Casual
РЦБ.RU

Противостояние специализированного регистратора угрозам информационной безопасности

Июнь 2005


    По оценкам специалистов в области обеспечения безопасности, потеря только 20% информации, составляющей коммерческую тайну любой компании, способна привести к катастрофическим последствиям вплоть до ее банкротства. Это позволяет сделать вывод о том, что одна из основных угроз экономическим интересам бизнеса находится в сфере информационных технологий.

    Каждому, кто знаком с работой фондового рынка, понятно, что регистратор не сможет выжить без самого главного - доверия своих клиентов. В выстраивании доверительных отношений нет второстепенных деталей, нет ничего малозначительного и неважного. Доверие - это то, что завоевывается годами, а утрачивается мгновенно. Доверие в регистраторском бизнесе основывается на уверенности клиента в защищенности и безопасности предоставленной в пользование регистратора информации.
    В современном мире бизнеса - мире глобальной информатизации и жесткой конкуренции - информация имеет абсолютную ценность для всех действующих лиц: компаний, персоналий, конкурентов, партнеров. Утечка информации способна нанести непоправимый ущерб, дать в руки конкурентов реальные инструменты воздействия. Информированность о состоянии дел у конкурентов позволяет принимать более точные решения, так как в этом случае проясняются многие неопределенные моменты. Очевидно и то, что публичной информации о конкурентах и других хозяйствующих субъектах недостаточно для успешного ведения бизнеса, поэтому в коммерческих структурах и появляются подразделения, занимающиеся информационной разведкой (сбором и анализом информации о конкурентах). Можно не сомневаться, что такая же деятельность ведется вашими конкурентами и в отношении вас.
    Ну а поскольку это <разведка>, то ей присущи приемы и методы, описанные в классической шпионской литературе: шантаж, подкуп, широкое использование новейших достижений науки и техники. Существование множества носителей информации, таких как бумага, машинный носитель (гибкий или жесткий диски, CD-R, магнитные ленты и т. п.), сотрудник с его уникальной памятью, предполагает и множество вариантов ее переноса, хранения и обработки, в том числе и несанкционированных.
    Именно поэтому сегодня так актуален вопрос противодействия информационному шпионажу.
    Учитывая широкий спектр угроз безопасности, направленных на персонал, документооборот, телекоммуникационные и компьютерные сети, в ОАО <Центральный Московский Депозитарий> (ЦМД) были сформулированы принципы обеспечения информационной безопасности, на основании которых разработана концепция безопасности и построена система защиты. Около 10% годовых финансовых затрат ЦМД приходится на обновление и модернизацию современных информационных технологий и обеспечение информационной безопасности.

ЛОЯЛЬНОСТЬ ПЕРСОНАЛА - ГАРАНТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

    Как показывает практика, большинство предприятий, независимо от формы собственности, несут убытки, напрямую связанные с нечестностью персонала. Причинами этого могут быть:

  • отсутствие или несоответствующий уровень лояльности персонала;
  • отсутствие или несоответствующий уровень контрольных мер со стороны предприятия.
        Принимая во внимание вышесказанное, ЦМД придает первостепенное значение лояльности персонала. Безопасность напрямую зависит от того, насколько хорошие отношения сложились в коллективе, считают ли себя работники компании сотрудниками или наемниками. Лояльность персонала зависит от многих факторов, в самом общем виде их можно разделить на <моральные> (т. е. совокупность отношения к выбранной специальности) и <материальные> (т. е. выгоды, получаемые работником от своей специальности, возможность карьерного роста).
        Руководство ЦМД посредством специализированных подразделений и отдельных руководителей постоянно отслеживает, контролирует и управляет процессами, связанными с персоналом, осуществляя целый комплекс мероприятий, который включает в себя:
  • сбор информации из различных источников о психологическом состоянии сотрудников, о предыдущей трудовой деятельности, о жизни и интересах сотрудника за пределами ЦМД;
  • анализ собранной информации, получение выводов и выработку рекомендаций;
  • планирование работы с персоналом;
  • прогнозирование развития ситуации в качестве реакции на изменение внутренней и внешней обстановки;
  • принятие мер по предотвращению негативных и повышению эффективности позитивных тенденций.
        Например, каждый работник, принимаемый в ЦМД, подписывает дополнение к трудовому договору о сохранении информации, представляющей коммерческую (служебную) тайну. Подписывая такой документ, работник несет персональную ответственность в соответствии с действующим законодательством как административную, так и в исключительных случаях уголовную. Перечень информации, отнесенной к конфиденциальной, устанавливается руководством компании и оформляется в виде приложения к <Положению о защите коммерческой тайны>. К конфиденциальной информации может быть отнесена информация об организациях и гражданах, с которыми ЦМД имеет договорные или иные отношения и/или по отношению к которым ЦМД обязан в силу закона и/или принял на себя добровольное обязательство защищать их имущественные (личные) права, а также информация об их деятельности, составляющая коммерческую тайну.

    РЕГЛАМЕНТИРОВАННЫЙ ДОКУМЕНТООБОРОТ - ГАРАНТИЯ СОХРАННОСТИ ИНФОРМАЦИИ

        Важная составляющая в обеспечении информационной безопасности регистратора - организация документооборота на различных, в том числе и бумажных, носителях. Несмотря на то что регистратор оперирует электронными (виртуальными) образами ценных бумаг, основания, на которых осуществляется их движение, носят вполне материальный характер. Кроме того, бумажный документооборот пополняется административными документами, служебной перепиской и т. п.
        В ЦМД действуют и постоянно актуализируются <Правила документооборота>. Правила устанавливают требования к организации документооборота, определяют порядок изготовления, учета, размножения, хранения документов и их носителей, а также дают четкое определение терминам, используемым в делопроизводстве, систематизируют и определяют виды служебных документов, приводят требования к порядку составления, оформления и обращения служебных документов.
        Эффективная управленческая деятельность невозможна без четко организованного делопроизводства. Автоматизированный учет документов позволяет отслеживать <жизненный цикл> каждого документа от момента его возникновения (регистрации в системе) до момента архивации независимо от типа носителя. На каждом этапе у документа есть <владелец>, ответственный за его исполнение и сохранность. Четкая и точная реализация организационных мер с использованием программно-аппаратных средств позволяет обеспечивать высокий уровень сохранности документов, поддерживая тем самым на должном уровне информационную безопасность в целом.

    ЗАЩИЩЕННЫЕ ТЕЛЕКОММУНИКАЦИОННЫЕ И КОМПЬЮТЕРНЫЕ СЕТИ - ГАРАНТИЯ ЦЕЛОСТНОСТИ БАЗ ДАННЫХ СИСТЕМЫ ВЕДЕНИЯ РЕЕСТРОВ

        Работа регистратора невозможна без использования высоких технологий. Огромные объемы обрабатываемой информации требуют создания локальной вычислительной сети с высокой производительностью, возможностью хранить значительные объемы информации и обслуживать большое количество пользователей. Информационная безопасность в таких системах становится доминирующим фактором. Процессы, в которых пересекаются большие объемы конфиденциальной информации с большим количеством пользователей, создают поле вероятных рисков утечки информации, а значит, угрозу информационной и экономической безопасности.
        По настоящее время в ЦМД угрозы внешней среды предотвращаются путем создания локальной вычислительной сети, физически не связанной с внешним миром. Всякое внесение информации извне жестко контролируется специалистами по компьютерной безопасности с целью выявления компьютерных вирусов.
        Системы, обслуживающие клиентов удаленного электронного документооборота, используют только защищенные выделенные каналы связи. Информация, предназначенная для передачи через такие каналы, шифруется и подписывается электронной цифровой подписью. Для шифрования и подписи информации ЦМД используются исключительно сертифицированные ФСБ средства.
        В ЦМД установлен внутриобъектовый режим, при котором доступ посторонних лиц в помещение с серверами-обработчиками исключен. Сотрудники, обеспечивающие информационную безопасность, жестко контролируют необходимость привлечения специалистов. Кроме того, следует точно представлять себе степень лояльности допущенных лиц, постоянно контролировать их психологическое состояние. Особое внимание в этой работе уделяется системным администраторам. Ошибки в подборе и подготовке таких сотрудников могут стоить компании очень дорого.
        Технологические процедуры обработки документов, относящихся к системе ведения реестров, построены таким образом, что каждый следующий сотрудник в цепочке отработки документа контролирует действия предыдущего, исключая возможность совершения как преднамеренного, так и непреднамеренного искажения содержимого обрабатываемого документа. Исполнители, обрабатывающие отдельные документы, не имеют доступа к обобщенным данным.
        Ведущую роль в предотвращении несанкционированного доступа к информации играет разграничение доступа к ней. Основанием доступа к той или иной информации является функциональное предназначение структурного подразделения, функциональные обязанности сотрудника, а в отдельных случаях - персональные задания. Принципиальным является вопрос полномочий в отношении информации, к которой допущен сотрудник, т. е. право на ее ввод, модификацию, чтение. Особо тщательно рассматриваются вопросы допуска к информации, составляющей систему ведения реестров. Как правило, такие полномочия руководители структурных подразделений представляют на утверждение заместителю председателя правления ЦМД. Ежегодно или в процессе организационно-штатных мероприятий такие полномочия подлежат пересмотру или подтверждению.
        Средством или инструментом, обеспечивающим процедуры разграничения доступа, является комплекс, состоящий из средств идентификации и аутентификации, иначе говоря, сетевое имя и личный пароль пользователя. Периодичность смены паролей зависит от многих факторов, но, как правило, не превышает 6 мес. Считается, что именно в течение этого времени происходит непреднамеренная, <мягкая> дискредитация паролей, когда сотрудник в силу производственных и личных причин (например, по причине своего отсутствия) <вынужден> по секрету сообщить его либо руководителю, либо коллеге, исполняющему сходные обязанности. Сетевое имя пользователя является его <визитной карточкой>, на основании которой происходит регистрация обращений к ресурсам системы.

    СОВЕРШЕНСТВОВАНИЕ ТЕХНОЛОГИЙ УСТАНОВЛЕНИЯ ДОСТОВЕРНОСТИ ПЕРВИЧНЫХ ДОКУМЕНТОВ - ГАРАНТИЯ НЕПРИКОСНОВЕННОСТИ СЧЕТОВ ВЛАДЕЛЬЦЕВ ИМЕННЫХ ЦЕННЫХ БУМАГ

        Ценные бумаги - важнейший инструмент функционирования рынка. С его помощью оформляются кредитные, расчетные и многие другие необходимые в рыночной экономике операции.
        Рынок ценных бумаг как важнейшая составная часть рыночного хозяйства есть не что иное, как совокупность сделок, совершаемых участниками имущественного оборота.
        Он предполагает не только четкое регулирование и оформление взаимосвязей участников, содействующих эффективному удовлетворению их имущественных интересов, но и использование тщательно продуманной и оформленной системы мер обеспечения безопасности, основанной на правовой базе и предохраняющей субъектов рынка от возможных посягательств преступных элементов и злоупотреблений недобросовестных партнеров.
        Основным объектом, привлекающим внимание злоумышленников в сфере деятельности регистраторов на рынке ценных бумаг, является реестр как совокупность данных, зафиксированных на бумажном носителе, и (или) электронная база данных, обеспечивающая идентификацию зарегистрированных лиц, удостоверение прав на ценные бумаги, учитываемых на лицевых счетах зарегистрированных лиц.
        Инструментом воздействия на объект (реестр) являются документы, на основании которых регистратор осуществляет операции в реестре.
        В соответствии с <Правилами ведения реестра владельцев именных ценных бумаг>, утвержденными председателем правления ОАО <ЦМД> и созданными на основании Положения о ведении реестра владельцев именных ценных бумаг, утвержденного постановлением Федеральной комиссии по рынку ценных бумаг Российской Федерации от 2 октября 1997 г. № 27 <Об утверждении Положения о ведении реестра владельцев именных ценных бумаг>, осуществление операций в реестре производится только на основании оригиналов документов или их копий, удостоверенных нотариусом, исполненных на типовых формах, принятых в ЦМД, и содержащих требование зарегистрированного лица осуществить указанные в них действия.
        Заполненные документы представляются регистратору непосредственно зарегистрированным лицом или его уполномоченным представителем, действующим на основании доверенности или договора, определяющего иной порядок доставки документов, или должностным лицом, действующим на основании устава компании.
        Кроме того, для осуществления операций в реестре зарегистрированное лицо или его уполномоченный представитель обязаны удостоверить свою личность предъявлением соответствующего документа.
        Богатый практический опыт работы с документами, на основании которых проводятся операции в реестре, накопленный ЦМД более чем за 10 лет работы в качестве регистратора на рынке ценных бумаг, позволил установить основные способы, используемые злоумышленниками для получения несанкционированного доступа к лицевым счетам зарегистрированных лиц:

  • изготовление и предъявление регистратору поддельного документа, удостоверяющего личность зарегистрированного лица;
  • изготовление и предъявление регистратору поддельных документов, дающих полномочия злоумышленнику действовать от имени зарегистрированного лица;
  • комбинированный, с применением элементов первых двух.
        Проблема своевременного выявления злоумышленников и предотвращения их неправомерных действий весьма актуальна, так как, кроме имущественного ущерба, измеряемого порой сотнями тысяч долларов, наносится значительный моральный ущерб владельцам ценных бумаг и страдает деловая репутация регистратора. Пострадавший владелец, у которого вчера на лицевом счете были ценные бумаги, а сегодня их нет, как правило, не воспринимает аргументы о непричастности регистратора к сложившейся ситуации.
        Руководство ЦМД уделяет большое внимание этой проблеме, привлекая для ее решения значительные человеческие и финансовые ресурсы. Создана и успешно используется на практике технология проверки достоверности документов, предъявляемых регистратору, для проведения операций в реестре. Особое внимание уделяется подготовке специалистов структурных подразделений, непосредственно реализующих технологические процессы.
        В ЦМД используются методические пособия по исследованию подписей и документов, удостоверяющих личность, подготовленные специалистами Академии ФСБ. Материалы этих пособий успешно применяются для повышения профессионального уровня специалистов компании.
        Опыт работы на рынке ценных бумаг показал, что наиболее эффективное противодействие злоумышленникам оказывается тогда, когда на их пути к достижению преступной цели выстраивается несколько рубежей защиты.
        На первом рубеже происходит идентификация личности клиента с документом, ее удостоверяющим, посредством регистрации реквизитов документа и сканирования фотографии, т. е. в специальной базе данных создается карточка клиента. Все последующие посещения этим клиентом регистратора фиксируются в базе данных с использованием ранее заведенной на него карточки. Создание еще одной карточки с реквизитами удостоверяющего личность документа, совпадающими с уже имеющимися в базе данных, невозможно, а следовательно, невозможно использовать поддельный документ зарегистрированного лица, посетившего регистратора хотя бы один раз. Кроме того, сам факт занесения реквизитов документа со сканированием фотографии оказывает сильное воздействие на психику злоумышленника, нередко заставляя его отказываться от своих намерений.
        На втором рубеже начинает работать технологический процесс проверки достоверности представленных документов, таких как доверенности, уставные документы и пр. Проверка осуществляется с использованием баз данных уставных документов, нотариусов, анкет зарегистрированных лиц. В отдельных случаях для установления факта достоверности подписи или оттиска печати на документе привлекается эксперт-криминалист. Его заключение является основанием для принятия правильного решения относительно представленного пакета документов и лица, представившего этот пакет.
        И наконец, третий рубеж. Было бы неправильно считать, что ЦМД ограничивается только отказами в проведении операций в реестре при выявлении поддельных документов.
        Руководством компании налажены тесные контакты с сотрудниками подразделений МВД РФ по борьбе с экономическими преступлениями. С их помощью осуществляется комплекс мер по изобличению и задержанию злоумышленников. Гласность результатов такой работы позволила создать атмосферу, неприемлемую для желающих совершать противоправные деяния.

    НОВЫЕ ТЕХНОЛОГИИ - РЕАЛЬНЫЙ ШАГ ВПЕРЕД В ДЕЛЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

        В мае-июне 2005 г. ЦМД предложит клиентам новый уровень обеспечения безопасности работы с использованием передовых технологий хранения данных.
        Основная идея предлагаемого уровня безопасности - внедрение системы отказоустойчивого консолидированного хранения данных на основе дисковой системы хранения данных IBM TotalStorage DS6000.
        Ввод в эксплуатацию новейшей системы отказоустойчивого хранения данных на основе решений IBM обеспечит дальнейшее повышение надежности хранения критически важной информации клиентов ЦМД. В результате скорость архивации информации регистратора увеличится в среднем в 2-2,5 раза по сравнению с той, которую дает применяемая в настоящее время система, что сократит время полной архивации с 20 до 8 часов. Система позволит сохранять данные <на лету>, фиксировать любые изменения имеющейся информации и архивировать эти изменения в реальном режиме времени.
        Наряду с вопросами информационной безопасности локальной вычислительной сети и системы ведения реестров специалистами ЦМД успешно решается проблема безопасности Интернет-сегмента компании. Так, в конце июня 2004 г. в рамках перестрахования рисков комплексного страхования финансового института за причинение убытков третьим лицам лондонским андеррайтером Lloyd's была заказана комплексная проверка безопасности Интернет-сегмента сети ЦМД. Проверку осуществляла английская компания DVS SYSTEMS SECURITY LTD, которая провела около 39 тыс. комбинаций различных типов атак, ни одна из которых не увенчалась успехом. По заявлениям представителя международного брокера на страховом рынке Marsh&McLennan, такого результата в России еще не было.
        Теория и практика обеспечения информационной безопасности не признает мелочей. Руководители компаний вынуждены учитывать любые, даже на первый взгляд незначительные события и факты, которые могут создать угрозу безопасности.
        Совершенствование средств защиты вызывает новый виток их развития и появление более совершенных способов проникновения в информационные системы, и наоборот. Основными же факторами, предопределяющими успешность решения задач обеспечения информационной безопасности, являются профессиональная подготовка сотрудников, занимающихся этой проблемой, своевременное и точное определение наиболее опасных направлений и рисков в профессиональной деятельности, правильная расстановка кадров, комплексное использование организационных, инженерных и программно-аппаратных средств.
        Отсутствие зарегистрированных событий, угрожающих информационной безопасности и безопасности вообще, иногда вызывает соблазн у руководителей компаний снизить затраты на этот вид деятельности. Это опасное заблуждение. Скорее всего, отсутствие атак как раз и сдерживается наличием постоянных и непреодолимых для злоумышленников барьеров. Но как не бывает абсолютной безопасности за любые деньги, так и не существует бесплатной безопасности. Истина, как всегда, где-то посередине.

    • Рейтинг
    • 0
    Оставить комментарий
    Добавить комментарий анонимно, введите имя:

    Введите код с картинки:
    Добавить комментарий как авторизованный посетитель: Войти в систему

    Содержание (развернуть содержание)
    Факты и комментарии
    Высокая рублевая ликвидность: продолжение тенденций валютно-денежного рынка в 2005 г.
    Валютный рынок-2005: вверх или вниз?
    Сезонные циклы российского фондового рынка
    Принципы регулирования: коллегиальность, независимость, бюджетная автономия
    Оценка паевого фонда: доходность или риск?
    Закрытые ПИФы недвижимости: западный путь или свой?
    НПО "Сатурн": курс на современные технологии и новые рынки
    Машиностроение: широкий спектр интересных активов
    Сводная таблица по акциям машиностроительных компаний
    Куда вкладывать в российском ВПК
    Укрупнение регионов: влияние на рынок субфедерального долга
    Прочный эмитент
    Специализированные депозитарии: новые направления и старые проблемы
    Новые стандарты расчетов на классическом рынке РТС
    Противостояние специализированного регистратора угрозам информационной безопасности
    Рейтинги экологических издержек - новый инструмент для инвесторов
    Численные методы анализа ставки дисконтирования
    Новое в законодательном регулировании инсайдерской деятельности на Мальте
    Модели создания Центрального депозитария с учетом специфики фондового рынка россии
    Центральный депозитарий Республики Узбекистан
    Очередные шаги в направлении консолидации расчетной депозитарной инфраструктуры
    Организационное и технологическое реформирование расчетной инфраструктуры
    Всю проблематику финансовых рынков не уместишь в один документ
    Институциональная реформа в корпоративном секторе
    Контроль и надзор на финансовом рынке
    Реформирование системы регулирования финансового рынка: проблемы и перспективы
    Стратегия и стратагемы
    О "Стратегии развития финансового рынка Российской Федерации"
    Управление рисками как приоритет регулирования финансового рынка
    К вопросу о стратегии развития расчетно-клиринговой инфраструктуры российского фондового рынка
    Сделки на рынке негосударственных облигационных займов
    45 миллиардов - это только начало

    • Статьи в открытом доступе
    • Статьи доступны на платной основе
    Актуальные темы    
     Сергей Хестанов
    Девальвация — горькое лекарство
    Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
    Александр Баранов
    Управление рисками НПФов с учетом новых требований Банка России
    В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
    Варвара Артюшенко
    Вместе мы — сила
    Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
    Сергей Майоров
    Применение blockchain для развития биржевых технологий и сервисов
    Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
    Все публикации →
    • Rambler's Top100