Анализ режима защиты банковской тайны

К их числу относятся, в  частности, предписания, обязывающие  принимать и передавать документы  под расписку, хранить их в хранилищах (сейфах), а ключи от хранилищ - у  дежурного либо непосредственно  у ответственного лица, в условиях, исключающих их использование посторонними.

Кроме того, в инструкцию следует включить необходимый перечень требований по обеспечению защиты помещений, выделенных для хранения и обработки  конфиденциальных материалов. Минимально необходимыми мерами предосторожности являются следующие:

- установка электроконтактных или магнитных датчиков охранной сигнализации на двери и окнах;

- выдача ключей от помещений  и хранилищ только лицам, ответственным  за это помещение; 

- установка и замена  оборудования и мебели только  по согласованию с подразделением  по защите информации предприятия,  а проведение уборки помещения  - в присутствии ответственного  лица;

- проведение ремонта помещений  под наблюдением лица, назначенного  по согласованию с подразделением  по защите информации.

Принципиальным требованием  положения о конфиденциальном делопроизводстве является установление персональной ответственности  лиц, работающих с материалами, за сохранность  доверенных им документов и сведений.

В этой связи лицо, допущенное к сведениям, составляющим коммерческую тайну, должно принять на себя ряд  определенных обязательств и ограничений, связанных с будущей деятельностью.

К ним относятся: обязательство  нести персональную ответственность  за сохранность доверенных конфиденциальных сведений, твердо и неукоснительно выполнять правила конфиденциального  делопроизводства, обеспечивать надежное хранение конфиденциальных документов, незамедлительно сообщать уполномоченным лицам об утрате конфиденциальных документов, ключа кода аутентификации электронного сообщения, ключа от хранилища документов, личных печатей, а также о признаках  утечки конфиденциальных сведений и  давать устные и письменные пояснения  по фактам нарушения правил обращения с конфиденциальными документами.

Кроме того, при проведении разбирательств по фактам нарушения  инструкции об организации конфиденциального  делопроизводства сотрудники организации  обязаны давать письменные объяснения об известных им обстоятельствах.

Несмотря на то, что перечень указанных выше обязательств и ограничений (запретов), как правило, содержится в положении по организации конфиденциального  делопроизводства, и работники знакомятся с ними под расписку, факт принятия этих условий конкретным лицом оформляется  в виде договоров, предусмотренных  гражданским законодательством  либо законодательством о труде.

Организация защиты компьютерной информации возлагается на специально создаваемую систему ее защиты (СЗИ). Создание и организация работы СЗИ  следует начинать с разработки и  принятия документов, служащих правовой, организационно - распорядительной и  нормативной основой деятельности, по защите информации.

Меры правовой и организационной  защиты компьютерной информации заключаются  в разработке и принятии банком специальных  правовых и нормативных актов, предписывающих выполнение соответствующих правил и процедур, обеспечивающих защиту информации на правовой основе. Указанные  документы представляют собой систему  положений, инструкций, руководств, призванную четко регламентировать права и  обязанности пользователей информации, правовой статус органов, технических  средств и способов ее защиты. На этой основе устанавливаются полномочия руководителей банка по отнесению  информации к сведениям ограниченного  доступа. Организуется специальное  делопроизводство, обеспечивающее сохранность  носителей информации ограниченного  доступа, а также техническую  и физическую защиту информации.

Устанавливается персональная ответственность пользователя за сохранность  доверенных ему конфиденциальных документов (носителей), за неправомерные действия в информационной системе, которые  повлекли или могли повлечь несанкционированное  ознакомление с защищаемой информацией, ее искажение или уничтожение, которые  сделали информацию недоступной для законных пользователей. В этих целях организуется разрешительная система допуска исполнителей к работе с компьютерной информацией, документам и сведениями различного уровня доступа.

Администратор СЗИ должен вести учет, хранение и выдачу пользователям  носителей конфиденциальной информации, учтенной бумаги для распечаток (в  случае отсутствия программной реализации печати учетных реквизитов и контроля за выдачей распечаток), паролей  и ключей для средств защиты информации, осуществлять ежедневный контроль за СЗИ с целью выявления любых  изменений в сетевых компонентах, произошедших в нерабочее время. Периодически тестировать СЗИ с целью выявления уязвимых мест. Кроме того, на администратор СЗИ обязан вести оперативный контроль за действиями пользователей информационной системы банка, за организацией физической защиты помещений, в которых производится автоматизированная обработка конфиденциальной информации.

Информационная система  банка снабжается механизмами идентификации и аутентификации (проверки подлинности пользователей) на основе использования паролей, ключей, электронной цифровой подписи (ЭЦП), а также биометрических характеристик личности пользователя.

К программным методам  защиты СЗИ  следует также отнести  применение устойчивого к «вирусам»  программного обеспечения, защищенного  от возможности несанкционированной  модификации за счет специальных  зашифрованных вставок, снабженных механизмами самоконтроля и самовосстановления; установку специальных программ-анализаторов, осуществляющих периодическую проверку наличия возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения), а также жесткий "входной" контроль новых программ перед их введением в вычислительную систему по характерным признакам наличия в их теле вирусных образований.

Наряду с администратором  СЗИ субъектами защиты информации банка  являются служба внутреннего контроля и служба безопасности.

4. Особенности использования технических средств защиты банковской тайны

Главная цель безопасности банковской деятельности - обеспечение  устойчивого функционирования банка  и предотвращение внутренних и внешних  угроз. Также, защита его законных интересов  от противоправных посягательств, безопасность и охрана здоровья персонала, недопущение  хищения финансовых и материальных средств, порча и уничтожение  имущества, ценностей, разглашение  коммерческой тайны, утечки и несанкционированного доступа к служебной информации, нарушения работы технических средств  обеспечивающих банковскую деятельность.

Система безопасности банковской деятельности - это совокупность специальных  органов, служб, средств, методов, взаимосвязанных  мероприятий правового характера, осуществляемых в целях защиты банка  от внутренних и внешних угроз (реальных или потенциальных противоправных действий физических или юридических  лиц).

Организация деятельности системы  безопасности определяется Положением о системе безопасности банка.

Цели системы безопасности банка:

- защита прав банка,  его структурных подразделений  и сотрудников;

- сохранение и эффективное  использование финансовых, материальных  и информационных ресурсов;

- своевременное выявление  и устранение угроз, причин  и условий, способствующих нанесению  ущерба, нарушению нормального функционирования  и развития банка;

- отнесение информации  к категории ограниченного доступа  к различным уровням уязвимости;

- создание механизма и  условий оперативного реагирования  на угрозы безопасности и проявления  негативных тенденций функционирования;

- эффективное пресечение  посягательств на ресурсы и  угроз персоналу на основе  комплексного подхода к безопасности;

- создание условий для  максимально возможного возмещения  и локализации наносимого ущерба  неправомерными действиями для  ослабления негативных влияний  последствий нарушения безопасности  на достижение стратегических  целей.

Задачи системы безопасности банка: обеспечение безопасности функционирования банка, его кредитно-финансовой деятельности и защиты конфиденциальной информации; организация работы по правовой, организационной  и инженерно-технической защите материальных, финансовых и информационных ресурсов; организация специального делопроизводства, исключающего несанкционированного получения конфиденциальных сведений; выявление и локализация возможных  каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях; обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровнях; обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения деятельности банка; обеспечение безопасности персонала, обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровнях; обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения деятельности банка; обеспечение безопасности персонала; информационно-аналитическая деятельность в интересах оценки ситуации и выявления неправомерных действий злоумышленников и конкурентов.

Служба безопасности (СБ) банка - подразделение, специально созданное для защиты его законных прав и интересов от криминальной конкуренции со стороны социальных организаций и физических лиц.

Основные задачи службы безопасности: обеспечение безопасности кредитно-финансовой деятельности и защита информации и  сведений, составляющих банковскую тайну; организация работы по правовой, организационной  и инженерно-технической (физической, аппаратной, программной) защите банковской тайны; организация специального делопроизводства, исключающего несанкционированное  получение сведений, представляющих банковскую тайну; выявление и локализация  возможных каналов утечки конфиденциальной информации в процессе повседневной деятельности и в экстремальных  ситуациях; обеспечение режима безопасности при проведении всех видов деятельности, а также охрана зданий, помещений и т.п.

Служба безопасности в  своей деятельности руководствуется: инструкцией по организации режима и охраны; инструкцией по защите банковской тайны; перечнем сведений, составляющих банковскую тайну; инструкцией  по работе с конфиденциальной информацией  для руководителей, специалистов и  технического персонала; инструкцией  по организации хранения дел, содержащих конфиденциальную информацию, в архиве; инструкцией по инженерно-технической  защите информации, инструкцией о  порядке работы с иностранными представителями  и представительствами и т.д.

Требования к  руководителю и ведущим специалистам

службы безопасности банка

Необходимо обладать знаниями в следующих областях: информационно-аналитическая работа; методы разведки и контрразведки; оперативная работа; социальная психология и психология личности; основы банковского дела и бухгалтерский учет; основы менеджмента и маркетинга; административное, гражданское и уголовное право.

Специалист службы безопасности банка обязан: разработать комплексные  меры по обеспечению безопасности банка  и личной безопасности его руководства; осуществить защиту конфиденциальной информации; уметь применять технические  средства скрытого наблюдения и прослушивания; противодействовать проведению аналогичных  мероприятий конкурентами; разбираться  в финансовой отчетности; заниматься профилактикой правонарушений; проводить  внутреннее расследование случаев  воровства, мошенничества, саботажа и  финансовых преступлений; организовывать проверки (в т.ч. негласные) благонадежности сотрудников; предупреждать (выявлять) случаи сотрудничества персонала банка с конкурентами или криминальными структурами; взаимодействовать со следственными органами и милицией при расследовании преступлений или иных происшествий; разрешать конфликты между сотрудниками и т.д.

Основные виды планов при  возникновении противоправных действий со стороны криминала: план действий при угрозе взрыва, план действий при  захвате заложников или похищении  сотрудников, план действий при нападении  на инкассаторов., план действий при нападении на помещение банка, план действий при вымогательстве и т.д.

Данные документы составляются в 2-3 экз.Один экземпляр у руководителя, другой - начальника охраны и третий может быть у лица, заменяющего руководителя банка в его отсутствие.

Внутренняя защита банка

Внутренние источники  опасности деятельности банка - это  источники, порождаемые внутренними  противоречиями и иными факторами, действующими внутри банка, которые  делятся на технологические и социальные.