Информация, подлежащая защите

Определение степени конфиденциальности, а следовательно, и класса защиты информации является прерогативой собственника информации, а владелец информационных систем, на которых обрабатывается эта информация, обязан обеспечить выполнение комплекса организационных, организационно-технических и технических мер защиты, соответствующих выбранной степени конфиденциальности. Защите подлежит только документированная информация, т.е. зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Физические принципы защиты информации неизменны независимо от степени конфиденциальности. Поэтому методы и способы защиты сведений, составляющих государственную тайну, распространяются и на защиту конфиденциальной информации.

Банковская информация и банковская тайна. Под банковской информацией понимается совокупность информационных ресурсов банка, содержащих сведения об операциях и сделках, осуществляемых банком по всем направлениям его деятельности [20]. Это могут быть сведения:

– о привлекаемых вкладах (депозитах) и предоставляемых кредитах;

– расчетах по поручению клиентов и банков-корреспондентов и об их кассовом обслуживании;

– об открытии и о ведении счетов клиентов и банков-корреспондентов;

– о финансировании капитальных вложений по поручению владельцев или распорядителей инвестируемых средств, а также за счет собственных средств банка;

– покупке у российских и иностранных юридических и физических лиц и продаже им наличной иностранной валюты и валюте, находящейся на счетах и во вкладах;

– покупке и продаже в Российской Федерации и за ее пределами драгоценных металлов, камней, а также изделий из них;

– привлечении и размещении драгоценных металлов во вклады, об осуществлении иных операций с этими ценностями в соответствии с международной банковской практикой;

– привлечении и размещении средств и управлении ценными бумагами по поручению клиентов;

– об оказании брокерских и консультативных услуг, осуществлении лизинговых операций и др.

Банковская тайна – это часть банковской информации, не содержащая сведений, составляющих государственную тайну, разглашение которой может нанести ущерб как самому банку, так и его клиентам и корреспондентам.

К банковской тайне не могут быть отнесены следующие сведения:

– учредительные документы (договор учредителей) и Устав;

– документы, дающие право заниматься банковской деятельностью (регистрационное удостоверение, лицензии, патенты);

– сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления налогов и других обязательных платежей в государственную бюджетную систему РФ;

– документы о платежеспособности;

– сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

– документы об уплате налогов и обязательных платежей;

– сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, а также других нарушениях законодательства РФ и размерах причиненного ущерба.

Конкретный состав и объем сведений, составляющих банковскую тайну, определяются перечнями сведений, составляющих банковскую тайну, формируемых в банках.

По степени конфиденциальности информация, составляющая банковскую тайну, может подразделяться на конфиденциальную и строго конфиденциальную.

К конфиденциальной информации предприятия относятся сведения, содержащие планово-аналитические материалы и отчеты за текущий период времени, и другая информация о деятельности учреждения, разглашение которых может привести к снижению эффективности функционирования одной из систем, обеспечивающих жизнедеятельность и развитие учреждения. К такой информации можно отнести:

– результаты изучения и формирования новых направлений в инвестиционной политике предприятия;

– формы и методы работы с активами, структуру инвестиционного портфеля;

– информацию о поиске новых путей в деятельности учреждения, повышающих ее эффективность;

– материалы контроля организаций, работающих с участием банковского капитала;

– операции с акциями клиентов;

– дополнительные соглашения, протоколы и прочие документы, оформляемые в депозитарии к договорам;

– направления разработок в депозитарной и банковской технологиях;

– другие сведения.

К строго конфиденциальной информации относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций одной или нескольких систем предприятия, прямо влияющих или способных повлиять на его жизнедеятельность и развитие. К таким сведениям можно отнести:

– главные цели, задачи учреждения, программы и пути их реализации;

– сведения об ошибках и просчетах в деятельности подразделений учреждения;

– информацию о причинах, сдерживающих динамику развития учреждения, обусловленных действиями государственных органов, конкурентов, внутренними причинами и др., главных проблемах и трудностях, возможностях их преодоления;

– информацию о негативном характере взаимодействия с органами государственного регулирования и управления, эмитентами и партнерами учреждения;

– предмет и результаты совещаний и заседаний высшего руководства учреждения.

Выделение документов и других носителей информации, содержащих конфиденциальные сведения, из общего потока информации осуществляется присвоением им грифов "Конфиденциально" и "Строго конфиденциально".

Примерный перечень сведений, подлежащих защите. С учетом принятого деления предлагается следующий примерный перечень конфиденциальных сведений, подлежащих защите.

Сведения об организации работы учреждения:

– концепция, планы и перспективы развития учреждения, включая его автоматизированную систему;

– штатное расписание и функциональные обязанности сотрудников;

– схемы, планы размещения оборудования, служебных помещений и их закрепление за должностными лицами учреждения;

– служебная и деловая переписка, информация частного характера;

– персональные данные сотрудников учреждения и его филиалов.

Сведения о функционировании систем обеспечения безопасности:

планы размещения и технические характеристики систем и средств обеспечения безопасности;

– сведения о разграничении доступа персонала учреждения к конфиденциальной информации и полномочиях пользователей;

– закрепление служебных автомобилей за должностными лицами учреждения, маршруты их движения, места стоянки, пункты технического обслуживания;

– сведения о размещении хранилищ материальных ценностей и информации, оборудовании их средствами безопасности и порядке доступа к ним.

Сведения о возможностях и организации функционирования АС:

сведения о разработчиках АС учреждения и средствах ее защиты, применяемых технических решениях защиты информации;

– сведения о мерах, принятых для обеспечения безопасности информации и персонала учреждения;

– исходные тексты уникального программного обеспечения, персональные данные о его разработчиках;

– сведения о технических возможностях АС по обработке информации, поступающей от клиентов и партнеров.

Порядок отнесения сведений к конфиденциальным. Полномочия должностных лиц по отнесению информации к различным степеням конфиденциальности определяются Уставом организации, решением его руководства (правления) о разработке Перечня сведений, составляющих конфиденциальную тайну, решением руководства (правления) об утверждении Перечня и должностными обязанностями руководителей и сотрудников учреждения.

Руководитель предприятия в пределах своей компетенции определяет:

– порядок формирования и введения в действие Перечня сведений, составляющих конфиденциальную информацию;

– категорию должностных лиц, уполномоченных относить информацию к категории конфиденциальной информации;

– порядок передачи конфиденциальной информации другим учреждениям, органам и организациям;

– порядок выведения информации из категории конфиденциальной;

– организацию защиты информации, составляющей конфиденциальную тайну.

Он имеет право:

– дать разрешение на доступ к конфиденциальным сведениям;

– применять меры к сотрудникам учреждения, допустившим разглашение сведений, составляющих банковскую и коммерческую тайну;

– поощрять сотрудников, предотвративших разглашение конфиденциальных сведений.

Для придания сведениям, отнесенным к категории конфиденциальной информации, законной силы, они должны быть в обязательном порядке оформлены в виде специального перечня, утвержденного руководителем учреждения.

Прерогатива разработки такого перечня должна принадлежать ограниченному кругу лиц администрации учреждения. С перечнем должны быть ознакомлены все сотрудники учреждения, но только в части, их касающейся.

Полный Перечень сведений учреждения, отнесенных к категории конфиденциальных, должен иметь высший гриф конфиденциальности.