персонал или приглашения со стороны. При этом актуальным является вопрос не «если» потребуется, а «когда»…
Необходимость наличия актуальной программы киберправосудия, обеспеченной подготовленным персоналом с квалификацией сертифицированного инспектора по мошенничеству и требуемыми рабочими процедурами для проведения служебных расследований, должна полностью осознаваться.
В формируемых новыми информационными технологиями условиях «электронной» финансовой и, в частности, банковской деятельности кибермошенничества становятся все более привлекательными, так как преступник «может скрываться» за киберпространством и использовать для совершения преступления специфические технологии: сетевые, хакерские, шпионские, троянские и т. п., а также прикрытия в форме сетевых атак, фальсификации маршрутной информации (к примеру, IP-адресов при ДБО в варианте интернет-банкинга и др.), равно как и разнообразные приемы, которые позволяют скрывать инициатора мошенничества, его бенефициаров или же сами факты мошенничества (когда прикрытие срабатывает). Практически все подходы такого рода базируются на одной основе – сочетании тех или иных способов НСД к атакуемым ресурсам и БАС кредитных организаций, а также аппаратно-программным средствам их удаленных клиентов (в том числе через автоматизированные системы провайдеров).
Надо отметить, что любое мошенничество, реализуемое через тот или иной способ НСД, связано с упоминавшимся выше «хищением личности», то есть с приданием видимости легитимности обращения к каким-либо информационным активам и операциям с ними. Из этого следует, что основное внимание при использовании любых современных форм платежей и расчетов следует уделять способам и средствам подтверждения идентичности пользователя конкретных информационно-процессинговых ресурсов и правомерности использования тех или иных полномочий доступа к информационно-процессинговым ресурсам[54]. В свою очередь, само возникновение возможностей НСД всегда обусловлено недостатками в установлении ограничений на физический и логический доступ к АПО и информационным ресурсам организаций, что, в свою очередь, свидетельствует, как правило, о неполноте проведения приемо-сдаточных испытаний конкретных автоматизированных системы (БАС или СЭБ). Такая неполнота при построении логики рассуждений в обратном порядке свидетельствует о наличии недостатков в программах, методиках, актах и протоколах проведения этих испытаний, а значит, о недопонимании руководством банка значимости полного подтверждения заявленных свойств БАС и (или) СЭБ. Логическая последовательность обеспечения легитимности прав и полномочий доступа к чувствительным информационно-процессинговым ресурсам, с известной долей условности показана на рисунке 3.2, скомпонованном на основе карикатуры, хорошо отражающей суть данной проблематики. Тем самым отражается также тесная и неразрывная связь процедур управления распределением прав и полномочий доступа
При наиболее общем подходе понятие «пользователь» охватывает всех участников ИКБД как в банке, так и вне его, то есть и операционистов, и операторов, и администраторов (системных, сетевых, баз данных, информационной безопасности и т. п.), а также клиентов ДБО.
