Банком России определены цели политики безопасности: обеспечение надежного бесперебойного функционирования платежной системы в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее безопасности и хищению денежных средств.

В диссертационной работе мы опираемся на принципы управления рисками в электронных банковских операциях. К ним в частности относятся:

· идентификация клиентов, участвующих в электронных расчетах;

· совершение электронных расчетов на основе установленной ответственности сторон;

· четкое разграничение полномочий по доступу сотрудников к электронной банковской системе;

· регламентация функциональных обязанностей;

· организация надлежащего контроля за доступом в электронную банковскую систему и базу данных;

· обеспечение целостности информации и программного обеспечения;

· обеспечение конфиденциальности информации, циркулирующей в системе электронных расчетов.

Банки России реализуют эти принципы на основе единого комплексного подхода к обеспечению безопасности системы электронных расчетов, который предусматривает применение определенных технических, организационных и программных мер, обеспечивающих защиту на всех этапах подготовки, обработки, передачи и хранения платежных документов. Причем в непрерывном режиме.

В платежной системе в первую очередь обеспечивается идентификация пользователей, контроль целостности и подтверждение подлинности платежных документов, разграничение прав доступа, защита от несанкционированного доступа к ресурсам и, естественно, контроль за правильностью расчетов. Широко применяется криптографическая защита платежной информации. Чтобы не допустить сбоев в работе, делается резервирование программно-технических комплексов и информационных ресурсов. В целом, система построена таким образом, что выход из строя какого-то отдельного комплекса — из-за прекращения подачи электроэнергии, технологических нарушений или террористического акта — не может привести к остановке расчетов. В крайнем случае, он будет проходить через другие регионы.

В Банке России большая группа специалистов занята совершенствованием и развитием платежной системы. При этом работа идет параллельно в четырех основных направлениях: законодательное поле, информационное обеспечение, нормативная база и собственно защита.

Корпоративная сеть платежной системы отделена от других сетей и входит в единую транспортную банковскую сеть. Она обеспечивает взаимодействие между региональными платежными системами и информационной системой Банка России. Ее безопасность достигается благодаря применению средств межсетевой защиты — сертифицированных межсетевых экранов. Предпочтение при создании системы безопасности единой транспортной банковской сети было отдано программно-аппаратным средствам отечественной разработки. Фактически они позволяют отделить ее от глобальных телекоммуникационных систем, включая Интернет.

Среди современных средств защиты информации, применяемых в коммерческих банках, немаловажное значение имеет криптографическая защита информации, которая основывается на симметричных и несимметричных (ассиметричных) шифрах, на шифрах и алгоритмах Диффи-Хелмана, на стеганографии, на инфраструктуре открытых ключей (PKI) и на электронных цифровых подписях (ЭЦП).

Количество регистрируемых вирусных атак, особенно в сети Интернет, ежегодно растет. В соответствии с нормативными документами Банка России внедрена и постоянно поддерживается жесткая система обеспечения антивирусной защиты. Она позволяет не допустить проникновения вирусов в платежную систему. Однако, постоянно возникают новые виды угроз(Рис 1). Помимо вирусов, среди наиболее динамично развивающихся систем нарушения банковской безопасности можно выделить следующие:

· СПАМ и Фишинг;

· Фарминг;

· Вишинг.

Рис. 1. Виды вредоносного ПО, с которым сталкивались участники опроса, проведенного компаниями Softline и Symantec в октябре 2007 года