Нормативна база банку з інформаційної безпеки
ВІДПОВІДАЛЬНІСТЬ ЗА ПОСЯГАННЯ НА ТАЄМНИЦІ БАНКІВ
Якщо говорити про захист банківської інформації, мабуть не слід сподіватись тільки на правове поле, створене відповідними державними органами, тим більше, що останнє має багато суперечностей і дає змогу по-різному трактувати ті чи інші норми. Крім того, застосовувати деякі положення законів можна, тільки спираючись на нормативну базу самого банку. Наприклад, відповідальність за розголошення відомостей, що становлять комерційну таємницю, згідно зі ст. 232 Кримінального кодексу, стосується осіб, яким ця таємниця відома у зв’язку з їх професійною або службовою діяльністю. Доказом того, що особа мала доступ до відповідних відомостей, що становлять комерційну таємницю, є наказ банку, в якому зазначається перелік посадових осіб, котрим доводиться зміст банківської і комерційної таємниці.
Для вирішення зазначених питань банку насамперед необхідно юридично закріпити правовий статус його комерційної таємниці. Такий статус оформлюється шляхом визначення і внесення відповідних положень до документів, що регламентують діяльність банку.
Так, у США, Німеччині, Японії, інших країнах захист комерційної таємниці забезпечується системою промислової таємності. При цьому основна роль у забезпеченні її збереження належить самим фірмам, банкам, а не державним органам.
В Японії, наприклад, ця проблема вирішується департаментом кадрів, який є в кожній японській фірмі та банку. Він здійснює контроль за точним виконанням режиму таємності, який базується на Кодексі поведінки службовців. Згідно з положеннями Кодексу, службовцям фірми, банку забороняється:
- передавати стороннім особам відомості, що містять комерційну таємницю;
- укладати угоди, які можуть підірвати довіру до компанії, банку з боку клієнтів;
- влаштовуватись без дозволу керівництва на роботу за сумісництвом;
- навмисно завдавати економічних збитків;
- давати й отримувати хабарі.
Саме японський бізнес найменше страждає від втрати інформації.
Вітчизняними банками напрацьовано деякий досвід організації захисту їхньої інформації з обмеженим доступом. Організація захисту ґрунтується на нормативній базі банків, яка регламентує це питання. Насамперед відповідні положення про захист комерційної таємниці включаються до Статуту банку. Зокрема, в них вказується право банку на:
- комерційну таємницю;
- самостійне визначення складу й обсягу відомостей, що становлять комерційну таємницю і конфіденційну інформацію банку;
- захист комерційної таємниці.
Такі положення, зафіксовані в статуті, дають банку юридичне право організовувати захист його таємниць; включати вимоги щодо захисту комерційної таємниці в усі договори й угоди комерційного характеру; домагатися відшкодування збитків, завданих від посягання на інформацію з обмеженим доступом; видавати нормативні та інші документи з питань захисту банківської і комерційної таємниці; створювати відповідні підрозділи захисту таємниць банку.
При визначенні складу комерційної таємниці необхідно виходити з економічної вигоди і безпеки банку. Занадто таємна діяльність банку може обернутись втратою прибутку через те, що умови ринку вимагають широкої реклами. Водночас зневажливе ставлення до комерційної таємниці також може призвести до негативних результатів. Американські фахівці доводять, що втрата 20 % інформації з обмеженим доступом призводить до банкрутства фірм, банків у 60 випадках із 100.
До комерційної таємниці доцільно віднести інформацію, яка характеризує нові банківські технології, роботу в галузі розробки нових послуг, плани відкриття філій, виходу на нові ринки чи в нові сфери.
Особливу увагу слід приділити охороні інформації, яку містять договори та угоди, що їх укладає банк. Зміст або окремі положення деяких з них, безумовно, можуть становити комерційну таємницю банку.
В окремих випадках охороні підлягає не тільки зміст договору, а й сам факт його укладення.
Комерційну таємницю може також становити інформація про перспективні методи управління персоналом, політику банку щодо надання послуг, фінансові, ділові й комерційні стосунки з партнерами, дані про керівний склад банку, способи захисту інтересів банку та організацію його безпеки тощо. Склад інформації, яка є комерційною таємницею, в кожному випадку визначається керівництвом банку.
Одним із важливих нормативних документів банку з інформаційної безпеки є Положення про комерційну таємницю і конфіденційну інформацію, яке оголошується наказом по банку. У ньому вказують склад відомостей, що становлять комерційну таємницю та конфіденційну інформацію банку, порядок їх захисту в установах банку, хто відповідає за організацію заходів захисту, відповідальність за розголошення таких відомостей. У наказі може вказуватись склад комісії, яка розглядатиме і визначатиме цінність банківської інформації, подавати пропозиції керівникові банку щодо надання відповідній інформації статусу комерційної таємниці чи конфіденційної інформації.
Наказом також можуть передбачатися заходи щодо роботи персоналу стосовно збереження ним у таємниці службової інформації.
Визначення порядку захисту інформації, організації роботи з нею здійснюється відповідно до Положення про організацію роботи з інформацією, що становить банківську і комерційну таємницю та є конфіденційною. Положення передбачає: права співробітників банку та інших осіб щодо отримання інформації, з обмеженим доступом, обов’язки посадових осіб і службовців банку щодо роботи з грифованими документами, виробами та засобами, правила ведення конфіденційних переговорів за допомогою засобів зв’язку, спілкування з клієнтами та відвідувачами; правила оформлення доступу до інформації з обмеженим доступом, порядок розроблення, зберігання, пересилання та руху грифованих документів в установах банку; загальні обов’язки персоналу банку щодо зберігання його таємниць; порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом; інші питання, що регулюють правила доступу до інформації з обмеженим доступом.
Окремим наказом по банку може оголошуватись список осіб, яким у повному обсязі може доводитись інформація, що становить банківську і комерційну таємницю та є конфіденційною.
До нормативної бази банку з питань захисту інформації також відносять зобов’язання службовців банку про збереження комерційної таємниці, угоди про конфіденційність з клієнтами, партнерами та іншими суб’єктами, з якими банк вступає у правовідносини, різного характеру пам’ятки, інструкції, заяви тощо.
До цього типу документів належать внутрішній розпорядок роботи та розпорядження щодо організації доступу в установу банку.
Як приклад, нижче наводиться перелік нормативних актів одного із українських банків щодо захисту його інформації з обмеженим доступом.
1. Положення про комерційну таємницю і конфіденційну інформацію банку та правила їх збереження.
2. Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю банку.
3. Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.
4. Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками.
5. Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем.
6. Інструкція про проведення службових розслідувань в установах банку.
7. Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти.
8. Інструкція щодо дій у разі компрометації криптографічних ключів в установах банку.
9. Інструкція зі знищення на електронних носіях документів, які містять ключові дані, конфіденційну інформацію, банківську або комерційну таємницю.
10. Положення про технічний захист інформації у банку.
11. Технологічна інструкція служби фінансової безпеки.
12. Положення про порядок одержання доступу до локальної обчислювальної мережі та ресурсів систем електронної обробки інформації.
13. Положення про режимні приміщення банку.