Розробка рекомендацій служби безпеки банків щодо протидії витоку банківської таємниці

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Дипломна робота

Пояснювальна записка

«Розробка рекомендацій служби безпеки банків щодо протидії витоку банківської таємниці»

Реферат

Дипломна робота: 72 сторінок, 14 рисунків, 36 джерел.

Об'єкт дослідження: банківська таємниця та процеси витоку її з банківських установ, методи та засоби її захисту.

Мета: розробка рекомендацій щодо протидії витоку інформації, яка класифікована як банківська таємниця, на підставі визначення умов виникнення каналів витоку та сучасник методів і засобів протидії цьому негативному явищу.

Метод дослідження: для досягнення мети дипломної роботи був застосован метод аналізу.

Результати: досліджена нормативна база щодо захисту банківської таємниці; розглянуті загрози банківської таємниці; проаналізовані можливі канали витоку інформації, спеціальні технічні засоби, які застосовуються конкурентами для створення каналів витоку інформації; проаналізовані методи і засоби протидії каналам витоку інформації, які застосовуються в банківській системі; визначені слабкі місця в системі захисту банківської таємниці; висновки щодо усунення цих недоліків, розроблені рекомендації.

Ключові слова: ЗАХИСТ ІНФОРМАЦІЇ, БАНКІВСЬКА ТАЄМНИЦЯ, ЗАГРОЗИ БАНКІВСЬКОЇ ТАЄМНИЦІ, КАНАЛИ ВИТОКУ ІНФОРМАЦІЇ, ТЕХНІЧНИЙ КАНАЛ ВИТОКУ ІНФОРМАЦІЇ, СЛУЖБА БЕЗПЕКИ БАНКУ.

Зміст

Перелік умовних скорочень

Вступ

Розділ 1. Нормативно-правове забезпечення і аналіз предметної області

1.1 Правове регулювання захисту банківської таємниці

1.2 Основні завдання і проблеми захисту банківської таємниці

1.2.1 Визначення банківської таємниці

1.2.2 Відмінність банківської таємниці від комерційної таємниці

Розділ 2. Фізичні основи виникнення каналів витоку інформації

2.1 Класифікація каналів витоку інформації

2.1.1 Агентурні канали витоку інформації

2.1.2 Технічні канали витоку інформації

2.2 Загрози банківської таємниці

2.3 Види спеціальних технічних засобів перехоплення інформації

Розділ 3. Розробка рекомендацій щодо протидії витоку банківської таємниці

3.1 Методи протидії технічним каналам витоку інформації

3.2 Засоби протидії, які застосовуються в банківській системі

3.3 Визначення слабких місць в системі захисту банківської таємниці

3.4 Розробка рекомендацій служби безпеки банків щодо протидії витоку банківської таємниці

Висновки

Список використаних джерел

Перелік умовних скорочень

ДПА - державна податкова адміністрація

ІЧ - інфрачервоний

КВІ - канал витоку інформації

МВС - міністерство внутрішніх справ

НБУ - національний банк України

ПЕМВН - побічні електромагнітні випромінювання і наведення

СБ - служба безпеки

СБУ - служба безпеки України

ТКВІ - технічний канал витоку інформації

Вступ

Банківська таємниця - надзвичайно важливий елемент, під впливом якого корегуються відносини між робітниками банківської сфери. Закріплений законом обов'язок банку щодо збереження таємниці, на думку багатьох науковців є частиною державної системи захисту інформаційного суверенітету України [4].

Необхідною умовою нормального функціонування комерційних банків є збереження банківської таємниці. В законодавстві передбачено право банків на збереження таємниці операцій, рахунків та вкладів своїх клієнтів і кореспондентів та визначено ті підстави, за якими інформація щодо юридичних та фізичних осіб, яка місить банківську таємницю, може бути розкрита банками [2].

Враховуючи те, що в ринкових умовах основним рушієм прогресу є конкуренція, а остання спрямована на створення умов для збільшення прибутку, банківська таємниця за певних обставин стає об'єктом посягання конкурентів. У такому разі інформаційні об'єкти мають бути достатньо захищені з тим, щоб виключити можливість несанкціонованого доступу до них для незаконного використання отриманої інформації.

Слід визначити, що сьогодні існують потужні системи несанкціонованого збору інформації, високоефективні злочинні технічні засоби і фахівці, які якісно та професійно їх застосовують. Діяльність, яка пов'язана з несанкціонованим збором інформації, розкриттям промислових та комерційних таємниць має назву промислового шпигунства. Воно стало розвинутою системою за 5-10 років розвитку ринкових відносин у нашій державі. Ця злочинна система проникла практично в усі сфери діяльності людей [4].

Особливо це ствердження відноситься до банківської сфери, тому можна стверджувати, що робота присвячена рішенню актуальної проблеми.

Розділ 1. Нормативно-правове забезпечення і аналіз предметної області

1.1 Правове регулювання захисту банківської таємниці

У світовій практиці виділяють різні об'єкти, що привертають особливу увагу шпигунів, головними з яких є інформація та носії інформації. Найбільш цікавою для конкурентів банку є інформація, основу якої становить комерційна та банківська таємниця.

Аналізуючи нормативно-правові умови безпеки банківської діяльності в Україні, необхідно зазначити, що спеціального законодавства в цій галузі на сьогодні немає. Україна є однією з небагатьох країн світу, де, незважаючи на значне зростання злочинності, приватний сектор економіки позбавлений права на захист власності, підприємницької діяльності та іміджу своїми силами. Є тільки окремі положення законодавчих та нормативних актів про захист бізнесу [4].

В основу дій банку з охорони його власності покладено Закон України „Про банки і банківську діяльність”. Згідно з його положеннями банкам надається право забезпечувати захист банківської інформації, коштів та майна шляхом створення відповідних систем захисту та служб охорони. Положення Закону створюють привілеї для банків, на відміну від інших підприємницьких структур, яких вони не стосуються. Законодавче регулювання такої форми реалізації заходів безпеки банківської діяльності, як режим, найбільш розвинене з точки зору інформаційної безпеки [28].

В основу організації режиму захисту банківської інформації покладено положення таких законодавчих актів:

- Закону України „Про банки і банківську діяльність” (ст.60 „Банківська таємниця”).

- Закону України „Про інформацію” (ст.30 „Інформація з обмеженим доступом”).

В цілому захист інформації і відповідальність за порушення норм захисту інформації регулюється Кримінальним кодексом України від 05.04.2001р., № 2341-III, Кримінально процесуальним кодексом України від 28.12.1960р., № 1001-05.

Крім того, Законом України від 23.12.2004 № 2289-IV „Про внесення змін до Кримінального та Кримінально-процесуального кодексів України” внесено зміни до Кримінального кодексу, а саме ст.361 та ст.363, відповідно до яких кримінальна відповідальність настає за несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, та зміни до Кримінально-процесуального кодексу, що дають змогу слідчим СБУ проводити досудові слідчі дії за вищезазначеними статтями Кримінального кодексу України [19].

Правовий режим захисту банківської таємниці встановлено Законом України „Про банки і банківську діяльність”. Згідно зі ст.62 названого Закону інформація, що становить банківську таємницю фізичних осіб - клієнтів банку, розкривається банком на письмовий запит або з письмового дозволу власника інформації, а також на письмову вимогу або за рішенням суду. Водночас банківська таємниця юридичних осіб - клієнтів банку, крім зазначених умов, розкривається у таких випадках:

- органам прокуратури України, СБУ, МВС України на їх письмові вимоги щодо операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу;

- органам ДПА України на їх письмову вимогу з питань оподаткування або валютного контролю щодо операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу [28].

Подібним чином визначений і правовий режим захисту конфіденційної таємниці. Відповідно до ч. 3 ст. 30 Закону України «Про інформацію» власникам конфіденційної інформації надано право самим включати її до категорії конфіденційної, визначати режим доступу до неї і встановлювати систему (способи) її захисту [13].

Вимога до запиту на отримання інформації, яка містить банківську таємницю, повинна: бути викладена на бланку державного органу встановленої форми; бути надана за підписом керівника державного органу (чи його заступника), скріпленого гербовою печаткою; містити передбачені цим Законом підстави для отримання цієї інформації; містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.

Обмеження на отримання інформації, яка становить банківську таємницю, не поширюється на службовців НБУ або уповноважених ними осіб, які в межах, передбачених Законом України „Про Національний банк України”, виконують функції банківського нагляду або валютного контролю, а також на випадки повідомлення банками відповідно до законодавства про операції, які мають сумнівний характер, на інші, передбачені законом випадки повідомлень про банківські операції спеціальним органам по боротьбі з організованою злочинністю.

Банк має право надавати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій [10].

Банку заборонено надавати інформацію про клієнтів іншого банку, навіть якщо їх імена вказуються в документах, угодах і операціях клієнта. Відповідно до ст.32 Конституції України „не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом ї лише в інтересах національної безпеки, економічного добробуту та прав людини” [10,18].

Окремо визначено правовий режим захисту інформації, яка міститься в автоматизованих системах, що для банків є особливо необхідним, оскільки понад 65% банківської інформації міститься якраз в автоматизованих системах. Законодавством установлено, що доступ до інформації, яка зберігається, обробляється і передається в автоматизованих системах, здійснюється згідно з правилами розмежування доступу, які встановлюються власником інформації чи уповноваженою ним особою (ст.6 Закону України „Про захист інформації в автоматизованих системах”). Тобто і в цьому разі право захисту інформації покладено на її власника - банк [12].

У законодавчому порядку встановлюються обов'язкові заходи банків щодо забезпечення захисту банківської таємниці. Серед них:

- обмеження кола осіб, які мають доступ до відомостей, що становлять банківську таємницю;

- організація спеціального діловодства з документами, які містять банківську таємницю;

- застосування технічних засобів для попередження несанкціонованого доступу до електронних та інших носіїв інформації;

- застосування заходів попередження щодо охорони банківської таємниці і відповідальності за її розголошення в договорах і угодах між банком і клієнтами [28].

Керівники, службовці банку, приватні особи й організації зобов'язані не розголошувати, не використовувати у своїх інтересах або інтересах третіх осіб інформацію, яка є банківською таємницею і яка стала їм відома під час виконання посадових обов'язків у банку або в процесі взаємовідносин з ним [10].

Організація захисту банківської таємниці може спиратися і на норми трудового законодавства України, зокрема на ті його положення, що передбачають установлення трудових відносин на основі контрактів. Останні визначають особливі відносини, які передбачають, що строк дії контракту та умови його розірвання встановлюються за згодою сторін, тобто відповідні заходи захисту банківської інформації можуть передбачатись у контрактах як одна із умов трудового договору. Нормативними актами, що регулюють установлення трудових відносин працівника й адміністрації підприємства на контрактній основі, є постанова Кабінету Міністрів України № 170 „Про впорядкування застосування контрактної форми трудового договору” від 19 березня 1994 р. та наказ Міністерства праці України № 23, від 15 квітня 1994 р., яким затверджено Типову форму контракту. Основними положеннями цих документів є те, що контрактами можуть визначатись додаткові, крім установлених законом, підстави для його розірвання. Зрозуміло, що однією із таких додаткових підстав розірвання трудового договору може бути завдання працівником матеріальної або моральної шкоди банку, в тому числі і шляхом протиправних посягань на інформацію з обмеженим доступом. Для практичного застосування таких умов необхідне виконання відповідних вимог: факт укладання трудового договору у контрактній формі; внесення до контракту умов, що передбачають його розірвання з ініціативи адміністрації банку у випадках, пов'язаних з протиправними посяганнями на банківську таємницю; вина працівника банку у скоєні таких дій [11].

Якщо говорити про захист банківської інформації, мабуть не слід сподіватись тільки на правове поле, створене відповідними державними органами, тим більше, що останнє має багато суперечностей і дає змогу по-різному трактувати ті чи інші норми. Крім того, застосовувати деякі положення законів можна, тільки спираючись на нормативну базу самого банку. Наприклад, відповідальність за розголошення відомостей, що становлять комерційну таємницю, згідно зі ст.232 Кримінального кодексу, стосується осіб, яким ця таємниця відома у зв'язку з їх професійною або службовою діяльністю. Доказом того, що особа мала доступ до відповідних відомостей, що становлять комерційну таємницю, є наказ банку, в якому зазначається перелік посадових осіб, котрим доводиться зміст банківської і комерційної таємниці [19].

Для вирішення зазначених питань банку насамперед необхідно юридично закріпити правовий статус його банківської таємниці. Такий статус оформлюється шляхом визначення і внесення відповідних положень до документів, що регламентують діяльність банку [4].

Визначення порядку захисту інформації, організації роботи з нею здійснюється відповідно до Положення про організацію роботи з інформацією, що становить банківську і комерційну таємницю та є конфіденційною. Положення передбачає: права співробітників банку та інших осіб щодо отримання інформації з обмеженим доступом, обов'язки посадових осіб і службовців банку щодо роботи з грифованими документами, виробами та засобами, правила ведення конфіденційних переговорів за допомогою засобів зв'язку, спілкування з клієнтами та відвідувачами; правила оформлення доступу до інформації з обмеженим доступом, порядок розроблення, зберігання, пересилання та руху грифованих документів в установах банку; загальні обов'язки персоналу банку щодо зберігання його таємниць; порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом; інші питання, що регулюють правила доступу до інформації з обмеженим доступом.

До нормативної бази банку з питань захисту інформації також відносять зобов'язання службовців банку про збереження комерційної таємниці, угоди про конфіденційність з клієнтами, партнерами та іншими суб'єктами, з якими банк вступає у правовідносини, різного характеру пам'ятки, інструкції, заяви тощо [14].

1.2 Основні завдання і проблеми захисту банківської таємниці

1.2.1 Визначення банківської таємниці

Згідно зі ст.60 Закону України „Про банки і банківську діяльність” банківською таємницею вважається інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту.

До банківської таємниці відносять:

1) відомості про стан рахунків клієнтів, у тому числі стан кореспондентських рахунків банків у Національному банку України;

2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;

3) фінансово-економічний стан клієнтів;

4) системи охорони банку та клієнтів;

5) інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності;

6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;

7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню [10].

Інформація про банки чи клієнтів, що збирається під час проведення банківського нагляду, становить банківську таємницю.

Національний банк України видає нормативно-правові акти з питань зберігання, захисту, використання та розкриття інформації, що становить банківську таємницю, та надає роз'яснення щодо застосування таких актів [14].

Враховуючи те, що банк розвивається дуже динамічно в сучасних економічних умовах та на нього мають вплив як зовнішнє середовище, так і внутрішні чинники, можна виділити ряд проблем, що виникають у банківській сфері з приводу захисту банківської таємниці (рис. 1).



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 1 - Проблеми, що виникають в банківській сфері з приводу захисту банківської таємниці

Особливістю банківської таємниці є те, що згідно із законодавством обов'язок охорони конфіденційних відомостей клієнтів банку покладено саме на банк, у зв'язку із специфікою його діяльності. Банківській установі, в принципі, байдуже, чи стануть відомості, якими він оперує, відомі третім особам, чи ні, якщо це банку не завдасть ніяких збитків. Тому діяльність банку у справі захисту банківської таємниці є його обов'язком, а комерційної таємниці (відомості про діяльність самого банку) - правом.

З огляду на це надання відповідним відомостям статусу банківської або комерційної таємниці є одним із способів запобігання несанкціонованому використанню цінної з різних точок зору інформації [4].

1.2.2 Відмінність банківської таємниці від комерційної таємниці

Тлумачення поняття комерційної таємниці дається у ст.30 Закону України „Про підприємства в Україні”. Зокрема, вказується, що під комерційною таємницею підприємства маються на увазі відомості, пов'язані з виробництвом, технологічною інформацією , управлінням, фінансами та іншою діяльністю підприємства, що не є державною таємницею, розголошення яких може завдати шкоди його інтересам.

Розрізняючи поняття банківської та комерційної таємниць, установлюється різний режим функціонування такої інформації. Так, право банківської таємниці породжує право відносного характеру: особа, яка довірила банку відповідні відомості, отримує право вимагати від нього їх схоронності у таємниці від третіх осіб; перелік відомостей, які є банківською таємницею, встановлено законом, і ніхто не має права їх змінювати, такі відомості для всіх осіб, у всіх випадках будуть становити таємницю; для банківської таємниці важливим є захист не тільки її сутності, змісту, а й самого факту взаємовідносин банку і його клієнта; банківська таємниця не може повідомлятись третім особам за плату.

Особливості режиму функціонування комерційної таємниці мають дещо інший, відмінний від банківської таємниці, характер. Тут право комерційної таємниці породжує право відносин абсолютного характеру - одній правомочній особі протистоїть невизначене коло зобов'язаних осіб; перелік відомостей, які належать до комерційної таємниці, визначається керівником підприємства, і одні й ті самі відомості в одному випадку можуть вважатися комерційною таємницею, а в іншому - зовсім ні; для комерційної таємниці важливим є збереження її сутності і змісту; комерційна таємниця може бути надана власником третій особі за плату [28].

До комерційної таємниці доцільно віднести інформацію, яка характеризує нові банківські технології, роботу в галузі розробки нових послуг, плани відкриття філій, виходу на нові ринки чи нові сфери.

Комерційну таємницю може також становити інформація про перспективні методи управління персоналом, політику банку щодо надання послуг, фінансові, ділові й комерційні стосунки з партнерами, дані про керівний склад банку, способи захисту інтересів банку тощо [14].

Враховуючи, що перелік відомостей, які становлять комерційну таємницю, визначається керівником банку, необхідно пам'ятати, що згідно з Постановою Кабінету Міністрів України № 611 від 9 серпня 1993 р., не можуть бути комерційною таємницею:

- установчі документи, документи, що дозволяють займатися підприємницькою чи господарською діяльністю та її окремими видами;

- інформація за всіма встановленими формами державної звітності;

- дані, необхідні для перевірки, обчислення і сплати податків та інших обов'язкових платежів;

- інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва;

- документи про платоспроможність;

- інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків;

- відомості про чисельність і склад працюючих, їхню заробітну плату в цілому та за професіями й посадами, а також наявність вільних робочих місць;

- відомості, які відповідно до чинного законодавства підлягають оголошенню (масова інформація та інформація, що публічно поширюється через друковані та аудіовізуальні канали, закони, нормативні акти, що стосуються свобод і законних інтересів громадян та ін.) [24].

Враховуючи це, необхідно пояснити, що до форм державної звітності відносять лише форми, установлені Міністерством статистики України. Під документами про платоспроможність і даними, що необхідні для перевірки обчислення податків, не можна розуміти документи і відомості про операції клієнтів банку, оскільки вони згідно з Законом України „Про банки і банківську діяльність” належать до банківської таємниці. Як відомо, у разі розходження у правових нормах повинен діяти принцип верховенства закону над підзаконним актом [10].

Відомості про чисельність і склад працюючих, їх заробітну плату не треба сплутувати з поіменним складом персоналу банку і матеріальним забезпеченням конкретних працівників. Відкритий доступ до такої інформації, особливо про осіб, що обіймають ключові посади у банку, може бути використано злочинцями для тиску на цих працівників з метою примушення їх до виконання протиправних дій або скоєння злочину [14].

Слід звернути увагу на особливості правового режиму захисту комерційної таємниці. Згідно з ч.2 ст.30 Закону України „Про підприємства в Україні” порядок захисту відомостей, що становлять комерційну таємницю, визначає керівник банку. Цією ж статтею надається право керівникові визначити склад і обсяги таких відомостей [28].

Розділ 2 Фізичні основи виникнення каналів витоку інформації

2.1 Класифікація каналів витоку інформації

В даний час існує велика різноманітність фізичних принципів, які використовуються в створенні каналів витоку інформації, а також спеціальних технічних засобів для перехоплення банківської таємниці.

Канали витоку інформації класифікують з різних загальних ознак:

- агентурні (джерелом банківської таємниці є людина) та технічні (для отримання інформації використовуються технічні засоби);

- випадкові та навмисні (створені);

- з середовища поширення інформації: польові та речовинні та ін. [14].

Розглянемо деякі з них.

2.1.1 Агентурні канали витоку інформації

Серед джерел банківської таємниці люди займають особливе місце. Дійсно, їх, на відміну від технічного пристрою, можна підкуповувати або шантажувати. Люди є володарями і розповсюджувачами інформації не тільки в межах своїх функціональних обов'язків, їх можливості набагато ширше. За певних умов вони здатні приховувати, красти, продавати інформацію і скоювати інші кримінальні дії аж до вступу до стійких злочинних зв'язків із зловмисниками. Виявлення останніх - дуже складна і трудомістка задача, що вимагає спеціальних навиків [1].

Іншими словами, ключовими фігурами систем захисту банківської таємниці є співробітники банку. Причому не тільки ті, які працюють із закритою інформацією. Рядовий співробітник, що не має доступу до банківської таємниці, теж може надати допомогу конкурентам в проведенні шпигунства, забезпечити умови для розкрадання носіїв інформації, для вивідування, зняття копій [27].

Отримання інформації відбувається в результаті ініціативної співпраці, або шляхом схилу до співпраці, вивідування, випитування.

Ініціативна співпраця виявляється в певних діях осіб, чимось незадоволених або гостро потребуючих в коштах для існування з числа працюючих в банку, готових на будь-які протиправні дії. Фінансові утруднення, політичне або наукове інакомислення, незадоволеність просуванням по службі, образи, незадоволеність своїм статусом і багато що інше штовхають володарів банківської таємниці на ініціативну співпрацю з конкурентами і іноземними розвідками. Наявність такої людини дозволяє зловмиснику одержувати важливі відомості про стан і діяльність банку і дуже для них вигідно, оскільки інформатор економе час і витрати на впровадження свого агента, надає свіжу і достовірну інформацію, яку звичайним шляхом було би складно отримати [34].

Схил до співпраці - це, як правило, насильна дія з боку зловмисника. Схил або вербування може здійснюватися шляхом підкупу, залякування, шантажу. Схил до співпраці реалізується у вигляді реальних загроз, переслідування і інших дій, що виражаються в образі, нарузі та ін. По інтенсивності насильства - це один з найагресивніших видів діяльності, де за мирними візитами і переговорами криється готовність діяти навмисно жорстоко. Вправно маневруючи словами, що виражають питання, намагаються отримати якщо не всю правду, то хоча б натяк на неї. Досвід показує, що це ефективний і достатньо прихований метод отримання інформації. Також практикується переманювання фахівців банку конкурента в свій банк, з метою подальшого оволодіння його знаннями.

Вивідування, випитування - це прагнення під виглядом наївних питань отримати певні відомості [3].

На думку зарубіжних фахівців, вірогідність витоку відомостей, що становлять банківську таємницю, при проведенні таких дій, як підкуп, шантаж, переманювання співробітників банку, упровадження своїх агентів складає - 43%; отримання відомостей шляхом їх вивідування у співробітників - 24% та у випадку ініціативної співпраці -33% (рис. 2).

Рисунок 2 - Вірогідність витоку банківської таємниці через використання різних способів отримання інформації

Таким чином, персонал банку є, з одного боку, найважливішим ресурсом банківської діяльності, а з іншого, окремі співробітники через різні обставини можуть стати джерелом втрат і навіть банкрутства банку [27].

2.1.2 Технічні канали витоку інформації

Технічний канал витоку інформації (ТКВІ) - це сукупність носія інформації, середовища його поширення та засобу технічної розвідки [9].

Класифікація технічних каналів витоку інформації приведена на рис. 3.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3 - Класифікація технічних каналів витоку інформації

Основною класифікаційною ознакою ТКВІ є фізична природа носія інформації. Носії інформації підрозділяються на польові (фізичні поля), речовинно-польові (потоки частинок), речовинні (матеріали, речовини, структурні елементи технічних засобів і інші макрооб'єкти) [26].

ТКВІ складаються з таких елементів: джерело інформації, фізичне середовище, в якому поширюється інформація від джерела, технічні засоби, які використовуються для несанкціонованого отримання інформації [14].

Кожний технічний засіб потенційно може утворювати різні канали витоку інформації. Це обумовлено взаємозв'язками технічних систем, з одного боку, з об'єктами зовнішнього середовища, а з іншого - результатами прояву фізичних ефектів, що входять в їх склад [25].

Акустичний канал витоку інформації (КВІ). Фізична природа джерела акустичної інформації може бути різною: біологічні системи (людина, тварини, птахи, риби, мікроорганізми), технічні системи (клавіатури, динаміки радіоприймачів і телефонних трубок, структурні елементи механізмів), змішані системи.

Щоб встановити можливі шляхи витоку акустичного сигналу, необхідно розглянути всі носії інформації і всі фізичні ефекти, які сприяють його поширенню [11].

Частотний діапазон акустичного каналу витоку інформації включає інфразвук, діапазон чутного людиною звуку (16 - 20 кГц), ультразвук і гіперзвук. Частіше за все як джерело інформації використовують діапазон чутного звуку і ультразвук.

При поширені акустичної хвилі в повітряному середовищі енергія передається частинками повітря. Якщо на шляху акустичної хвилі немає перешкод, вона рівномірно поширюється в усі сторони. Тут виявляється ефект звукопровідності, який обумовлює можливість перехоплення інформації, що міститься в акустичній хвилі [3].

Якщо на шляху акустичної хвилі зустрічаються різні перешкоди, наприклад стіни приміщення, меблі, що знаходяться в ньому, різне устаткування, вікна, та ін., то акустична хвиля відображається від них, змінюючи напрям поширення, поглинається, викликає коливання елементів навколишнього середовища. В цьому випадку виявляються фізичні ефекти відображення, дифракція і поглинання звуку, ефект перетворення коливань звукової хвилі в пружні коливання частинок твердих тіл, ефект резонансу та ін. Все це створює можливості для перехоплення інформації [26].

Якщо в об'єктах навколишнього середовища навкруги джерела акустичної інформації розташувати елементи конструкції, що забезпечують перетворення енергії акустичної хвилі в інші види енергії, то можливості перехоплення інформації ще більш зростають [34].

Приймач акустичного сигналу заснований, як правило, на перетворенні акустичного сигналу в інші види сигналів з можливістю їх запису і подальшого відтворення [15].

До переваг використовування акустичних каналів витоку інформації можна віднести: відсутність необхідності проникнення в зони розташування акустичного каналу; труднощі виявлення апаратури знімання акустичного сигналу і особливо тієї, яка встановлюється за межами контрольованих приміщень; великий вибір в розміщенні засобів отримання аудіоінформації; широку номенклатуру технічних засобів знімання акустичного сигналу; малі розміри технічних засобів знімання акустичного або вібраційного сигналу, високу надійність і тривалий час функціонування; низьку вартість технічних засобів [27].

Акустичні канали витоку інформації підрозділяються на прямий акустичний канал і акустоперетворюючі канали (віброакустичні, акустоелектричні, акустооптичні та ін.).

Структура прямого акустичного каналу приведена на рис. 4.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 4 - Структура прямого акустичного каналу

В цьому каналі витоку інформації важливу роль грають різні об'єкти, розташовані в середовищі поширення акустичного сигналу. Це, наприклад, стіни будівель, перегородки, вікна, двері та ін [25].

Найпростішим способом перехоплення інформації є звичайне підслуховування без застосування якої-небудь апаратури. Достатньо ефективно використовується при підслуховуванні такий спосіб, як свердлення отворів, у тому числі і некрізних в стіні суміжного приміщення. Ефект може бути поліпшений при використовуванні звичайного стакана, денце якого притискається до поверхні навкруги отвору, або медичного
стетоскопа [35].

В віброакустичному каналі середовищем поширення акустичних сигналів є елементи конструкцій будівель (стіни, стелі, двері та ін.), елементи конструкцій технічних систем, що знаходяться в приміщенні [26].

Акустичні коливання, впливаючи на тверді поверхні, перетворюються в механічні коливання частинок твердих тіл і поширюються по них. Вібраційні коливання можуть бути безпосередньо прийняті, перетворені в електричні коливання, посилені і записані [14].

Структура віброакустичного каналу приведена на рис. 5.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 5 - Структура віброакустичного каналу

Акустоелектричний канал витоку інформації виникає в результаті перетворення акустичних сигналів в електричні, які є об'єктом перехоплення. Перехоплення інформації здійснюється за межами контрольованих приміщень і зон [35].

Структура акустоелектричного каналу приведена на рис. 6.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 6 - Структура акустоелектричного каналу витоку інформації

Джерело акустичного сигналу може бути пов'язано з об'єктами, що перетворюють акустичний сигнал в електричний, через тверде середовище. Одним з основних фізичних ефектів, що забезпечують таке перетворення, є мікрофонний ефект [25].

Мікрофонний ефект - ця поява в електричних ланцюгах і ланцюгах радіоелектронної апаратури паразитних електричних сигналів, обумовлених механічною дією, у тому числі звукової хвилі [16].

Перелік об'єктів, на яких може проявлятися мікрофонний ефект, дуже широкий. Так, наприклад, змінюються електричні характеристики елементів різних технічних систем: електровакуумні прилади, реле, датчики пожежної сигналізації та ін [27].

При взаємодії акустичної хвилі з елементами різних технічних систем відбувається зміна їх параметрів. Ці зміни роблять вплив на параметри електричних ланцюгів, в яких вони виконують свої функції. За рахунок ефекту модуляції ці електричні або радіотехнічні ланцюги нестимуть інформаційний сигнал, відповідний акустичному. Такий канал витоку інформації називається параметричним [34].

Структура акустооптичного каналу витоку інформації приведена на рис. 7.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 7 - Структура акустооптичного каналу

Знімання інформації здійснюється з плоскої поверхні, яка коливається під дією акустичної хвилі, лазерним променем в інфрачервоному (ІЧ) діапазоні, що забезпечує невидимість його неозброєним оком. В якості поверхні, на яку діє акустична хвиля, використовується зовнішнє скло вікна. Скло опромінюється джерелом лазерного випромінювання із зовнішньої сторони, наприклад з вікна сусіднього будинку [35].

На поверхні зіткнення лазерного променя з склом відбувається модуляція лазерного променя акустичними сигналами, що генеруються в приміщенні (мова, звукові коливання працюючих технічних систем). Після відображення від скла модульований по амплітуді і фазі лазерний промінь приймається приймачем ІЧ-випромінювання, перетворюється в електричний сигнал і після відповідної обробки перетворюється в акустичний сигнал [25].

Лазерним променем можна опромінювати вібруючі в акустичному полі тонкі відображаючі поверхні скла вікон, картини, дзеркала, стінки шаф, системних блоків та іншої апаратури) [3].

Електричний КВІ. Електричний канал витоку інформації пов'язаний з перехопленням інформаційних сигналів, що проходять по електричних ланцюгах різного призначення. Він може виникати за рахунок: витоку з електричних мереж зв'язку; витоку сигналів в ланцюгах електроживлення технічних засобів обробки інформації; витоку інформаційних сигналів в ланцюг заземлення технічних засобів обробки інформації [27].

Найбільшу увагу надається електричним ланцюгам зв'язку: дротяним, кабельним. Отримали розповсюдження як контактні, так і безконтактні способи підключення [35].

Телефонна лінія - найпоширеніший і самий незахищений канал зв'язку. Прослуховувати телефонну лінію у наш час стало простим і дешевим способом. Якщо хтось зацікавився чужою інформацією, то перше, що він швидше за все зробить, - це почне контролювати телефонні переговори джерела цієї інформації [16,26].

Пост перехоплення може бути обладнаний різними пристроями: цифровими реєстраторами, що забезпечують реєстрацію номерів, що набирають з контрольованого телефону, і номерів, з яких поступає вхідний сигнал; магнітофонами для запису змісту всіх розмов, що ведуться на даній лінії [25].

Поява інформаційних сигналів в ланцюгах електроживлення технічних засобів, пов'язаних з обробкою і передачею інформації, частіше за все обумовлено тим, що вони підключені до загальних ліній живлення.

В будь-якому радіотехнічному виробі є власний блок живлення, що перетворює вхідну напругу від електромережі в відповідні для роботи напруги постійного або змінного струму. Небезпечний сигнал може за певних умов проникати через ланцюги живлення приладу в мережу електроживлення приміщення, потім через силовий щит, розподільний пристрій за межі будівлі [27].

Електричний струм, споживаний іншим технічним засобом, може містити змінну складову інформаційного сигналу, який, як правило, значно відрізняється від частоти електромережі 50 Гц. За допомогою фільтрів інформаційний сигнал може бути виділений, посилений, оброблений і записаний [35].

В ланцюгах живлення крайових каскадів підсилювачів струм, споживаний апаратурою, змінюється відповідно до зміни сигналу на вході підсилювачів. В результаті в ланцюзі живлення з'являються складові інформаційного сигналу в діапазоні спектру огинаючої 0 - 40 Гц. Дослідження розбірливості огинаючої мовного сигналу показують, що вона достатньо висока у вказаній смузі частот і складає 70%. Таким чином, якщо ланцюги живлення виходять за межі контрольованої зони, то є реальна можливість перехоплення інформації [34].

Інформативне електричне поле в контурі заземлення виникає при підключенні до нього устаткування для забезпечення електробезпеки обслуговуючого персоналу і зниження рівня перешкод. В цьому випадку струми мовного сигналу унаслідок асиметрії трактів передачі інформації протікатимуть в контурі заземлення. Небезпечний електричний сигнал може бути перехоплений як в заземляючому дроті, так і в «потенційній зоні» навкруги заземлення. Перехоплення інформації в другому випадку може бути здійснено шляхом розташування одного з електродів апаратури розвідки в зоні «нульового потенціалу» і переміщення іншого електроду в «потенційній зоні» заземлення [25].

Оптичний КВІ. Враховуючи важливу роль візуальної інформації в житті і діяльності людини, оптичний канал витоку інформації займає домінуюче місце. Слід зазначити, що інтенсивний розвиток технічних засобів також направлений на те, щоб підвищити ефективність органів зору людини по сприйняттю інформації. Оптичний канал забезпечує отримання інформації у будь-який час доби, в різних погодних умовах [3].

Безпосереднє спостереження дозволяє отримати таку цікаву інформацію, як текст документа, інформація з екрану дисплея, текст, що друкується на принтері, плакати та ін [26].

По оптичному каналу інформація може передаватися без перетворення в електричний сигнал, для чого використовуються оптичні світловоди [14].

Враховуючи різні способи і технічні засоби, що використовуються для перехоплення інформації, а також різні фізичні середовища (атмосфера, вода, оптичні волокна), оптичний канал витоку інформації підрозділяється на ряд каналів: візуально-оптичний канал, фототелеканали, канал ІЧ-випромінювання, волоконно-оптичний канал [34].

Схема оптичного каналу витоку інформації показана на рис. 8.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 8 - Структурна схема оптичного каналу витоку інформації

У ряді випадків об'єкт спостереження сам є джерелом випромінювання, а відображене світло відсутнє або є незначним [25].

Електромагнітний КВІ. Електромагнітні випромінювання мають виключно важливе значення для передачі інформації. З їх допомогою інформація може передаватися як на десятки метрів, так і на мільйони кілометрів, забезпечуючи зв'язок з космічними апаратами. Середовище поширення - земна атмосфера і космічний простір. Електромагнітні хвилі генеруються в широкому діапазоні частот. Найбільше розповсюдження отримали радіо і телевізійні канали, які працюють на довгих, середніх, коротких і ультракоротких діапазонах хвиль. Структура (акусто-) електромагнітного каналу витоку інформації приведена на рис. 9 [27].

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 9 - Структура (акусто-) електромагнітного каналу витоку

Виток інформації по радіоканалу здійснюється за допомогою перехоплення електромагнітних випромінювань радіодіапазону, які передаються від джерела інформації до адресата. Може бути здійснено перехоплення сигналів радіостанцій і систем зв'язку, засобів радіотелефонного зв'язку, моніторів, радіозакладок різного типу, переговорів всередині приміщення банку за допомогою безпровідних службових систем зв'язку та ін [25].

Перехоплення інформації по радіоканалах має ряд переваг в порівнянні з іншими каналами витоку інформації, а саме: відсутній безпосередній контакт з джерелом інформації; на прийняття сигналів не впливає ні пора року, ні пора доби; інформація отримується в реальному масштабі часу; перехоплення інформації реалізується таємно; джерело інформації не має відомостей про процес перехоплення; дальність перехоплення обмежується тільки особливостями розповсюдження відповідного діапазону радіохвиль і можливостями джерела інформації [27].

Електронна апаратура і електронні системи різного призначення, обчислювальна техніка, інтегральні схеми, електровакуумні прилади та інші елементи при своєму функціонуванні створюють в навколишньому просторі електромагнітні поля. Ці поля здатні створювати електромагнітні наведення в розташованих поряд слабкострумових, силових освітлювальних мережах, телефонних лініях, елементах пожежної і охоронної сигналізації та інших електричних і електронних системах [25].

Побічні електромагнітні випромінювання і наведення (ПЕМВН) від технічних засобів різного призначення можуть містити інформацію, що захищається. В цьому випадку вони перетворюються на джерела небезпечних сигналів [35].

Перехоплення ПЕМВН забезпечує добування інформації, що міститься безпосередньо у передаваних або відображених (телефонних, телеграфних та ін.) повідомленнях і документах (текстах, таблицях, малюнках та ін.), з використанням радіоелектронної апаратури, яка реєструє електромагнітні випромінювання і електричні сигнали, що наводяться первинними електромагнітними випромінюваннями в струмопровідних ланцюгах різних технічних пристроїв і конструкцій будівель [26].

Широка номенклатура технічних засобів, що використовуються для обробки і поширення інформації, і прихованих можливостей ПЕМВН дозволяють створювати різноманітні канали витоку інформації. Ці можливості прагнуть реалізувати технічні розвідки [34].

2.2 Загрози банківської таємниці

З множини способів класифікації загроз інформації найбільш загальною є класифікація за наслідками можливого впливу на інформацію: загрози порушення конфіденційності, цілісності та доступності (рис. 10).



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 10 - Класифікація загроз банківської таємниці

Загрози конфіденційності направлені на розголошування банківської таємниці. При реалізації цих загроз інформація стає відомою особам, які не повинні мати до неї доступ. Загроза порушення конфіденційності має місце кожного разу, коли можливий несанкціонований доступ до деякої закритої інформації. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила її отримання [5].

Загрози цілісності банківської таємниці направлені на її заміну або спотворення, що призводить до порушення її якості або повного знищення. Цілісність інформації може бути порушена умисно, а також в результаті об'єктивних дій з боку середовища, що оточує інформаційну систему [22].

Ця загроза особливо актуальна для систем передачі інформації, комп'ютерних мереж і систем телекомунікацій. Умисні порушення цілісності інформації не слід плутати з її санкціонованою зміною, яка виконується повноважними особами з обґрунтованою метою. Банківська таємниця зберігає цілісність, якщо дотримуються встановлені правила її модифікації (знищення) [5].

Загрози доступності направлені на створення таких ситуацій, коли певні навмисні дії або знижують працездатність інформаційної системи, або блокують доступ до деяких її ресурсів. Блокування доступу до ресурсів може бути постійним або тимчасовим. Банківська таємниця зберігає доступність, якщо зберігається можливість її отримання або модифікації тільки відповідно до встановлених правил впродовж певного часу [22, 7].

Загрози, реалізація яких призводить до втрати інформацією вказаних вище властивостей, відповідно є загрозами конфіденційності, цілісності або доступності інформації [5].

Модель загроз банківської таємниці - це формалізований опис методів та засобів здійснення загроз. Опис загроз і схематичне представлення шляхів їх здійснення складають приватну модель загроз. При складанні окремої моделі загроз для банківської таємниці, тобто впорядкованого опису загроз і шляхів їх здіснення, необхідно класифікувати загрози і вказати фізичні місця їх ініціації і прояву. Окрема модель загроз містить розділи:

1. Ситуаційний план: план розміщення об'єкту, який захищається, щодо зовнішнього оточення; існуючі організаційні заходи і технічні засоби охорони банківської таємниці; місця можливого розміщення стаціонарних і мобільних засобів ведення технічної розвідки; напрями, сектори і зони можливого ведення технічної розвідки.

2. Генеральний план: загальна характеристика приміщення, в якому циркулює банківська таємниця; характеристика суміжних приміщень.

3. Основні технічні засоби: схема розміщення та опис основних технічних засобів.

4. Допоміжні технічні засоби і системи: схема розміщення та опис допоміжних технічних засобів і систем.

5. Телекомунікаційні основні та допоміжні технічні засоби і системи, а також комунікації, які виходять за межі контрольованої зони.

6. Опис загроз банківській таємниці: ідентифікація загроз, вказівка на генеральному плані місць виникнення ідентифікованих загроз [5, 9].

2.3 Види спеціальних технічних засобів перехоплення інформації

Кожний технічний засіб потенційно може утворювати різні канали витоку інформації. Це обумовлено взаємозв'язками технічних систем, з одного боку, з об'єктами зовнішнього середовища, а з іншою - результатами прояву фізичних ефектів, що входять в їх склад [25].

Нижче перераховуються види спеціальних технічних засобів перехоплення банківської таємниці з врахуванням каналу витоку інформації.

Апаратура розвідки з перехоплення інформації акустичним КВІ. Мініатюрні мікрофони є найпростішим засобом перехоплення мовної інформації. Використовують дротяні з'єднання із звукозаписною апаратурою. Мікрофони можуть вмонтовуватися в предмети інтер'єру приміщення, в отвори, в телефонних і мережних розетках, в устаткуванні (системні блоки, принтери, монітори та ін.), під плінтусами та інших об'єктах [35,33].

Мікрофони направленої дії застосовуються тоді, коли не вдається використовувати для перехоплення акустичної інформації контрольовану зону. Мікрофони цього типу забезпечують перехоплення акустичного сигналу після багатократного його відображення, після проходження його через відкриті вікна, кватирки, через отвори в стінах і перегородках.

Для практичної реалізації можливостей мікрофонів направленої дії (прослуховування на відстані до 100 м і більш) потрібна спеціальна обробка акустичних сигналів по шумоочищенню [27].

Значна кількість диктофонів обладнана системою автоматичного включення при паузах в розмовах. Диктофони розміщуються в дипломатах, пачках сигарет, в корпусах наручних годинників та ін. [34].

В якості приймача вібраційного сигналу широко використовують контактні мікрофони (стетоскопи), перетворюючі вібраційні коливання твердого тіла в коливання електричного сигналу, який потім може бути передан, посилен і записан [26].

За допомогою стетоскопа можна прослуховувати мовні сигнали через стіну товщиною до 1 м. Він кріпиться за допомогою липкої стрічки до поверхні елементів будівельних конструкцій (до стіни, перегородок, до віконного скла та ін.). Для якості сигналу, що знімається, істотне значення мають місце установки, матеріал вібруючих елементів. Важливою перевагою стетоскопів є те, що вони можуть встановлюватися за межами контрольованої зони [35].

Для підвищення ефективності роботи стетоскопи об'єднують з електронним підсилювачем (електронні стетоскопи), радіопередавачем (радіостетоскопи), генератором ІЧ-випромінювання (оптичні стетоскопи), генератором ультразвукового випромінювання для передачі сигналу по металоконструкціях будівель (ультразвукові стетоскопи) [25].

Для перехоплення акустичного сигналу використовуються спеціальні високочутливі низькочастотні підсилювачі. Вони безпосередньо підключаються до ланцюгів, які володіють мікрофонним ефектом або несучим акустичну інформацію від інших об'єктів в результаті прояву на них мікрофонного ефекту, наприклад від телефонних апаратів [27].

Для створення каналу витоку інформації можуть бути підмінені компоненти електричних схем (резистори, конденсатори, котушки індуктивності) на такі ж компоненти, але які володіють більш інтенсивним проявом мікрофонного ефекту [26].

У зв'язку з розвитком електронної апаратури, скороченням, а в деяких випадках повним виключенням елементів, що містять електромеханічні системи, переходом на інтегральну схемотехніку значущість цього каналу витоку інформації зменшується [3].

Сучасні лазерні системи дозволяють здійснювати прослуховування розмов, що ведуться в приміщеннях, на відстані від 100 м до 1000 м. Недолік лазерних систем - залежність їх від гідрометеорологічних умов. При тумані, задимленні, запиленні, опадах світлопровідність повітряного середовища істотно погіршується [14,33].

Апаратура розвідки з перехоплення інформації електричним КВІ. Способи і пристрої для перехоплення інформації з телефонної лінії: впровадження в телефонний апарат передаючих пристроїв, що використовують для передачі голосу радіоканал або дроти; прослуховування акустики приміщення за допомогою високочутливих приладів, що уловлюють паразитні акустоелектричні перетворення в телефонному апараті; прослуховування приміщення за допомогою «високочастотного накачування» телефонного апарату; використовування паралельних телефонів; використовування безконтактних пристроїв знімання інформації та ін [35].

Інформаційний електричний сигнал по ланцюгах електроживлення може передаватися від закладок, встановлюваних в технічних засобах обробки інформації в лініях зв'язку [25].

Апаратура розвідки з перехоплення інформації оптичним КВІ. До засобів, за допомогою яких здійснюють перехоплення інформації, відносять: біноклі, підзорні труби, спеціальні телескопи, оптичні ендоскопи та ін. Для візуального спостереження порожнин в різних технічних системах, комунікацій, внутрішніх поверхонь корпусних деталей, прямий доступ до яких не можливий, застосовують оптичні ендоскопи. Їх використовують також для спостереження через малі отвори і щілини [34].

Для добування інформації за допомогою фотокамер застосовуються об'єктиви трьох видів: для аерофотознімання; широкого застосування (фото -, кіно - і відеозйомки з використанням побутових і професійних камер); для прихованої зйомки. Для прихованого спостереження використовуються: телеоб'єктиви з великою фокусною відстанню для фотографування на великому видаленні від об'єкту спостереження; точкові об'єктиви для фотографування з портфеля, годинника, через щілини і отвори, вони мають дуже малі фокусні відстані і габарити, великий кут поля зору. Для копіювання документів застосовують мікроформатні фотоапарати [27].