НОРМАТИВНАЯ БАЗА БАНКА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Если говорить о защите банковской информации, видимо, не следует надеяться только на правовое поле, созданное соответствующими государственными органами, тем более, что последнее имеет много противоречий и дает возможность по-разному трактовать те или иные нормы. Кроме того, применять некоторые положения законов можно, только опираясь на нормативную базу самого банка. Например, ответственность за разглашение сведений, составляющих коммерческую тайну, согласно ст. 232 Уголовного кодекса, касается лиц, которым эта тайна известна в связи с их профессиональной или служебной деятельностью. Доказательством того, что лицо имело доступ к соответствующим сведений, составляющих коммерческую тайну, является приказ банка, в котором указывается перечень должностных лиц, которым приходится содержание банковской и коммерческой тайны.

Для решения указанных вопросов банка прежде всего необходимо юридически закрепить правовой статус его коммерческой тайны. Такой статус оформляется путем определения и внесения соответствующих положений в документы, регламентирующие деятельность банка.

Так, в США, Германии, Японии и других странах защита коммерческой тайны обеспечивается системой промышленной секретности. При этом основная роль в обеспечении ее сохранности принадлежит самим фирмам, банкам, а не государственным органам.

В Японии, например, эта проблема решается департаментом кадров, который есть в каждой японской фирме и банка. Он осуществляет контроль за точным выполнением режима секретности, который базируется на Кодексе поведения служащих. Согласно положениям Кодекса, служащим фирмы, банку запрещается:

- Передавать посторонним лицам сведения, содержащие коммерческую тайну;

- Заключать соглашения, которые могут подорвать доверие к компании, банку со стороны клиентов;

- Устраиваться без разрешения руководства на работу по совместительству;

- Намеренно наносить экономический ущерб;

- Давать и получать взятки.

Именно японский бизнес менее страдает от потери информации.

Отечественными банками наработан некоторый опыт организации защиты их информации с ограниченным доступом. Организация защиты основывается на нормативной базе банков, которая регламентирует этот вопрос. Прежде соответствующие положения о защите коммерческой тайны включаются в Устав банка. В частности, в них указывается право банка на:

- Коммерческую тайну;

- Самостоятельное определение состава и объема сведений, составляющих коммерческую тайну и конфиденциальную информацию банка;

- Защита коммерческой тайны.

Такие положения, зафиксированные в уставе, дают банку юридическое право организовывать защиту его тайн; включать требования по защите коммерческой тайны во все договоры и соглашения коммерческого характера; добиваться возмещения убытков, причиненных от посягательства на информацию с ограниченным доступом; выдавать нормативные документы по вопросам защиты банковской и коммерческой тайны; создавать соответствующие подразделения защиты тайн банка.

При определении состава коммерческой тайны необходимо исходить из экономической выгоды и безопасности банка. Слишком тайная деятельность банка может обернуться потерей прибыли из-за того, что условия рынка требуют широкой рекламы. Вместе пренебрежительное отношение к коммерческой тайне может привести к негативным результатам. Американские специалисты доказывают, что потеря 20% информации с ограниченным доступом приводит к банкротству фирм, банков в 60 случаях из 100.

К коммерческой тайне целесообразно отнести информацию, которая характеризует новые банковские технологии, работу в области разработки новых услуг, планы открытия филиалов, выхода на новые рынки или в новые сферы.

Особое внимание следует уделить охране информации, заключают договоры и соглашения, которые заключает банк. Содержание или отдельные положения некоторых из них, безусловно, могут составлять коммерческую тайну банка.

В отдельных случаях охране подлежит не только содержание договора, но и сам факт его заключения.

Коммерческую тайну может также представлять информация о перспективных методах управления персоналом, политику банка по предоставлению услуг, финансовые, деловые и коммерческие отношения с партнерами, данные о руководящем составе банка, способы защиты интересов банка и организации его безопасности и т.д.. Состав информации, являющейся коммерческой тайной, в каждом случае определяется руководством банка.

Одним из важных нормативных документов банка по информационной безопасности является Положение о коммерческой тайне и конфиденциальной информации, которое объявляется приказом по банку. В нем указывают состав сведений, составляющих коммерческую тайну и конфиденциальную информацию банка, порядок их защиты в учреждениях банка, кто отвечает за организацию мер защиты, ответственность за разглашение таких сведений. В приказе может указываться состав комиссии, которая рассмотрит и определит ценность банковской информации, вносить предложения руководителю банка по предоставлению соответствующей информации статуса коммерческой тайны или конфиденциальной информации.

Приказом также могут предусматриваться мероприятия по работе персонала по сохранению ним в тайне служебной информации.

Определение порядка защиты информации, организации работы с ней осуществляется согласно Положению об организации работы с информацией, составляющей банковскую и коммерческую тайну и является конфиденциальной. Положение предусматривает: права сотрудников банка и других лиц относительно получения информации, с ограниченным доступом, обязанности должностных лиц и служащих банка по работе с грифованные документами, изделиями и средствами, правила ведения конфиденциальных переговоров с помощью средств связи, общения с клиентами и посетителями, правила оформления доступа к информации с ограниченным доступом, порядок разработки, хранения, пересылки и движения грифованные документов в учреждениях банка, общие обязанности персонала банка по хранению его тайн, порядок доступа на заседания и совещания, где обсуждаются вопросы, в которых присутствует информация с ограниченным доступом; другие вопросы, регулирующие правила доступа к информации с ограниченным доступом.

Отдельным приказом по банку может объявляться список лиц, которым в полном объеме может доводиться информация, составляющая банковскую и коммерческую тайну и является конфиденциальной.

К нормативной базы банка по вопросам защиты информации также относятся обязательства служащих банка о сохранении коммерческой тайны, соглашения о конфиденциальности с клиентами, партнерами и другими субъектами, с которыми банк вступает в правоотношения, разного характера памятника, инструкции, заявления и т.п..

К этому типу документов относятся внутренний распорядок работы и распоряжения по организации доступа в учреждение банка.

Как пример, ниже приводится перечень нормативных актов одного из украинских банков по защите его информации с ограниченным доступом.

1. Положение о коммерческой тайне и конфиденциальной информации банка и правила их хранения.

2. Инструкция о порядке подготовки, учета, обращения, хранения и уничтожения документов, дел, изданий и материалов, содержащих банковскую и коммерческую тайну банка.

3. Инструкция о порядке исполнения документов, поступающих в банк от правоохранительных органов, судов и других государственных учреждений.

4. Положения об обеспечении безопасности при предоставлении услуг по международным банковским платежным картам.

5. Инструкция о порядке предоставления доступа пользователям к автоматизированным банковским системам.

6. Инструкция о проведении служебных расследований в учреждениях банка.

7. Положение о порядке подготовки, передачи, обработки и хранения электронных документов при использовании электронной почты.

8. Инструкция по действиям в случае компрометации криптографических ключей в учреждениях банка.

9. Инструкция по уничтожению на электронных носителях документов, которые содержат ключевые данные, конфиденциальную информацию, банковскую или коммерческую тайну.

10. Положение о технической защите информации в банке.

11. Технологическая инструкция службы финансовой безопасности.

12. Положение о порядке получения доступа к локальной вычислительной сети и ресурсов систем электронной обработки информации.

13. Положение о режимные помещения банка.

Таким образом, нормативная база банка по вопросам информационной безопасности не требует каких-то больших усилий и затрат для ее создания, но она является основой для правовой защиты как тайн банка, так и всей его деятельности.