Нормативная документация
Р 78.36.035-2013 Рекомендации по организации комплексной централизованной охраны банковских устройств самообслуживания

Содержание

Введение

1. Общие положения

1.1. Термины и определения

1.2. Сокращения

2. Классификация банковских устройств самообслуживания

2.1. Классификация БУС по конструкции, области применения и способу установки

2.2. Классификация БУС по материальной ценности

2.3. Классификация БУС по функциональным возможностям

2.4. Классификация БУС по устойчивости к взлому

3. Категорирование мест размещения банковских устройств самообслуживания

3.1. Места размещения категории Р1

3.2. Места размещения категории Р2

3.3. Места размещения категории Р3

3.4. Места размещения категории Р4

4. Модель нарушителя, основные виды криминальных угроз банковским устройствам самообслуживания, способы защиты

4.1. Модель нарушителя, совершающего криминальные посягательства на БУС

4.2. Основные виды криминальных угроз в отношении БУС и рекомендуемые способы защиты

5. Рекомендации по выбору мест размещения банковских устройств самообслуживания

5.1. Общие требования к выбору мест размещения БУС

5.2. Дополнительные требования к выбору мест размещения БУС в зависимости от установленной категории

6. Рекомендации по инженерно-технической укрепленности и оборудованию техническими средствами охраны банковских устройств самообслуживания и мест их размещения

6.1. Общие положения по защите БУС и мест их размещения от преступных посягательств

6.2. Требования к инженерно-технической укрепленности БУС

6.3. Рекомендации по обеспечению противо-криминальной защиты БУС группы ОП

6.4. Рекомендации по обеспечению противокрими-нальной защиты БУС группы ОВ

6.5. Рекомендации по обеспечению противо-криминальной защиты БУС группы ОУ

6.6. Рекомендации по обеспечению противо-криминальной защиты БУС группы СП

6.7. Рекомендации по обеспечению противо-криминальной защиты БУС группы СВ

6.8. Рекомендации по обеспечению противо-криминальной защиты БУС группы СУ

7. Рекомендации по выбору технических средств для организации комплексной охраны банковских устройств самообслуживания

7.1. Средства обнаружения проникновения

7.2. Средства тревожной сигнализации

7.3. Средства охранные телевизионные

7.4. Охранно-поисковые средства

7.5. Средства активной защиты и оповещения

7.6. Средства защиты кассет с деньгами

7.7. Средства защиты от скимминга

7.8. Средства контроля и передачи извещений

7.9. Средства контроля и управления доступом

7.10. Шлюзовые кабины безопасности

Использованные источники

Приложение А. Основные варианты размещения банковских устройств самообслуживания

Приложение Б. Классификация сейфов банковских устройств самообслуживания по устойчивости к взлому

Приложение В. Классификация строительных конструкций зон размещения банковских устройств самообслуживания по устойчивости к криминальному разрушению

Приложение Г. Классификация антивандальной защиты банковских устройств самообслуживания и технических средств охраны

Приложение Д. Классификация дверных конструкций зон размещения банковских устройств самообслуживания по устойчивости к взлому

Приложение Е. Классификация оконных конструкций зон размещения банковских устройств самообслуживания по устойчивости к криминальному разрушению















4. МОДЕЛЬ НАРУШИТЕЛЯ, ОСНОВНЫЕ ВИДЫ КРИМИНАЛЬНЫХ УГРОЗ БАНКОВСКИМ УСТРОЙСТВАМ САМООБСЛУЖИВАНИЯ, СПОСОБЫ ЗАЩИТЫ

4.1. Модель нарушителя, совершающего криминальные посягательства на БУС

4.1.1. Общие критерии формирования модели нарушителя


Основная задача нарушителя, целью которого является тайное хищение (кража) наличных денег из сейфа БУС, заключается в скрытном преодолении средств инженерно-технической укрепленности БУС и помещения, в котором оно установлено, "обходе" ТСОС, СКУД и СОТ (при их наличии) для получения неправомерного доступа к наличным деньгам, размещенным в сейфе БУС, электронным компонентам (компьютеру) БУС, каналам связи или персональным данным ИЭК клиентов, использующих БУС для осуществления дистанционного банковского обслуживания или платежных операций.

Основная цель создания системы комплексной централизованной охраны БУС – противостоять угрозе незаконного проникновения нарушителя в зону размещения БУС и совершения противоправных действий по отношению к БУС и средствам обеспечения его безопасности (охранной сигнализации, видеонаблюдения).

Поэтому в процессе концептуального проектирования такой системы важно создать модель нарушителя и создаваемых им угроз для определения впоследствии оптимального состава системы, отвечающего требованиям по надежности охраны и ее технико-экономической эффективности.

Модель угроз представляет собой перечень возможных способов достижения нарушителем своей цели, а также сценария наиболее вероятных его действий при несанкционированном проникновении в зону размещения БУС и совершении криминальных воздействий на БУС.

Такой подход дает возможность сформировать требования к ИТУ, ТСОС, СКУД, СОТ, ТСАЗ и другим средствам противокриминальной защиты БУС, при реализации которых возможно обеспечить эффективную защиту БУС от преступных посягательств.

Исходя из многообразия характеристик нарушителей, можно выделить следующие критерии их классификации.

1. По мотивации:

- случайный нарушитель (попал на объект случайно);

- преднамеренный нарушитель (действует с определённым умыслом).

2. По уровню подготовки:

- квалифицированный (профессионал) – основной деятельностью такого нарушителя (организованной преступной группы) являются криминальные посягательства на БУС, преодоление систем обеспечения их безопасности, он имеет большой опыт такой деятельности и, как правило, хорошо оснащён;

- подготовленный – имеющий общие знания об устройстве БУС и системах обеспечения их безопасности, системах сигнализации, методах обхода, информацию о конкретном объекте, на котором установлено БУС, и (возможно) опыт проникновения;

- неподготовленный – не имеющий знаний об устройстве БУС и системах обеспечения их безопасности, системах сигнализации, причем как общих, так и специальных – применительно к конкретному объекту, а также опыта проникновения (взлома или кражи БУС).

3. По численности:

- одиночный;

- организованная преступная группа.

4. По отношению к охраняемому объекту (организации, в которой установлено БУС):

- внешний нарушитель (в настоящее время, не имеет прямого отношения к кредитной, обслуживающей организациям, арендодателю);

- внутренний нарушитель (является сотрудником кредитной, платежной или обслуживающей БУС организаций, либо арендодателя, использует служебное положение и знания для осуществления преступления, либо подготовки к нему.

- группа лиц, имеющих различное отношение к охраняемому объекту, действующих по предварительному сговору.

5. По степени осведомлённости о функционировании и структуре охраняемого объекта (о самом БУС, а также об организации, в которой установлено и функционирует БУС), о его системе охраны:

- неосведомлённый;

- имеющий общую информацию;

- имеющий детальную информацию.

6. По степени технической оснащённости:

- не оснащён;

- оснащён бытовыми средствами (стандартными инструментами);

- оснащён специальными средствами и оборудованием.

7. По физическому состоянию:

- находящийся в хорошей физической форме;

- имеющий слабую физическую подготовку или травмы (заболевания).

8. По преследуемым целям:

- для взлома нижнего кабинета (сейфа) БУС с целью хищения хранящихся в нем кассет с наличными деньгами;

- для несанкционированного перемещения (хищения) БУС целиком с целью последующего взлома в удаленном скрытом месте;

- для установки устройств на БУС и (или) в зоне его размещения, предназначенных для неправомерного доступа к персональным данным ИЭК (скиммера, скрытой видеокамеры, накладки на клавиатуру и т.п.) или для механической блокировки (кражи) ИЭК ("ливанская петля") и др.

9. По способу незаконного проникновения:

- контактный (непосредственное проникновение на территорию и/или в помещение охраняемого объекта и выполнение необходимых действий);

- бесконтактный (использование различных дистанционных технологий неправомерного доступа к конфиденциальным данным ИЭК и кражи денежных средств со счетов граждан).

Обычно, прежде чем действовать, опытные нарушители производят "разведку" – сбор информации об объекте и его системе охраны. Исключение могут составлять случаи, требующие немедленного принятия решения и действий. Возможно также появление их самих на объекте охраны под благовидным предлогом, например, в качестве посетителя, покупателя, рекламного агента, случайного лица и т.п. Следовательно, важно не допустить утечки информации и принять комплекс мер, препятствующих этому.

Возможен также сговор с работниками кредитной или иной организации, в которой установлено БУС, или сотрудниками подразделением безопасности этой организации, причём побуждения могут быть различными, начиная с элементарного подкупа и заканчивая шантажом.

В любом случае нарушителю необходимо достичь цели, минуя элементы ИТУ, ТСОС, СОТ и СКУД (если она установлена).

При этом нарушителю важно получить доступ в интересующее место и не "засветиться" (не обнаружить себя). Для преодоления охранных рубежей нарушителями могут применяться следующие приёмы:

- проход по сговору;

- обман СКУД;

- обход зон обнаружения ТСОС и зон видеонаблюдения СОТ;

- саботаж работы ТСОС, СКУД, СОТ, ТСАЗ.

4.1.2. Типология нарушителей по подготовленности к преодолению системы охраны

В целом личность нарушителя можно определить как личность человека, который способен на преступления вследствие присущих ему психологических особенностей, антиобщественных взглядов, отрицательного отношения к нравственным ценностям и вследствие выбора общественно опасного пути для добровольного удовлетворения своих потребностей, под принуждением или в силу сложившихся обстоятельств.

Специфическая сущность личности нарушителя заключается в особенностях его психического склада, которые выражают собой внутренние предпосылки антиобщественного поведения. Общественную опасность представляет потенциальная предрасположенность личности к преступному поведению, которая понимается как внутренняя возможность совершения при определенных условиях преступных действий.

Можно выделить две группы нарушителей, отличающихся характером поведения при совершении противоправных действий на объекте, – осторожные и неосторожные.

Осторожные нарушители характеризуются, как правило, низким уровнем тревожности, проявляют общительность, стремятся к установлению межличностных контактов, социально адаптированы, в наименьшей степени упрекают себя за совершение преступления.

Неосторожные нарушители характеризуются высоким уровнем тревожности, проявляют неуверенность в себе, склонность к волнениям при стрессе, избыточный самоконтроль, непродуманное поведение, реализуют эмоциональные, а не рациональные, спокойные реакции на угрозы в экстремальной ситуации.

Дерзкие нарушители характеризуются высоким уровнем тревожности, при этом самоуверенны, резки в общении и реагировании на угрозы в экстремальной ситуации.

Психологические аспекты поведения нарушителей, совершающих криминальные действия в отношении БУС, необходимо учитывать, в частности, при выборе тактики действия сотрудников полиции (ГЗ СПВО), осуществляющих оперативное реагирование по сигналу тревоги, проступившему с объекта, на котором установлено активное средство защиты БУС (п.7.5.3), оказывающее отпугивающее или дезориентирующее воздействие на нарушителей.

Физическая подготовленность нарушителя характеризуется развитостью его физических возможностей по перемещению на объекте, преодолению средств ИТУ БУС и зоны его размещения.

Объединяя психологические особенности и физическое состояние, можно охарактеризовать высокоподготовленного нарушителя как осторожного, решительного, физически развитого человека. Слабый уровень психофизической подготовленности характеризуется плохим физическим развитием, высоким уровнем тревожности нарушителя, неуверенностью в себе. Промежуточное положение между ними занимает средний уровень психофизической подготовленности.

Уровень технической подготовленности нарушителя характеризуется наличием у него специальных технических средств для проникновения и навыков в обращении с ними. Высокая степень технической подготовленности подразумевает наличие специальных наборов инструментов, оборудования и высокую квалификация нарушителя по их применению. Для внешнего или внутреннего нарушителя среднего уровня подготовленности это может быть подобранный под конкретную задачу набор самодельных или усовершенствованных технических средств. Нарушитель с низким уровнем технической подготовленности использует, как правило, подручные, бытовые легкодоступные средства или не использует их вовсе.

Осведомленность нарушителя об охраняемом объекте (как самих БУС, так и зон их размещения) и системе охраны существенно влияет на уровень его подготовленности. Можно выделить три типичных уровня осведомленности нарушителя:

- высокая – нарушитель знает практически все об устройстве БУС, об организации зон его размещения (зоны самообслуживания, сервисной зоны), о системе охраны и их уязвимых местах;

- средняя – нарушитель знает сравнительно много об устройстве БУС, об организации зон его размещения (зоны самообслуживания, сервисной зоны), но не знает уязвимых мест БУС и зон их размещения, имеет недостаточно знаний о системе охраны, значимости критических элементов защиты и точных местах их нахождения;

- низкая – нарушитель имеет общее представление об устройстве БУС и системе его охраны, но практически ничего не знает об уязвимых местах БУС и зон его размещения, значимости и местах нахождения критических элементов защиты.

Рассмотрим обобщенную модель возможных действий нарушителей в зависимости от уровня их подготовленности.

1. Квалифицированный нарушитель при планировании и подготовке к совершению криминальных посягательств на БУС, как правило, проводит внешний осмотр здания, в котором установлено БУС, выбранное им в качестве объекта криминального посягательства, изучает прилегающую территорию и пути подъезда к зданию, а также пути "отхода" в случае прибытия ГЗ СПВО или внутренней службы охраны кредитной или иной организации.

Он визуально изучает внутри этого здания конкретное помещение, в котором установлено БУС, где расположены зона самообслуживания и сервисная зона данного БУС, визуально определяет уровень ИТУ помещения, наличие СКУД, ТСАЗ, типы и места расположения ТСОС, видеокамер СОТ, с целью выбора такого способа проникновения внутрь здания и помещения, где установлено БУС, при котором он сможет остаться незамеченным для указанных средств охраны. Его квалификация позволяет ему применять любой способ проникновения. Однако особое внимание он уделяет возможности заблаговременного выведения из строя ТСО на объекте (в том числе и путем сговора с персоналом объекта) или выбору объектов, на которых ТСО (ТСОС, видеокамеры СОТ, элементы СКУД) временно находятся в неисправном состоянии или выключены. Как правило, он предварительно оценивает время оперативного реагирования ГЗ СПВО путем инициирования ложного сигнала тревоги (удары в дверь, окна, отключение электропитания и др.).

Квалифицированного нарушителя интересуют в первую очередь БУС высокой категории материальной значимости (чаще всего М1, реже М2), количество которых в регионе (округе, поселении) ограничено. Такие нарушители являются наиболее опасными, так как чаще всего успешно совершают кражи с большим ущербом. Однако в течение года большую серию краж они не реализуют из-за малого числа интересующих их объектов в одном регионе с допустимым для них риском неудачной кражи.

2. Подготовленный нарушитель на этапе планирования и подготовки преступления проводит, как правило, внешний осмотр здания и прилегающей территории объекта так же, как и квалифицированный нарушитель. Степень подготовленности позволяет ему реализовать "квалифицированные" способы проникновения в зону размещения БУС, связанные с проломом стен, пола, потолка, подбором ключей (специальных отмычек), проникновением в здание до его сдачи под охрану, и осуществить взлом сейфа БУС или кражу БУС целиком с помощью стандартных (по ГОСТ Р 50862-2012) средств взлома, имеющихся в свободной продаже. Только часть таких нарушителей удается задержать по горячим следам, остальные в течение года могут совершить серию из нескольких краж.

3. Неподготовленный нарушитель при подготовке к совершению кражи ограничивается внешним осмотром здания, оценивает в основном техническую укрепленность окон и дверей и качество охранного освещения. Попытки проникновения он совершает, например, путем разрушения стекол или выбивания дверей слабо укрепленных объектов в надежде совершить кражу "на рывок". Нарушителей этого типа в большинстве случаев удается задержать при совершении первой кражи на охраняемом объекте. При срабатывании ТСАЗ на объекте (звукового или комбинированного охранного оповещателя, охранно-дымовой, газовой системы или системы активной защиты помещения туманом) такой нарушитель чаще всего прекращает дальнейшее проникновение и покидает объект.

Модель наиболее вероятного нарушителя для конкретного объекта выбирается из типовых (или создается специально) в результате анализа статистики нарушений на защищаемом и аналогичных объектах, а также криминогенной обстановки в регионе и ее прогноза.

4.1.3. Классификация нарушителей, совершающих преступные посягательства на БУС

Основные категории нарушителей и виды совершаемых ими преступлений, связанных с незаконным проникновением в зону размещения БУС, криминальными посягательствами на БУС и конфиденциальную информацию ИЭК, а также на пользователей БУС, инкассаторов и обслуживающий персонал, приведены в таблице 4.1.

Таблица 4.1 – Категории нарушителей и виды совершаемых преступлений
Категория нарушителя Виды совершаемых преступлений Квалификация преступления
Н1В

Незаконное проникновение в зону размещения БУС (сервисную зону).
Саботаж работы ТСОС.
Взлом сейфа БУС с помощью высокопроизводительных средств взлома, в том числе – взрывных устройств.
Изъятие наличных денег из БУС.

Статья 158 УК РФ (кража)

Н2В

Незаконное проникновение в зону размещения БУС (сервисную зону).
Саботаж работы ТСОС.
Несанкционированное перемещение БУС с использованием автотранспортного или специального средства перемещения.
Взлом БУС в удаленном скрытом специально оборудованном месте.
Изъятие наличных денег из БУС.

Статья 158 УК РФ (кража)

Н3В

Незаконное проникновение в зону размещения БУС (сервисную зону).
Взлом сейфа БУС с использованием простейших механических средств взлома.
Изъятие наличных денег из БУС.

Статья 158 УК РФ (кража)

Н4В

Незаконное проникновение в зону размещения БУС (сервисную зону).
Несанкционированное перемещение БУС ручным способом или с помощью подручных средств.
Взлом БУС в удаленном скрытом месте.
Изъятие наличных денег из БУС.

Ст.158 УК РФ (кража)

Н5В

Разрушение или повреждение лицевой панели (экрана, клавиатуры) верхнего кабинета БУС, совершаемое из хулиганских побуждений или из-за низкой осведомленности о месте хранения наличных денег в БУС

Ст. 167 УК РФ (умышленные уничтожение или повреждение имущества)

Н1Р

Разбойное нападение на работников кредитной или иной организации, осуществляющих инкассацию, обслуживание (ремонт) и охрану БУС с целью получения доступа к наличным деньгам, хранящимся в сейфе БУС.

Ст. 162 УК РФ (разбой), ст. 317, 318 (в случае нападения на сотрудника вневедомственной охраны)

Н2Р

Ограбление пользователя БУС (клиента банка) при получении им наличных денег из БУС или получение пользователем БУС наличных денег под принуждением.

Ст. 161 УК РФ (грабеж) или ст. 162 УК РФ (разбой)

Н3Р

Кража наличных денег, ИЭК или другого имущества у пользователя БУС при осуществлении им дистанционного банковского обслуживания.

Ст. 158 УК РФ (кража)

Н1К

Незаконное проникновение в зону размещения БУС (сервисную зону), кроме БУС, установленных на улице или в "зоне 24".
Вскрытие верхнего кабинета БУС.
Незаконное подключение к компьютеру БУС, переустановка ПО БУС, измененного под криминальные цели, инсталляция вредоносных компьютерных программ в ПО БУС.

Ст. 272 УК РФ (неправомерный доступ к компьютерной информации),
ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ)

Н2К

Установка скиммингового оборудования с целью кражи конфиденциальных данных ИЭК клиентов. Другие различные виды мошенничества в сфере дистанционного банковского обслуживания.

Ст. 272 УК РФ (неправомерный доступ к компьютерной информации)7,
ст. 159 УК РФ (мошенничество)



_____________
7 С учетом положений ст.30, ч.3 и ч.4 ст.159, ст.159.3 УК РФ, ч.1 ст.3 Федерального закона 27 июля 2006 г. № 152-ФЗ "О персональных данных" [7] и п.3.3 Положения Банка России от 19 августа 2004 г. №262-П [8].




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |