Задание № 1. Понятие банковской и коммерческой тайны. Состав информации, которая может быть отнесена к банковской тайне. Основные отличия коммерческой тайны от банковской
Ответ:
Банковская тайна - конфиденциальная информация, разглашение которой наносит ущерб клиентам и партнерам кредитной организации, что влечет за собой утрату их доверия, следовательно, ухудшает рыночные позиции банка.
В соответствии со статьей 26. Федерального закона № 395-I от 2 декабря 1990 г. «О банках и банковской деятельности» кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.1
Состав информации банковской тайны:
К банковской тайне относятся: сведения о счетах, вкладах, операциях, личности клиентов, корреспондентов и лиц, упомянутых в контракте с банком. Это следует из того, что реквизиты клиента (корреспондента) также составляют содержание банковских операций и оформляющих их документов. Следует отметить, что это затрагивает достаточно широкий перечень операций: привлечение вкладов (депозитов); предоставление кредитов; осуществление расчетов по поручению клиентов; открытие и ведение счетов клиентов; покупка, продажа, хранение ценных бумаг и управление ими; выдача поручительства, гарантии за третьих лиц и другие операции в пределах компетенции банка.
Коммерческая тайна:
В соответствии с п. 1. ст. 3. Федерального закона от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями в новой редакции с 1 января 2008 г.) - коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
В соответствии с п. 2 ст. 3. вышеуказанного закона информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; 2
Основные отличия коммерческой тайны от банковской:
1. Банковская тайна возникает в силу закона вне зависимости от волеизъявления субъектов отношений по поводу ее охраны. Напротив, информация приобретает статус коммерческой тайны после одностороннего объявления ее коммерческой тайной. В отношении банковской тайны закон устанавливает ее содержание, субъектов, порядок предоставления. В то же время в соответствии с Федеральным законом от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне", объем информации, относящейся к коммерческой тайне, устанавливается организацией самостоятельно, так же как и круг лиц, обладающих доступом к охраняемым сведениям.
2. Одним из основных признаков банковской тайны является то, что конфиденциальная информация предоставляется клиентом банку в целях обеспечения надлежащего оказания банком соответствующих услуг по договору с клиентом. Таким образом, передача сведений носит вспомогательный (акцессорный) характер по отношению к заключенному между банком и клиентом договору. Обязанность хранить банковскую тайну неотделима от других обязательств банка по такому договору. Коммерческая тайна, в отличие от банковской, не имеет признаков акцессорности - создание коммерческой тайны является самоцелью действий субъекта по установлению соответствующего режима.
3. Обязанность по охране банковской тайны является относительной: одному управомоченному лицу (клиенту) противостоит одно обязанное (банк). Напротив, отношения по охране коммерческой тайны являются абсолютными: одному управомоченному лицу (обладателю информации) противостоит неопределенный круг лиц, обязанных воздерживаться от посягательства на эту информацию.
4. Одним из обязательных признаков коммерческой тайны является принятие ее обладателем мер к охране ее конфиденциальности. Иными словами, обладатель коммерческой тайны всегда осуществляет ее охрану в своих собственных интересах. Для режима банковской тайны характерно закрепление обязанности по охране конфиденциальности сведений только за владельцами и пользователями информации в интересах обладателя, но не за самим обладателем информации.
5. Коммерческая тайна может являться предметом сделок (например, такую информацию можно передать другому лицу, получив за это деньги), а банковская тайна не может передаваться лицом, осуществляющим ее охрану, по сделкам с третьими лицами.
6. К числу обязательных признаков коммерческой тайны является наличие у информации действительной или потенциальной коммерческой ценности в силу ее неизвестности третьим лицам. Для лица, осуществляющего охрану тайны, существует позитивный экономический стимул. Банковская же тайна предполагает охрану не только информации, связанной с предпринимательской деятельностью, а любой информации, которая связана с соответствующими банковскими операциями, в том числе и не имеющей коммерческого характера. Для банка осуществление охраны банковской тайны имеет лишь негативный стимул в виде ответственности за ее разглашение. Итак, степень различия между режимами коммерческой тайны и банковской тайны настолько велика, что не позволяет относить банковскую тайну к подвиду коммерческой. Однако институт банковской тайны, наравне с налоговой, нотариальной, аудиторской тайной, является одной из гарантий охраны коммерческой тайны.
Задание № 2. Выполните практическую работу на тему «Оценка возможности утечки банковской информации по техническим каналам. Ориентировочная оценка ожидаемых затрат на защиту информации», используя методическое пособие
Исходные данные:
В помещении банка находятся технические средства: телефонный аппарат стоимостью 3 000 руб., радиоприёмник - 1 500 руб., персональный компьютер - 28 000 руб. Заработная плата администратора безопасности, обслуживающего помещение, - 23000 руб. в месяц. Ущерб банка от возможной утечки конфиденциальной банковской информации - 300000 руб.
Ответ:
1. Рассчитываем затраты на защиту информации инженерно-техническими средствами по формуле:
Ст..з. = С1 ∙ К1 + С2 ∙ К2 + С3 ∙ К3,
где Ст.з. - стоимость затрат на защиту информации инженерно-техническими средствами; С1, С2, С3 - стоимость технического оборудования; К1, К2, К3 - коэффициенты затрат.
Ст.з. = 3000 руб. ∙ 0,7 + 1500 руб. ∙ 0,3 + 28000 руб. ∙ 0,15 = 6750 руб.
2. Рассчитываем затраты на ежегодное техническое обслуживание средств защиты по формуле:
Ст.о.= Ст.з.∙ Кт.о.,
где Ст.о. - стоимость затрат на техническое обслуживание за год; Кт.о - коэффициент затрат на техническое обслуживание.
Ст.о. = 6750 руб. ∙ 0,05 = 337,5 руб.
3. Рассчитываем затраты на орrанизационно-режимные мероприятия по формуле:
Со.р. = Зп ∙ 12,
где Со.р. - стоимость содержания в штате одного администратора безопасности за год;
Зп - заработная плата администратора безопасности в месяц; 12 - количество месяцев в году.
23000 руб. ∙ 12 = 276 000 руб.
4. Рассчитываем общие затраты на защиту банковской информации по формуле:
Сгод = Ст.з + Ст.о. + Со.р.
где Сгод - общая стоимость затрат.
6750 + 337,5 + 276 000 = 283087,5 тыс. руб.
Общая стоимость затрат в год на защиту конфиденциальной банковской информации должна быть меньше, чем стоимость возможного ущерба банка от утечки этой информации:
Сгод < Су,
где Су - возможный ущерб банка при утечке конфиденциальной информации.
Су = 300 000 тыс. руб.
283087,5 тыс. руб. < 300 000 тыс. руб.
Вопросы
1. Перечислите основные и вспомогательные технические средства, имеющиеся в помещении согласно заданию.
2. Какие технические каналы утечки информации согласно заданию существуют в помещении?
3. Исходя из экономических расчётов выберите мероприятия по защите информации.
Ответы:
1. В помещении банка находятся технические средства: телефонный аппарат, персональный компьютер, радиоприемник.
2. Каналы утечки информации: утечка информации по сети питания, по электромагнитному каналу, наводка на линии телефонной связи, коммуникации, радиоаппаратуру, радиоканал (высокочастотное излучение), акустический канал, материально-вещественные каналы.
3. Применение защитных мероприятий экономически целесообразно, так как общая стоимость затрат в год на защиту конфиденциальной банковской информации меньше, чем стоимость возможного ущерба банка от утечки этой информации (283087,5 тыс. руб. < 300 000 тыс. руб).
Список использованной литературы
1. Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности» с изменениями и дополнениями.
2. Закон Российской Федерации от 11.03.92 № 2446-1 «О безопасности» с изменениями и дополнениями.
3. Федеральный закон от 29.07.2004 № 98-ФЗ. «О коммерческой тайне» с изменениями и дополнениями.
4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера» с изменениями и дополнениями.
6. Постановление Правительства РСФСР от 05.12.91 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» с изменениями и дополнениями.
7. Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
8. Инструкция Банка России от 26.12.2000 № 95-И «О порядке обработки информации, содержащей сведения ограниченного распространения, на средствах вычислительной техники в системе Банка России».
9.Положение Банка России от 26.05.2006 № 287-П «Об обеспечении сохранности информации ограниченного доступа в Банке России» с изменениями и дополнениями.
10.Положение Банка России от 11.01.2008 № 316-П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа» с изменениями и дополнениями.
11.ГОСТ 28147-89. Системы обработки информации. Защита криптографическая: Алгоритм криптографического преобразования.
12.ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.
13.ГОСТ Р 50739-95. Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Общие технические требования.
14.ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
15.Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
16.Стандарт Банка России СТО БР ИББС-l.l-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
17.Стандарт Банка России СТО БР ИББС-1.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.1-2008».
18.Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-l.0».
19.Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации тpeбованиям СТО БР ИББС-l.0».
20.Гайкович, В. Безопасность электронных банковских систем [Текст] / В. Гайкович, А. Першин. - М. : Единая Европа, 1994.
21.Гамза, В.А. Безопасность банковской деятельности [Текст] : учебник / В.А. Гамза, И.Б. Ткачук. - М. : Маркет ДС, 2006.
22.Калугин, Н.М. Банковская коммерческая безопасность [Текст] : учеб. пособие / Н.М. Калугин, А.В. Кудрявцев, Н.А. Савинская. - СПб.: СПбГИЭА, 1996.
23.Мельников, В.В. Безопасность информации в автоматизированных системах [Текст] / В.В. Мельников - М. : Финансы и статистика: Элепроинформ, 2003.
24.Партыка, Т Л. Информационная безопасность [Текст] : учеб. пособие для студентов учреждений СПО / ТЛ. Пapтыкa. - М. : ФОРУМ: ИНФРА-М, 2007.
25.Тагирбеков, К.Р. Основы банковской деятельности [Текст] / К.Р. Тагирбеков. - М., 2001.
26.Ярочкин, В.И. Информационная безопасность [Teкст] : учеб. для вузов / В.И. Ярочкин. - М. : Академический Проект : Фонд «Мир», 2003.
1 Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности» с изменениями и дополнениями.
2 Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями).