Банковская тайна
СОДЕРЖАНИЕ: Понятие банковской и коммерческой тайны. Состав информации, которая может быть отнесена к банковской тайне. Отличия коммерческой тайны от банковской. Оценка возможности утечки банковской информации по техническим каналам и мероприятия по ее защите.Задание № 1. Понятие банковской и коммерческой тайны. Состав информации, которая может быть отнесена к банковской тайне. Основные отличия коммерческой тайны от банковской
Ответ:
Банковская тайна - конфиденциальная информация, разглашение которой наносит ущерб клиентам и партнерам кредитной организации, что влечет за собой утрату их доверия, следовательно, ухудшает рыночные позиции банка.
В соответствии со статьей 26. Федерального закона № 395-I от 2 декабря 1990 г. «О банках и банковской деятельности» кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.[1]
Состав информации банковской тайны:
К банковской тайне относятся: сведения о счетах, вкладах, операциях, личности клиентов, корреспондентов и лиц, упомянутых в контракте с банком. Это следует из того, что реквизиты клиента (корреспондента) также составляют содержание банковских операций и оформляющих их документов. Следует отметить, что это затрагивает достаточно широкий перечень операций: привлечение вкладов (депозитов); предоставление кредитов; осуществление расчетов по поручению клиентов; открытие и ведение счетов клиентов; покупка, продажа, хранение ценных бумаг и управление ими; выдача поручительства, гарантии за третьих лиц и другие операции в пределах компетенции банка.
Коммерческая тайна:
В соответствии с п. 1. ст. 3. Федерального закона от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне (с изменениями в новой редакции с 1 января 2008 г.) - коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
В соответствии с п. 2 ст. 3. вышеуказанного закона информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; [2]
Основные отличия коммерческой тайны от банковской:
1. Банковская тайна возникает в силу закона вне зависимости от волеизъявления субъектов отношений по поводу ее охраны. Напротив, информация приобретает статус коммерческой тайны после одностороннего объявления ее коммерческой тайной. В отношении банковской тайны закон устанавливает ее содержание, субъектов, порядок предоставления. В то же время в соответствии с Федеральным законом от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне, объем информации, относящейся к коммерческой тайне, устанавливается организацией самостоятельно, так же как и круг лиц, обладающих доступом к охраняемым сведениям.
2. Одним из основных признаков банковской тайны является то, что конфиденциальная информация предоставляется клиентом банку в целях обеспечения надлежащего оказания банком соответствующих услуг по договору с клиентом. Таким образом, передача сведений носит вспомогательный (акцессорный) характер по отношению к заключенному между банком и клиентом договору. Обязанность хранить банковскую тайну неотделима от других обязательств банка по такому договору. Коммерческая тайна, в отличие от банковской, не имеет признаков акцессорности - создание коммерческой тайны является самоцелью действий субъекта по установлению соответствующего режима.
3. Обязанность по охране банковской тайны является относительной: одному управомоченному лицу (клиенту) противостоит одно обязанное (банк). Напротив, отношения по охране коммерческой тайны являются абсолютными: одному управомоченному лицу (обладателю информации) противостоит неопределенный круг лиц, обязанных воздерживаться от посягательства на эту информацию.
4. Одним из обязательных признаков коммерческой тайны является принятие ее обладателем мер к охране ее конфиденциальности. Иными словами, обладатель коммерческой тайны всегда осуществляет ее охрану в своих собственных интересах. Для режима банковской тайны характерно закрепление обязанности по охране конфиденциальности сведений только за владельцами и пользователями информации в интересах обладателя, но не за самим обладателем информации.
5. Коммерческая тайна может являться предметом сделок (например, такую информацию можно передать другому лицу, получив за это деньги), а банковская тайна не может передаваться лицом, осуществляющим ее охрану, по сделкам с третьими лицами.
6. К числу обязательных признаков коммерческой тайны является наличие у информации действительной или потенциальной коммерческой ценности в силу ее неизвестности третьим лицам. Для лица, осуществляющего охрану тайны, существует позитивный экономический стимул. Банковская же тайна предполагает охрану не только информации, связанной с предпринимательской деятельностью, а любой информации, которая связана с соответствующими банковскими операциями, в том числе и не имеющей коммерческого характера. Для банка осуществление охраны банковской тайны имеет лишь негативный стимул в виде ответственности за ее разглашение. Итак, степень различия между режимами коммерческой тайны и банковской тайны настолько велика, что не позволяет относить банковскую тайну к подвиду коммерческой. Однако институт банковской тайны, наравне с налоговой, нотариальной, аудиторской тайной, является одной из гарантий охраны коммерческой тайны.
Задание № 2. Выполните практическую работу на тему «Оценка возможности утечки банковской информации по техническим каналам. Ориентировочная оценка ожидаемых затрат на защиту информации», используя методическое пособие
Исходные данные:
В помещении банка находятся технические средства: телефонный аппарат стоимостью 3 000 руб., радиоприёмник - 1 500 руб., персональный компьютер - 28 000 руб. Заработная плата администратора безопасности, обслуживающего помещение, - 23000 руб. в месяц. Ущерб банка от возможной утечки конфиденциальной банковской информации - 300000 руб.
Ответ:
1. Рассчитываем затраты на защиту информации инженерно-техническими средствами по формуле:
Ст..з. = С1 К1 + С2 К2 + С3 К3,
где Ст.з. - стоимость затрат на защиту информации инженерно-техническими средствами; С1 , С2 , С3 - стоимость технического оборудования; К1 , К2 , К3 - коэффициенты затрат.
Ст.з. = 3000 руб. 0,7 + 1500 руб. 0,3 + 28000 руб. 0,15 = 6750 руб.
2. Рассчитываем затраты на ежегодное техническое обслуживание средств защиты по формуле:
Ст.о. = Ст.з. Кт.о. ,
где Ст.о. - стоимость затрат на техническое обслуживание за год; Кт.о - коэффициент затрат на техническое обслуживание.
Ст.о. = 6750 руб. 0,05 = 337,5 руб.
3. Рассчитываем затраты на орrанизационно-режимные мероприятия по формуле:
Со.р. = Зп 12,
где Со.р. - стоимость содержания в штате одного администратора безопасности за год;
Зп - заработная плата администратора безопасности в месяц; 12 - количество месяцев в году.
23000 руб. 12 = 276 000 руб.
4. Рассчитываем общие затраты на защиту банковской информации по формуле:
Сгод = Ст.з + Ст.о. + Со.р.
где Сгод - общая стоимость затрат.
6750 + 337,5 + 276 000 = 283087,5 тыс. руб.
Общая стоимость затрат в год на защиту конфиденциальной банковской информации должна быть меньше, чем стоимость возможного ущерба банка от утечки этой информации:
Сгод Су ,
где Су - возможный ущерб банка при утечке конфиденциальной информации.
Су = 300 000 тыс. руб.
283087,5 тыс. руб. 300 000 тыс. руб.
Вопросы
1. Перечислите основные и вспомогательные технические средства, имеющиеся в помещении согласно заданию.
2. Какие технические каналы утечки информации согласно заданию существуют в помещении?
3. Исходя из экономических расчётов выберите мероприятия по защите информации.
Ответы:
1. В помещении банка находятся технические средства: телефонный аппарат, персональный компьютер, радиоприемник.
2. Каналы утечки информации: утечка информации по сети питания, по электромагнитному каналу, наводка на линии телефонной связи, коммуникации, радиоаппаратуру, радиоканал (высокочастотное излучение), акустический канал, материально-вещественные каналы.
3. Применение защитных мероприятий экономически целесообразно, так как общая стоимость затрат в год на защиту конфиденциальной банковской информации меньше, чем стоимость возможного ущерба банка от утечки этой информации (283087,5 тыс. руб. 300 000 тыс. руб).
Список использованной литературы
1. Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности» с изменениями и дополнениями.
2. Закон Российской Федерации от 11.03.92 № 2446-1 «О безопасности» с изменениями и дополнениями.
3. Федеральный закон от 29.07.2004 № 98-ФЗ. «О коммерческой тайне» с изменениями и дополнениями.
4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера» с изменениями и дополнениями.
6. Постановление Правительства РСФСР от 05.12.91 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» с изменениями и дополнениями.
7. Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
8. Инструкция Банка России от 26.12.2000 № 95-И «О порядке обработки информации, содержащей сведения ограниченного распространения, на средствах вычислительной техники в системе Банка России».
9.Положение Банка России от 26.05.2006 № 287-П «Об обеспечении сохранности информации ограниченного доступа в Банке России» с изменениями и дополнениями.
10.Положение Банка России от 11.01.2008 № 316-П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа» с изменениями и дополнениями.
11.ГОСТ 28147-89. Системы обработки информации. Защита криптографическая: Алгоритм криптографического преобразования.
12.ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.
13.ГОСТ Р 50739-95. Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Общие технические требования.
14.ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
15.Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
16.Стандарт Банка России СТО БР ИББС-l.l-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
17.Стандарт Банка России СТО БР ИББС-1.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.1-2008».
18.Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-l.0».
19.Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации тpeбованиям СТО БР ИББС-l.0».
20.Гайкович, В. Безопасность электронных банковских систем [Текст] / В. Гайкович, А. Першин. - М. : Единая Европа, 1994.
21.Гамза, В.А. Безопасность банковской деятельности [Текст] : учебник / В.А. Гамза, И.Б. Ткачук. - М. : Маркет ДС, 2006.
22.Калугин, Н.М. Банковская коммерческая безопасность [Текст] : учеб. пособие / Н.М. Калугин, А.В. Кудрявцев, Н.А. Савинская. - СПб.: СПбГИЭА, 1996.
23.Мельников, В.В. Безопасность информации в автоматизированных системах [Текст] / В.В. Мельников - М. : Финансы и статистика: Элепроинформ, 2003.
24.Партыка, Т Л. Информационная безопасность [Текст] : учеб. пособие для студентов учреждений СПО / ТЛ. Пapтыкa. - М. : ФОРУМ: ИНФРА-М, 2007.
25.Тагирбеков, К.Р. Основы банковской деятельности [Текст] / К.Р. Тагирбеков. - М., 2001.
26.Ярочкин, В.И. Информационная безопасность [Teкст] : учеб. для вузов / В.И. Ярочкин. - М. : Академический Проект : Фонд «Мир», 2003.
[1] Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности» с изменениями и дополнениями.
[2] Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями).