Studentam.net.ua

5.4. Нормативна база банку з інформаційної безпеки

   Якщо говорити про захист банківської інформації, мабуть не слід сподіватись тільки на правове поле, створене відповідними державними органами, тим більше, що останнє має багато суперечностей і дає змогу по-різному трактувати ті чи інші норми. Крім того, застосовувати деякі положення законів можна, тільки спираючись на нормативну базу самого банку. Наприклад, відповідальність за розголошення відомостей, що становлять комерційну таємницю, згідно зі ст. 232 Кримінального кодексу, стосується осіб, яким ця таємниця відома у зв’язку з їх професійною або службовою діяльністю. Доказом того, що особа мала доступ до відповідних відомостей, що становлять комерційну таємницю, є наказ банку, в якому зазначається перелік посадових осіб, котрим доводиться зміст банківської і комерційної таємниці.
   Для вирішення зазначених питань банку насамперед необхідно юридично закріпити правовий статус його комерційної таємниці. Такий статус оформлюється шляхом визначення і внесення відповідних положень до документів, що регламентують діяльність банку.
   Так, у США, Німеччині, Японії, інших країнах захист комерційної таємниці забезпечується системою промислової таємності. При цьому основна роль у забезпеченні її збереження належить самим фірмам, банкам, а не державним органам.
   В Японії, наприклад, ця проблема вирішується департаментом кадрів, який є в кожній японській фірмі та банку. Він здійснює контроль за точним виконанням режиму таємності, який базується на Кодексі поведінки службовців. Згідно з положеннями Кодексу, службовцям фірми, банку забороняється:
- передавати стороннім особам відомості, що містять комерційну таємницю;
- укладати угоди, які можуть підірвати довіру до компанії, банку з боку клієнтів;
- влаштовуватись без дозволу керівництва на роботу за сумісництвом;
- навмисно завдавати економічних збитків;
- давати й отримувати хабарі.
   Саме японський бізнес найменше страждає від втрати інформації.
   Вітчизняними банками напрацьовано деякий досвід організації захисту їхньої інформації з обмеженим доступом. Організація захисту ґрунтується на нормативній базі банків, яка регламентує це питання. Насамперед відповідні положення про захист комерційної таємниці включаються до Статуту банку. Зокрема, в них вказується право банку на:
- комерційну таємницю;
- самостійне визначення складу й обсягу відомостей, що становлять комерційну таємницю і конфіденційну інформацію банку;
- захист комерційної таємниці.
   Такі положення, зафіксовані в статуті, дають банку юридичне право організовувати захист його таємниць; включати вимоги щодо захисту комерційної таємниці в усі договори й угоди комерційного характеру; домагатися відшкодування збитків, завданих від посягання на інформацію з обмеженим доступом; видавати нормативні та інші документи з питань захисту банківської і комерційної таємниці; створювати відповідні підрозділи захисту таємниць банку.
   При визначенні складу комерційної таємниці необхідно виходити з економічної вигоди і безпеки банку. Занадто таємна діяльність банку може обернутись втратою прибутку через те, що умови ринку вимагають широкої реклами. Водночас зневажливе ставлення до комерційної таємниці також може призвести до негативних результатів. Американські фахівці доводять, що втрата 20 % інформації з обмеженим доступом призводить до банкрутства фірм, банків у 60 випадках із 100.
   До комерційної таємниці доцільно віднести інформацію, яка характеризує нові банківські технології, роботу в галузі розробки нових послуг, плани відкриття філій, виходу на нові ринки чи в нові сфери.
   Особливу увагу слід приділити охороні інформації, яку містять договори та угоди, що їх укладає банк. Зміст або окремі положення деяких з них, безумовно, можуть становити комерційну таємницю банку.
   В окремих випадках охороні підлягає не тільки зміст договору, а й сам факт його укладення.
   Комерційну таємницю може також становити інформація про перспективні методи управління персоналом, політику банку щодо надання послуг, фінансові, ділові й комерційні стосунки з партнерами, дані про керівний склад банку, способи захисту інтересів банку та організацію його безпеки тощо. Склад інформації, яка є комерційною таємницею, в кожному випадку визначається керівництвом банку.
   Одним із важливих нормативних документів банку з інформаційної безпеки є Положення про комерційну таємницю і конфіденційну інформацію, яке оголошується наказом по банку. У ньому вказують склад відомостей, що становлять комерційну таємницю та конфіденційну інформацію банку, порядок їх захисту в установах банку, хто відповідає за організацію заходів захисту, відповідальність за розголошення таких відомостей. У наказі може вказуватись склад комісії, яка розглядатиме і визначатиме цінність банківської інформації, подавати пропозиції керівникові банку щодо надання відповідній інформації статусу комерційної таємниці чи конфіденційної інформації.
   Наказом також можуть передбачатися заходи щодо роботи персоналу стосовно збереження ним у таємниці службової інформації.
   Визначення порядку захисту інформації, організації роботи з нею здійснюється відповідно до Положення про організацію роботи з інформацією, що становить банківську і комерційну таємницю та є конфіденційною. Положення передбачає: права співробітників банку та інших осіб щодо отримання інформації, з обмеженим доступом, обов’язки посадових осіб і службовців банку щодо роботи з грифованими документами, виробами та засобами, правила ведення конфіденційних переговорів за допомогою засобів зв’язку, спілкування з клієнтами та відвідувачами; правила оформлення доступу до інформації з обмеженим доступом, порядок розроблення, зберігання, пересилання та руху грифованих документів в установах банку; загальні обов’язки персоналу банку щодо зберігання його таємниць; порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом; інші питання, що регулюють правила доступу до інформації з обмеженим доступом.
   Окремим наказом по банку може оголошуватись список осіб, яким у повному обсязі може доводитись інформація, що становить банківську і комерційну таємницю та є конфіденційною.
   До нормативної бази банку з питань захисту інформації також відносять зобов’язання службовців банку про збереження комерційної таємниці, угоди про конфіденційність з клієнтами, партнерами та іншими суб’єктами, з якими банк вступає у правовідносини, різного характеру пам’ятки, інструкції, заяви тощо.
   До цього типу документів належать внутрішній розпорядок роботи та розпорядження щодо організації доступу в установу банку.
   Як приклад, нижче наводиться перелік нормативних актів одного із українських банків щодо захисту його інформації з обмеженим доступом.
   1. Положення про комерційну таємницю і конфіденційну інформацію банку та правила їх збереження.
   2. Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю банку.
   3. Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.
   4. Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками.
   5. Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем.
   6. Інструкція про проведення службових розслідувань в установах банку.
   7. Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти.
   8. Інструкція щодо дій у разі компрометації криптографічних ключів в установах банку.
   9. Інструкція зі знищення на електронних носіях документів, які містять ключові дані, конфіденційну інформацію, банківську або комерційну таємницю.
   10. Положення про технічний захист інформації у банку.
   11. Технологічна інструкція служби фінансової безпеки.
   12. Положення про порядок одержання доступу до локальної обчислювальної мережі та ресурсів систем електронної обробки інформації.
   13. Положення про режимні приміщення банку.
   Таким чином, нормативна база банку з питань інформаційної безпеки не вимагає якихось великих зусиль та витрат для її створення, але вона є основою для правового захисту як таємниць банку, так і всієї його діяльності.

Література
1. Закони України:
- “Про міліцію” від 20.12.1990 р. зі змінами і доповненнями;
- “Про державну податкову службу в Україні” від 04.12.1990 р. зі змінами і доповненнями;
- “Про підприємства в Україні” від 27.03.1991 р. зі змінами і доповненнями;
- “Про прокуратуру” від 05.11.1991 р.;
- “Про оперативно-розшукову діяльність” від 18.02.1992 р.;
- “Про службу безпеки України” від 27.03.1992 р.;
- “Про інформацію” від 02.10.1992 р. із змінами і доповненнями;
- “Про статус суддів” від 15.12.1992 р.;
- “Про державну контрольно-ревізійну службу в Україні” від 26.01.93 р.;
- “Про організаційно-правові основи боротьби з організованою злочинністю” від 30.06.1993 р.;
- “Про антимонопольний комітет України” від 26.11. 1993 р.;
- “Про захист інформації в автоматизованих системах” від 05.07.1994 р. зі змінами і доповненнями;
- “Про захист від недобросовісної конкуренції” від 07.06.1996 р.;
- “Про Національну депозитарну систему та особливості електронного обігу цінних паперів в Україні” від 10.12.1997 р.;
- “Про заходи протидії незаконному обігу наркотичних засобів, психотропних речовин і прекурсів та зловживанню ними” від 08.07.1999 р.;
- “Про банки і банківську діяльність” від 07.12.2000 р.
2. Постанова Кабінету Міністрів України “Про перелік відомостей, які не можуть становити комерційну таємницю” № 611 від 09.08.1993 р.
3. Постанова Кабінету Міністрів України “Про затвердження примірної Інструкції з діловодства у міністерствах, інших центральних органах виконавчої влади, Раді Міністрів Автономної Республіки Крим, місцевих органах виконавчої влади” № 1153 від 17.10.1997 р.
4. Постанова Кабінету Міністрів України і Національного банку України “Про сорок рекомендацій Групи з розробки фінансових заходів боротьби з відмиванням грошей (FAMF)” № 1124 від 28.08.2001 р.
5. Лист НБУ від 24.10.2000 р. № 43-311/4502-7137 “Про порядок виїмки документів”.
6. Лист НБУ від 19.04.2001 р. № 18-112/1467-2599 “Про роз’яснення порядку виконання окремих положень Закону України “Про банки і банківську діяльність”.
7. Лист НБУ від 28.04.2001 р. № 25-120/849-2737 “Про застосування пункту 1.6 Інструкції про порядок відкриття та використання рахунків у національній та іноземній валюті”.
8. Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу. — К.: ДСТСЗІ СБУ, 1999.
9. Большаков А., Петряев А. и др. Основы обеспечения безопасности данных в компьютерных системах и сетях. — СПб., 1996.
10. Вертузаєв М., Голубєв В. та ін. Безпека комп’ютерних систем. — К.: НАВСУ, 1998.
11. Винокуров Ю., Могильный А. Как защитить коммерческую тайну // Служба безопасности. — 1999. — № 9—10.
12. Винокуров Ю., Прутник Є. Комерційна таємниця банку та правове забезпечення її функціонування та захисту. — Донецьк: Донбас, 1999.
13. Гавриш В. Практическое пособие по защите коммерческой тайны. — Симферополь: Таврида, 1994.
14. Домарев В. Каналы утечки информации // Бизнес и безопасность. — 1997. — № 1.
15. Зубок М., Ніколаєва Л. Організаційно-правові основи безпеки банківської діяльності в Україні. — К.: Істина, 2000.
16. Никифоров Г., Азнакеев Г. Защита коммерческой тайны. — К.: Юринформ, 1994.
17. Попов А. Захист персональних комп’ютерів. — К.: ІБ, 1998.
18. Солдаткин С. Политика информационной безопасности // Служба безопасности. — 1998. — № 7—8.
19. И тогда никто не похитит вашей тайны // Служба безопасности. — 1998. — № 7—8.
20. Соловьев Э. Коммерческая тайна и ее защита. — М.: Главбух, 1995.
21. Стрельченко Ю. Обеспечение информационной безопасности банков. — М.: ИПКИР, 1994.
22. Шевырев А. Технические средства обеспечения конфиденциальности переговоров и совещаний. Мифы и реальность // Бизнес и безопасность. — 1999. — № 4.
23. Ярочкин В. Коммерческая информация фирмы. — М.: Ось-89, 1997.
24. Ярочкин В. Предприниматель и безопасность. Ч. 1, 2. — М.: Ось-89, 1994.