курса специальности 090103.65

«Организация и технология защиты информации»

 

Допущена к защите в ГАК:

 

Заведующий кафедрой: к.т.н., с.н.с.   ________________ Г.В.Виталиев    «      » ___________ 2013 г.

Научный руководитель: к.т.н., с.н.с.   ________________ В.А.Граник

 

Москва 2013

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Российский рынок дистанционного банковского обслуживания в последние годы динамично развивается. Несколько лет назад основной услугой, предлагаемой банками в сфере дистанционного обслуживания, было обслуживание в системе «Клиент-Банк». В рамках данной системы клиентам предоставляется возможность на своём компьютере создавать платёжные документы, подписывать их электронной цифровой подписью (ЭЦП), отправлять в банк и отслеживать процесс обработки документов в банке. Особенность данной системы: обмен транзакциями между клиентом и банком выполняется при непосредственном модемном соединении компьютера клиента с расчётным центром банка.

Удаленная банковская транзакция – это множество операций, которые сопровождают удаленное взаимодействие покупателя и платежной системы. В качестве примеров удаленных транзакций можно привести оплату товаров через Интернет, использование банкоматов, расчеты в точках продаж. Транзакция включает в себя запрос, выполнение задания и ответ. Однако в случае банковских транзакций эти три составляющие представляют собой реальные деньги, передаваемые по линиям связи. Поэтому вопрос защиты удаленных банковских транзакций является актуальным в настоящее время.

Информационные ресурсы банка формируются путем создания, сбора, обработки, хранения и использования документированной информации, имеющей отношение к банковской деятельности. В работе любого банка образуется большое количество открытой информации и информации ограниченного доступа (конфиденциальной), которая в соответствии с Федеральным Законом РФ «Об информации, информатизации и защите информации»2 подлежит защите.

         Для создания оптимальных условий функционирования своих структурных подразделений и удовлетворения потребностей клиентов банк приобретает и использует информационные системы, информационные технологии и средства их обеспечения.

Многие банки предпочитают решать любой конфликт своими силами и продолжают совершенствовать «силовые» методы охраны материальных ценностей банка и системы инженерно-технической и программной защиты конфиденциальной информации, составляющую в основном сведения, относящиеся к коммерческой тайне банка и коммерческой тайне его клиентов – юридических лиц, а также сведения о персональных данных его клиентов – физических лиц. При этом уделяется мало внимания использованию и совершенствованию организационных мер ЗИ, в частности, проведению работы по созданию совокупности организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих аналитическую работу по выявлению внешних и внутренних угроз информационным ресурсам банка и обеспечивающих планирование организационных мер ЗИ и контроль их выполнения.

Большинство научных и научно-практических изданий выпущенных в последнее время в основном касаются только общих вопросов инженерно-технических, программных и криптографических методов защиты информации без привязки к конкретной организации, в частности, к банковскому учреждению.

Цель работы – выявление особенностей и перспектив дистанционного банковского обслуживания в сфере банковской деятельности, разработка предложений по совершенствованию и развитию удаленных транзакций в российских условиях. 

Исходя из цели дипломной работы необходимо решить следующие задачи: 

• Исследовать современное понятие и сущность дистанционного банковского обслуживания;

-Определить преимущества удаленного  обслуживания перед традиционными  банковскими услугами;

• Изучить особенности безопасности удаленных транзакций в России; 

-Выявить особенности правового регулирования данного сегмента банковской деятельности;

-Определить проблемы безопасности  использования удаленных транзакций;

• Рассмотреть протоколы защиты удаленных банковских транзакций;
• Проанализировать преимущества, выявить тенденции и особенности, оценить перспективы развития дистанционного банковского обслуживания.

Предметом исследования дипломной работы являются различные формы дистанционного банковского обслуживания, предлагаемые российскими банками.

Объектом исследования выступают российские и иные банковские кредитные организации, которые предоставляют организациям дистанционное управление их собственными счетами в режиме реального времени (в частности банк Русфинанс).

Структура дипломной   работы определена ее целями и задачами, и   включает введение, три главы, заключение, список используемых источников и литературы.

       В первой главе рассмотрены общие положения о безопасности информации в кредитно-финансовых учреждениях, в том числе  характеристика основных видов дистанционного банковского обслуживания,

    Вторая глава касается анализа проблем безопасности при реализации банковских транзакций и угроз дистанционного банковского обслуживания.

    В третьей главе рассмотрены основные направления развития дистанционного банковского обслуживания, перспективы развития а также выполнен анализ автоматизированной системы “Клиент-банк” в банке Русфинанс.

В заключении отражены общие итоги исследования данной темы, обобщены результаты и сделаны выводы.

    При выполнении дипломной работы был использован ряд источников, в том числе:

 

1. Федеральный закон РФ «О национальной платежной системе».
2. Федеральный закон РФ «Об информации, информатизации и защите информации».
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».
4. Федеральный закон РФ «О банках и банковской деятельности».
5. Федеральный закон РФ «О безопасности».
6. Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем».
7. Письмо Банка России от 07.12.2007 №197 “О рисках при ДБО”.
8. Письмо Банка России от 30.01.2009 №11-Т “О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем Интернет-банкинга”.
9. Гражданский кодекс РФ.
10. Трудовой кодекс РФ.

   В числе основной литературы, использованной при выполнении дипломной  работы, можно выделить:

      - книгу «Безопасность коммерческого банка» ( авторы Гамза В.А. и Ткачук И.Б.), в которой рассматриваются необходимые правовые и организационные условия защиты интересов банка, в том числе защиты от посягательств на сведения конфиденциального характера и компьютерную информацию банка;

        - книгу «Основы банковского права» (автор Олейник О.М.), в которой анализируются понятия, содержание и возможности банковского права, проблемы правового статуса коммерческих банков, вопросы банковской информации и банковской тайны.

      - книгу «Банковское право РФ» (авторы Тосунян Г.А., Викулин А.Ю., Экмалян А.М.), в которой подробно исследованы предмет, принципы и методы правового регулирования сферы банковской деятельности, структура и источники банковского права, в том числе банковская тайна.

      -работу «Защита информации: проблемы теории и практики» (автор Шиверский А.А), в которой  рассматриваются вопросы защиты конфиденциальной информации и ряда видов тайн.

    Полный список использованных источников, литературы и статей из периодических изданий будет приведен в конце работы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1. УДАЛЕННЫЕ БАНКОВСКИЕ ТРАНЗАКЦИИ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ

1.1.Общие положения о кредитно-финансовых учреждениях

 

Правовое положение и специфика управления кредитно-финансовых учреждений регулируются не только общими нормами ГК РФ и Конституции РФ, но и нормами специального законодательства. К категории узкоспециализированных нормативных актов можно отнести Федеральный закон «О банках и банковской деятельности» и Федеральный закон «О Центральном банке Российской Федерации».

При этом не исключены ситуации, когда нормы специального законодательства не соответствуют нормам законов общего характера. В ряде случаев изъяны, допущенные при разработке специальных законов, а также слишком узкое (широкое) толкование норм этих законов приводят к тому, что, будучи призванными дополнять содержание законов общего характера, специальные законы, напротив, серьезно усложняют применение тех или иных норм. Такие проблемы нередко возникают и при применении норм банковского законодательства.

Согласно Федеральному закону № 395-1 от 02.12.1990  (ред. от 07.05.2013)  «О банках и банковской деятельности» кредитная организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные вышеуказанным Федеральным законом.

Банк – кредитная организация, которая имеет исключительное право осуществлять следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц.

Небанковская кредитная организация – кредитная организация, имеющая право осуществлять отдельные банковские операции, предусмотренные Федеральным законом № 395-1 от 02.12.1990г.(ред. от 07.05.2013)  «О банках и банковской деятельности». Допустимые сочетания банковских операций для небанковских кредитных организаций устанавливаются Банком Росии.

В данной дипломной работе кредитно-финансовые учреждения будут рассматриваться на примере российских коммерческих банков,а также на примере банка “Русфинанс”. При этом под банком будет пониматься финансово-кредитное учреждение, производящее разнообразные виды операций с деньгами и ценными бумагами и оказывающее финансовые услуги правительству, юридическим и физическим лицам. Спектр оказываемых банком услуг четко регулируется законодательством.

К банковским операциям относятся:

• привлечение денежных средств физических и юридических лиц во вклады и депозиты (до востребования и на определённый срок);
• размещение привлечённых средств от своего имени и за свой счёт;
• открытие и ведение банковских счетов физических и юридических лиц;
• осуществление расчётов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
• инкассация денежных средств, векселей, платёжных и расчётных документов и кассовое обслуживание физических и юридических лиц;
• купля-продажа иностранной валюты в наличной и безналичной форме;
• привлечение во вклады и размещение драгоценных металлов;
• выдача банковских гарантий;
• осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов).

В Российской Федерации в зависимости от спектра оказываемых услуг коммерческие банки можно разделить на универсальные банки, осуществляющие все основные виды банковских операций, инвестиционные банки, специализирующиеся на инвестициях, чаще всего в ценные бумаги и сберегательные банки, специализирующиеся на привлечении средств населения.

 

1.2 Нормативная база и  основные риски дистанционного  банковского обслуживания

 

Услуги по дистанционному банковскому обслуживанию регулируются следующими положениями Банка  России:

• Положение от 26.03.2007 г. № 302-П "О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ"
• Положение от 03.10.2002 г. № 2-П "О безналичных расчетах в РФ".
• Положения от 24.04.2008 г. № 318-П "О порядке ведения кассовых операций в кредитных организациях на территории РФ" (п.2.8 "Организация работы с денежной наличностью при использовании банкоматов, электронных кассиров, автоматических сейфов и других программно-технических комплексов");
• Положения от 23.06.1998 г. № 36-П "О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России";
• Положения от 12.03.1998 г. № 20-П "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России".
• Временное положение от 10.02.1998 г. № 17-П "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями"

Кроме того, необходимо учитывать требования: