Организация защиты банковской тайны

Разработка и реализация практических мер по организации защиты банковской тайны в соответствии с действующим законодательством возлагается на ее обладателя. Именно он должен создать систему защиты сведений, составляющих банковскую тайну и иную информацию ограниченного доступа, и обеспечить ее эффективную работу.

Цель функционирования указанной системы – обеспечить оптимальный режим работы организации с таким расчетом, чтобы сделать информацию и сведения ограниченного доступа недосягаемыми для посторонних лиц и создать необходимые условия работы сотрудникам, имеющим к ним доступ. Для этого устанавливается единый порядок работы с защищаемой информацией. Основная особенность этого порядка заключается в организации конфиденциального делопроизводства, принятии работниками обязательства строгого исполнения его правил и индивидуальной ответственности за обеспечение сохранности доверенных сведений ограниченного доступа и их носителей.

В рамках системы организуется обучение работников правилам соблюдения банковской тайны. Осуществляется систематический контроль за исполнением организационно-распорядительных документов и инструкций по обеспечению конфиденциальности информации. Система предусматривает наличие типовой процедуры анализа и разбирательства (ведомственного расследования) по фактам нарушения порядка работы со сведениями, составляющими банковскую тайну, и выработку предложений по совершенствованию защиты информации.

Осуществление указанных мероприятий целесообразно начать с подготовки соответствующих организационно-распорядительных и нормативных документов, наделяющих специально выделенных работников организации (далее – комиссия) правом относить информацию к числу сведений, составляющих банковскую тайну. Нормативной основой работы комиссии должно служить специально разработанное Положение о порядке отнесения информации к банковской тайне (далее – Положение).

Этот документ, разрабатываемый в соответствии с законодательством РФ, устанавливает порядок выявления и оценки степени конфиденциальности сведений, составляющих коммерческую тайну организации, регламентирует основные направления и механизм защиты этих сведений и утверждается руководителем организации. Поскольку ОГЛАВЛЕНИЕ перечня может само по себе представлять интерес для недобросовестных конкурентов, руководитель банка вправе принять решение о его отнесении к числу документов ограниченного доступа.

Перечень доводится до сведения сотрудников, уполномоченных относить информацию к категории банковской тайны (в полном объеме либо в части, их касающейся). Он изменяется и дополняется по мере целесообразности (устаревания сведений, появления новых технологических достижений и пр.).

Как правило, в перечень включаются следующие основные категории сведений, обеспечивающие организации преимущество в конкурентной борьбе.

В сфере перспективного планирования:

• сведения о планируемых мероприятиях по реализации основных программ деятельности кредитной организации, направленных на расширение присутствия банка на рынке банковских услуг и иных рынках, на которых представлены или планируются к представлению продукты и услуги кредитной организации;

• сведения, раскрывающие конкретные параметры инвестиционной политики, а также планы и программы инновационного развития банка;

• сведения о перспективных планах по созданию и развитию филиальной сети;

• сведения, раскрывающие конкретные параметры планируемых мероприятий, направленных на привлечение и концентрацию интеллектуальных, производственных и финансовых ресурсов с целью реализации перспективных программ повышения конкурентоспособности продуктов и услуг кредитной организации.

В сфере текущего планирования и управления:

• сведения о запланированных изменениях в структуре банковских продуктов и услуг кредитной организации и их финансово-экономических обоснованиях;

• детализированные планы и отчеты по освоению новых продуктов и услуг;

• информация, раскрывающая ОГЛАВЛЕНИЕ и условия крупных сделок, совершаемых банком;

• сведения о конкретных мероприятиях по подготовке к выходу на рынок новых банковских услуг и продуктов;

• детализированные планы мероприятий по повышению конкурентоспособности кредитной организации на рынке банковских услуг;

• информация, раскрывающая запланированную позицию банка в переговорах с потенциальными клиентами и партнерами.

В сфере защиты экономических интересов и деловой репутации:

• сведения о результатах изучения возможных недружественных действий со стороны потенциальных конкурентов;

• сведения о выявленных фактах недобросовестной конкуренции в отношении банка до принятия решения об их открытом использовании;

• сведения, составляющие банковскую (коммерческую) тайну партнеров, полученные на договорной основе, в том числе по международным договорам.

В сфере обеспечения безопасности банковской деятельности:

• информация, раскрывающая систему защиты, средства и способы защиты экономической безопасности банка;

• сведения, раскрывающие средства и способы технической защиты кредитной организации;

• сведения об организации, обеспечении и фактическом состоянии защиты информации, передаваемой по каналам телекоммуникационных сетей;

• сведения, раскрывающие значение действующих кодов, паролей и иных идентификаторов, используемых для подтверждения полномочий на установление связи, разблокировку автоматизированных рабочих мест, доступ к информационным ресурсам, средствам автоматизации, программным средствам, системам связи и передачи данных и средствам управления ими и т.д.

Следующим шагом в организации защиты информации должна быть организация защиты сведений, отнесенных к коммерческой тайне, от незаконного получения, разглашения, утраты и использования. С этой целью устанавливается ограничение доступа к носителям информации, содержащей коммерческую тайну. Оно предполагает соответствующую организацию правомерного доступа к сведениям, составляющим коммерческую тайну.

Основанием для доступа к сведениям, составляющим коммерческую тайну, является соответствующее решение обладателя названной информации (руководителя организации). Для сотрудников организации, которым доступ к коммерческой тайне необходим по характеру выполняемой ими работы, оно оформляется приказом о допуске либо иным документом произвольной формы. Из него должно ясно усматриваться, к работе с какими конкретно сведениями допускается работник, какого рода работа с информацией ему разрешается (ознакомление, хранение). Документ должен иметь подпись руководителя организации либо иного специально уполномоченного лица.

Решение о допуске принимается после ряда обязательных процедур, порядок выполнения которых целесообразно регламентировать в соответствующих распорядительных документах.

Основные мероприятия по организации правомерного доступа сотрудников к сведениям, составляющим коммерческую тайну, излагаются, как правило, в виде раздела Положения. Однако в случае необходимости может быть разработана специальная инструкция, детализирующая процедуру доступа.

Оба документа могут составляться с различной степенью детализации, зависящей от специфики деятельности организации, однако ряд положений, отражающих права и обязанности сторон, возникающие в связи с допуском к коммерческой тайне, должен быть включен в нее непременно.

В них устанавливается механизм реализации норм конституционного права, гражданского, трудового и иного законодательства в процессе защиты коммерческой тайны.

Они учитываются сторонами при заключении трудовых договоров и контрактов. Их нарушение может служить основанием для наложения дисциплинарных взысканий на работника либо предъявления судебных исков одной из сторон.

В частности, инструкция должна содержать указания на то, что допуск граждан к коммерческой тайне осуществляется в добровольном порядке и предусматривает:

– принятие на себя обязательств о нераспространении доверенных им сведений, составляющих коммерческую тайну;

– согласие на частичные временные ограничения их прав в соответствии с условиями трудового договора;

– письменное согласие на проведение в отношении их проверочных мероприятий соответствующими службами организации либо иной частной коммерческой службой по договору с организацией (выяснение биографических и других характеризующих личность данных в пределах, установленных ст. 3 Закона РФ "О частной детективной и охранной деятельности в Российской Федерации");

– обязательство гражданина представлять кадровому аппарату сведения о возникновении оснований для отказа в допуске к коммерческой тайне;

– определение видов, размеров и порядка предоставления льгот в качестве компенсации за исполнение указанных выше обязательств и ограничения прав (взаимные обязательства организации и лица, получающего допуск, фиксируются в трудовом договоре (контракте)).

Инструкция должна содержать исчерпывающий перечень оснований для отказа гражданину в допуске к коммерческой тайне:

– признание его судом недееспособным, ограниченно дееспособным, нахождение его под судом и следствием за тяжкие и особо тяжкие преступления, наличие у него неснятой судимости за преступления;

– наличие у него медицинских противопоказаний для работы с использованием сведений, составляющих коммерческую тайну;

– выявление в результате проверочных мероприятий таких данных, которые свидетельствуют о деятельности оформляемого лица или обстоятельствах, создающих угрозу разглашения сведений, составляющих коммерческую тайну;

– уклонение от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.

В инструкцию следует включить указание о том, что допуск к коммерческой тайне может быть прекращен по решению руководителя организации в случае:

– нарушения предусмотренных трудовым договором (контрактом) обязательств гражданина, связанных с сохранением коммерческой тайны;

– возникновения обстоятельств, являющихся основанием для отказа гражданину в допуске к коммерческой тайне.

Следует отметить также, что прекращение допуска гражданина к коммерческой тайне может стать основанием для расторжения трудового договора (контракта) с ним, если такое условие предусмотрено в этом договоре (контракте). Прекращение допуска гражданина к информации не освобождает его от взятых обязательств по неразглашению сведений, составляющих коммерческую тайну.

Вместе с тем решение руководителя организации о прекращении допуска гражданина к коммерческой тайне и расторжении на основании этого трудового договора (контракта) с ним может быть обжаловано в суде.

Кроме того, в Положение целесообразно включить разделы, посвященные организации работы со сведениями ограниченного доступа, участию сотрудников в защите сведений, составляющих коммерческую тайну, основам деятельности подразделения защиты информации.

Важным звеном системы защиты информации является организация специального делопроизводства – особого порядка обращения со сведениями и документами, в которых она содержится. Защищенность информации при работе с нею обеспечивается соблюдением требований инструкции об организации конфиденциального делопроизводства, которая разрабатывается в развитие соответствующего раздела Положения о защите коммерческой тайны.

Нормы инструкции должны предусматривать необходимые способы технологической и физической защиты носителей информации независимо от их вида (письменная, графическая, электронная, память человека) на всех стадиях работы. В ней устанавливается единый порядок работы со всеми видами носителей информации ограниченного доступа.

Вводится личная ответственность работников за защиту информации на всех этапах работы. Устанавливается единый порядок доступа к носителям информации всех категорий сотрудников, получивших право работать с ними.

Предписывается строгий контроль за соответствием выдаваемой в пользование информации с видом и объемом полномочий субъекта. Ведется обязательный учет всех фактов разрешенного доступа к информации (носителю), а также попыток неправомерного завладения информацией.

Инструкция должна детально регламентировать порядок подготовки, регистрации, приема и передачи, пересылки и доставки документов, содержащих информацию ограниченного доступа, и контроля за их прохождением. В ней устанавливаются режим хранения указанных документов, порядок их уничтожения, а также проверки их наличия.

Значительная часть предписаний инструкции имеет своей целью предупредить действия ответственного лица (неосторожные либо умышленные), которые могут повлечь выход документов из законного владения. К их числу относятся, в частности, предписания, обязывающие принимать и передавать документы под расписку, хранить их в хранилищах (сейфах), а ключи от хранилищ – у дежурного либо непосредственно у ответственного лица, в условиях, исключающих их использование посторонними.

В инструкцию следует включить также необходимый перечень требований по обеспечению защиты помещений, выделенных для хранения и обработки конфиденциальных материалов. Минимально необходимыми мерами предосторожности являются следующие:

• установка электроконтактных или магнитных датчиков охранной сигнализации на двери и окнах;

• выдача ключей от помещений и хранилищ только лицам, ответственным за это помещение;

• установка и замена оборудования и мебели только по согласованию с подразделением по защите информации предприятия, а уборка – в присутствии ответственного лица или лица, его замещающего;

• проведение ремонта помещений под наблюдением лица, назначенного по согласованию с подразделением по защите информации.

Принципиальным требованием правил конфиденциального делопроизводства является установление персональной ответственности лиц, работающих с материалами, за сохранность доверенных им документов и сведений.

В связи с этим лицо, допущенное к сведениям, составляющим коммерческую тайну, должно принять на себя ряд определенных обязательств и ограничений, связанных с будущей деятельностью.

К ним относятся обязательства: нести персональную ответственность за сохранность доверенных сведений ограниченного доступа, твердо и неукоснительно выполнять правила конфиденциального делопроизводства, обеспечивать надежное хранение документов ограниченного доступа, незамедлительно сообщать уполномоченным лицам об утрате таких документов, ключей от их хранилищ, личных печатей, а также о признаках утечки сведений ограниченного доступа и давать устные и письменные пояснения по фактам нарушения правил обращения с документами ограниченного доступа.

В число ограничений входят запреты на совершение определенных действий, могущих повлечь утрату документов или разглашение сведений ограниченного доступа (передачу содержания сведений ограниченного доступа посторонним, вынос документов из рабочего помещения без производственной необходимости и оставление их в неохраняемых местах, уничтожение документов с нарушением установленного порядка и пр.).

При проведении разбирательств по фактам нарушения инструкции об организации конфиденциального делопроизводства сотрудники организации обязаны давать письменные объяснения об известных им обстоятельствах.

Несмотря на то что перечень указанных выше обязательств и ограничений (запретов), как правило, содержится в инструкции по организации конфиденциального делопроизводства, и работники знакомятся с ними под расписку, факт принятия этих условий конкретным лицом оформляется в виде договоров, предусмотренных гражданским законодательством либо законодательством о труде.

Сотрудник организации, не принявший указанных обязательств, правовой ответственности за нарушение порядка обращения с материалами ограниченного доступа не несет.

Особенности организации защиты информации, составляющей коммерческую тайну, от утечки по техническим каналам. Главной задачей этой деятельности является создание системы защиты информации ограниченного доступа, циркулирующей в технических средствах и помещениях, от утечки и умышленного перехвата с противоправными целями. Такая система должна состоять из двух блоков: технического и функционального. В рамках первого ведется разработка и внедрение технических средств защиты информации, циркулирующей в средствах техники и связи.

С указанной целью технической защитой обеспечиваются:

– помещения, предназначенные для ведения конфиденциальных переговоров;

– средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства), средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видеосмысловой и буквенно-цифровой информации, программные средства (операционные системы, системы управления базам и данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки информации ограниченного доступа;

– технические средства и системы, не обрабатывающие непосредственно информацию ограниченного доступа, но размещенные в помещениях, где обрабатывается (циркулирует) такая информация (с целью предупредить незаконное получение информации ограниченного доступа путем перехвата акустического, электрического, электромагнитного, вибрационного и других видов излучений, возникающих при обработке информации техническими средствами);

– радиоизлучения или электрические сигналы от внедренных в технические средства и помещения специальных электронных устройств перехвата информации ("закладок");

– радиоизлучения или электрические сигналы от устройств перехвата информации, подключенных к каналам связи, а также к отдельным носителям информации.

Кроме того, технические средства защиты информации от утечки должны препятствовать непреднамеренному попаданию сведений ограниченного доступа к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Например, вследствие прослушивания разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции степ, систем вентиляции и кондиционирования воздуха; случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС; просмотра информации с экранов дисплеев и других средств ее отображения через двери и окна.

Решение технических задач возлагается на подразделения (либо отдельных специалистов) разработки технических средств защиты информации.

Другой важной задачей создания системы защиты информации является организация функционирования указанных выше технических и программных средств в определенном режиме. Ее решение требует принятия пакета организационно-распорядительных и рабочих документов.

В частности, издания приказов о создании соответствующих подразделений по защите информации и назначении лиц, ответственных за эксплуатацию технологического оборудования и электронных банков данных.

Созданные подразделения, в свою очередь, готовят совместно с разработчиками средств технической защиты инструкции с описанием требований по защите информации, которые должны выполнять в процессе обработки (передачи) информации лица, ответственные за эксплуатацию технологического оборудования и электронных баз данных, пользователи информации ограниченного доступа и сотрудники подразделений по защите информации.

Программа обеспечения функционирования системы защиты информации ограниченного доступа должна включать в себя выполнение специальной проверки технических средств и служебных помещений на предмет отсутствия в них возможно внедренных электронных устройств перехвата информации ("закладок"); организацию охраны и физической защиты объекта информатизации и отдельных технических средств, исключающих несанкционированный доступ к ним, а также контроль состояния и эффективности защиты информации.

В целях предупреждения внедрения "закладок" в технические средства и интерьер подразделение по защите информации составляет технический паспорт на каждое защищаемое помещение. Этот документ должен содержать план размещения оборудования и схему его кабельных соединений.

В паспорт включается перечень оборудования и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установки и замены. Кроме того, в нем отражаются перечень реализованных мероприятий по защите информации, даты и результаты периодических проверок системы защиты.

Детальные описания порядка осуществления работ, основные требования и рекомендации, способы и средства защиты информации, циркулирующей в технических средствах и помещениях, изложены в документе под названием "Специальные требования и рекомендации по технической защите конфиденциальной информации"^[1].

Задача обеспечения защиты информации от утечки но техническим каналам, как и во всех иных указанных выше случаях, возлагается на руководителей организации и подразделений, которые разрабатывают и эксплуатируют объекты информатизации, организуют и осуществляют защиту информации (службы безопасности).

Однако в случае необходимости руководитель организации может привлечь на договорной основе для разработки средств защиты информации и проведения мероприятий по ее защите специализированные учреждения и предприятия, имеющие лицензию на право осуществления указанных видов деятельности. Контроль за соблюдением правил эксплуатации системы защиты информации, ее состоянием и эффективностью защиты информации осуществляется подразделениями по защите информации предприятия-заказчика.