Анализ режима защиты банковской тайны

Автоматизированные системы  должны осуществлять обязательную регистрацию  всех попыток доступа и других критических событий в системе  в защищенном от модификации электронном  журнале.

Передаваемость информации, которая содержит банковскую тайну, электронной почтой или в режиме on-line осуществляется лишь в защищенном (зашифрованному) виде с контролем целостности и с обязательным предоставлением подтверждения о ее поступлении с электронной подписью получателя с использованием средств защиты.

 В случае отправления  данных на электронном носителе  добавляется сопроводительное письмо  в письменной форме с грифом "Банковская тайна", в котором  отмечаются данные о содержимом  носителя.

Листинги программ защиты информации, что содержат банковскую тайну, должны сохраняться банком на защищенных серверах или электронных  носителях.

Организационно-распорядительные документы определяют состав и регламентируют деятельность соответствующих органов  и служб при организации и  осуществлении защиты государственной  тайны.

Деятельность любого предприятия  сопровождается составлением разных видов  документов. Организационно-распорядительными  документами (ОРД) называют документы, функционирующие в сфере управления. С помощью ОРД определяются функции  и права органа управления, устанавливается  структура и штаты подразделений, контролируют подведомственные объекты, фиксируются кадровые решения и  т. д.

Можно выделить следующие  основные группы документов:

1) организационные (уставы, положения, штатное расписание, должностные  инструкции, правила внутреннего  трудового распорядка);

2) распорядительные (приказы  по основной деятельности, распоряжения, решения);

3) справочно-информационные (акты, письма, факсы, докладные записки,  справки, телефонограммы);

4) документы по личному  составу предприятия (приказы  по личному составу, трудовые  контракты, личные дела, личные  карточки по форме Т-2, лицевые  счета по зарплате, трудовые книжки);

5) коммерческие документы  (контракты, договоры);

Внутренняя деятельность предприятия регулируется его Уставом  или Положением, в которых отражаются основания его организации и  правовой статус, выполняемые функции, права, обязанности, ответственность, формы собственности, взаимоотношения  с партнерами и государственными органами, порядок реорганизации  и ликвидации.

Разработка и реализация практических мер по организации  защиты банковской тайны в соответствии с действующим законодательством  возлагается на ее обладателя. Именно он должен выполнить мероприятия по установлению режима банковской тайны, выявлению и предупреждению нарушений этого режима, а также противоправных посягательств на охраняемую информацию. Систему названных мер принято объединять понятием «Управление информационной безопасностью организации».

Концептуальная схема  информационной безопасности банка  основана на противопоставлении собственника охраняемой информации и злоумышленника, неправомерно посягающего на информацию, за контроль над информационными  активами. Однако, по большому счету, ущерб  информационному обеспечению банка  нередко причиняется вследствие неумышленных действий его сотрудников  по причине неосторожности, беспечности, халатности.

Надежность защиты информации в значительной мере определяется морально-нравственным климатом в коллективе. В данном случае речь идет об отношениях между  членами коллектива, между коллективом  и собственником информации, а  также коллективом менеджментом организации. Не секрет, что четкое следование принципам обеспечения  информационной безопасности является элементом корпоративной этики. Личные и групповые конфликты  любого уровня создают потенциальную  угрозу ослабления системы информационной защиты. По этой причине обеспечение  безопасности информационных ресурсов связано с управлением отношениями  внутри коллектива ни чуть не меньше, чем применение программных, технических и других мер защиты.

Основанием для доступа  к сведениям, составляющим банковскую тайну, является соответствующее решение  обладателя названной информации (руководителя организации). Для сотрудников организации, которым доступ к банковской тайне  необходим по характеру выполняемой  ими работы, оно оформляется приказом о допуске либо иным документом произвольной формы. Из него должно ясно усматриваться, к работе с какими конкретно сведениями допускается работник, какого рода работа с информацией ему разрешается (ознакомление, хранение). Документ должен иметь подпись руководителя организации  либо иного специально уполномоченного  лица.

Весь персонал организации  должен давать письменное обязательство  о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая  требования по недопущению конфликта  интересов. Такое обязательство  может быть включено в контракт либо оформлено в виде отдельной подписки. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной  в процессе выполнения им своих служебных  обязанностей.

Цель создания и функционирования системы защиты информации - обеспечить оптимальный режим работы организации  с таким расчетом, чтобы сделать  информацию и сведения конфиденциального  характера недоступными для посторонних  лиц и создать необходимые  условия работы сотрудникам, имеющим  к ним доступ. Для этого устанавливается  единый порядок работы с защищаемой информацией. Основная особенность  этого порядка заключается в  организации конфиденциального  делопроизводства, принятии работниками  обязательства строгого исполнения его правил и индивидуальной ответственности  за обеспечение сохранности доверенных конфиденциальных сведений и их носителей.

В рамках системы организуется обучение работников правилам соблюдения банковской и иной, охраняемой законом, тайны. Осуществляется систематический  контроль за исполнением организационно-распорядительных документов и инструкций по защите конфиденциальной информации. Система предусматривает наличие типовой процедуры анализа и разбирательства (ведомственного расследования) по фактам нарушения порядка работы со сведениями, составляющими коммерческую тайну, и выработку предложений по совершенствованию защиты информации.

Осуществление указанных  мероприятий целесообразно начать с подготовки соответствующих организационно - распорядительных и нормативных документов, наделяющих специально выделенных работников организации (далее - комиссию) правом относить информацию к числу сведений, составляющих банковскую тайну. Нормативной основой работы комиссии должно служить специально разработанное положение о банковской тайне организации.

Перечень доводится до сведения сотрудников, уполномоченных относить информацию к категории  «банковской тайны» (в полном объеме либо в части, их касающейся). Использование  перечня позволяет определять степень  конфиденциальности сведений, содержащихся в подготавливаемой рабочей документации, с целью присвоения ей соответствующего грифа без привлечения комиссии.

Перечень изменяется и  дополняется по мере целесообразности (устаревания сведений, отнесенных к «банковской тайне».

Следующим шагом в организации  защиты информации должна быть организация  защиты сведений, отнесенных к банковской тайне, от незаконного получения, разглашения, утраты и использования. С этой целью  устанавливается ограничение доступа  к носителям информации, содержащей банковскую тайну. Сотрудник должен иметь минимально необходимый доступ только к тем ресурсам, которые  ему нужны для исполнения служебных  обязанностей и реализацией прав, предусмотренных технологией обработки  информации.

Основанием для доступа  к сведениям, составляющим банковскую тайну, является соответствующее решение  обладателя названной информации (руководителя организации). Для сотрудников организации, которым доступ к бакновской тайне необходим по характеру выполняемой ими работы, оно оформляется приказом о допуске либо иным документом произвольной формы. Из него должно ясно усматриваться, к работе с какими конкретно сведениями допускается работник, какого рода работа с информацией ему разрешается (ознакомление, хранение). Документ должен иметь подпись руководителя организации либо иного специально уполномоченного лица.

Решение о допуске принимается  после ряда обязательных процедур, порядок выполнения которых целесообразно  регламентировать в соответствующих  распорядительных документах.

Основные мероприятия  по организации правомерного доступа  сотрудников к сведениям, составляющим банковскую тайну, излагаются, как правило, в виде раздела положения. Однако в случае необходимости может  быть разработана специальная инструкция, детализирующая процедуру доступа.

В документах устанавливается  механизм реализации норм конституционного права, гражданского, трудового и  иного законодательства в процессе защиты банковской тайны. Они учитываются  сторонами при заключении трудовых договоров и контрактов. Их нарушение  может служить основанием для  наложения дисциплинарных взысканий  на работника либо предъявления судебных исков одной из сторон.

Согласно предписаниям названного выше стандарта информационной безопасности лица, получившие доступ к банковской тайне, должны подвергаться специальной  проверке на идентичность, точность и  полноту биографических фактов. Рекомендуется  «…выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении  фактов их нештатного поведения, или  участия в инцидентах ИБ, или подозрений в таком поведении или участии».

Положение о конфиденциальном делопроизводстве должно содержать  указания на то, что допуск граждан  к банковской тайне осуществляется в добровольном порядке и предусматривает:

- принятие на себя обязательств  о нераспространении доверенных  им сведений, составляющих коммерческую  тайну; 

- согласие на частичные  временные ограничения их прав  в соответствии с условиями  трудового договора;

- обязательство гражданина  представлять кадровому аппарату  сведения о возникновении оснований  для отказа к допуску к банковской  тайне; 

- определение видов, размеров  и порядка предоставления льгот  в качестве компенсации за  исполнение указанных выше обязательств  и ограничения прав (взаимные  обязательства организации и  лица, получающего допуск, фиксируются  в трудовом договоре (контракте).

В этот документ следует  включить исчерпывающий перечень оснований  для отказа гражданину в допуске  к банковской тайне:

- признание его судом  недееспособным, ограниченно дееспособным, нахождение его под судом и  следствием за тяжкие и особо  тяжкие преступления, наличие не  снятой судимости за совершение  преступления;

- наличие медицинских  противопоказаний для работы  с использованием сведений, составляющих  банковскую тайну; 

- выявление в результате  проверочных мероприятий таких  данных, которые свидетельствуют  о деятельности оформляемого  лица или обстоятельствах, создающих  угрозу разглашения сведений, составляющих  банковскую тайну; 

- уклонение от проверочных  мероприятий и (или) сообщение  заведомо ложных анкетных данных.

В Положение следует включить указание о том, что допуск к банковской тайне может быть прекращен по решению руководителя организации  в случае:

- нарушения предусмотренных  трудовым договором (контрактом) обязательств гражданина, связанных с сохранением банковской тайны;

- возникновения обстоятельств,  являющихся основанием для отказа  гражданину в допуске к банковской  тайне. 

Следует отметить также, что  прекращение допуска гражданина к банковской тайне может стать  основанием для расторжения трудового  договора (контракта) с ним, если такое  условие предусмотрено в этом договоре (контракте). Прекращение допуска  гражданина к информации не освобождает  его от взятых обязательств по неразглашению  сведений, составляющих банковскую тайну.

Кроме того, в положение  целесообразно включить разделы, посвященные  организации работы с конфиденциальными  сведениями, участию сотрудников  в защите сведений, составляющих банковскую тайну.

Важным звеном системы  защиты информации является организация  конфиденциального делопроизводства - особого порядка обращения со сведениями и документами, в которых  она содержится. Защищенность информации при работе с нею обеспечивается соблюдением требований названной  инструкции, которая разрабатывается  в развитие соответствующего раздела  положения о защите банковской тайны.

Положения должны предусмотреть  необходимые способы технологической  и физической защиты носителей информации независимо от их вида (письменная, графическая, электронная, память человека) на всех стадиях работы. Устанавливается  единый порядок работы со всеми видами носителей конфиденциальной информации.

Вводится личная ответственность  работников за защиту информации на всех этапах работы. Устанавливается единый порядок доступа к носителям  информации всех категорий сотрудников, получивших право работать с ними.

Значительная часть предписаний  положения имеет своей целью  предупредить действия ответственного лица (неосторожные либо умышленные), которые  могут повлечь выход документов из законного владения.