Защита конфиденциальной банковской информации

16.06.2020

2.4.8. Конфиденциальные документы

В современных условиях рыночной экономики обязательным условием успеха в деятельности организации и сохранения ее организационной структуры является обеспечение информационной безопасности.

Безопасность документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, стихийных бедствий и попыток несанкционированного доступа к документам с использованием организационных и технических каналов, вследствие чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Документируемая информация, используемая в управлении организацией и бизнесе, является собственной или частной информацией и является интеллектуальной собственностью организации.

Информация часто становится ценной ввиду ее правового значения для организации и организации ее бизнеса. Ценная информация охраняется нормами права, товарным знаком или включается в категорию информации, составляющую тайну организации.

Состав информации, составляющей тайну организации, фиксируется в специальном перечне, определяющим период (срок) и уровень (гриф) ее конфиденциальности (т. е. недоступности для всех) и список сотрудников организации, которым предоставлено право использовать эти сведения в работе.

Перечень, основу которого составляет типовой состав защищаемых сведений организации, является постоянным рабочим материалом руководства организации, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о планах и проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах и т. д. В перечень включаются действительно ценные сведения о каждой работе организации.

В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для организации и подлежащие охране. Перечни формируются индивидуально каждой организацией в соответствии с рекомендациями специальной комиссии и утверждаются руководителем организации. Эта же комиссия регулярно вносит текущие изменения в перечень в соответствии с динамикой выполнения организацией конкретных работ.

Коммерческая информация организации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или для ее хищения и реализации. Поэтому степень ценности информации и надежность ее защиты находятся в прямой зависимости.

Документы, содержащие ценную информацию, входят в состав информационных ресурсов организации, которые могут быть:

1) открытыми (доступными для работы персонала без специального разрешения);

2) ограниченными для доступа к ним персона (отнесенными к одному из видов тайны – государственной или негосударственной).

Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 11 февраля 2006 г. № 90. Он содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно – розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями.

Документы, содержащие сведения, которые составляют негосударственную тайну (служебную, коммерческую, банковскую и т. д.) или содержат персональные данные, именуются конфиденциальными.

Термин конфиденциальность является синонимом термина секретность и используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т. е. собственник устанавливает правовой режим этой информации в соответствии с законом.

Под конфиденциальным документом понимается оформленный носитель информации, содержащий сведения, которые относятся к негосударственной тайне и составляют интеллектуальную собственность юридического или физического лица. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.

К конфиденциальным документам относятся следующие документы:

1) в государственных организациях – документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

2) в коммерческих и негосударственных организациях – документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой тайне, тайне организации, тайне мастерства и технологий;

3) независимо от принадлежности организации – документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. д.

Особенностью конфиденциальных документов является то, что они одновременно представляют собой:

1) массовый носитель ценной, защищаемой информации;

2) основной источник накопления и распространения этой информации, а также ее неправомерного разглашения или утечки;

3) обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала организации. Период конфиденциальности документов определяют перечни конфиденциальных сведений организации, составленных исходя из специфики деятельности и утвержденных руководителем организации.

Конфиденциальные документы требуют специфических условий их создания и организации работы с ними.

Данный текст является ознакомительным фрагментом.
Читать книгу целиком
Поделитесь на страничке

Следующая глава >

Защита информации в банках регулируется целым рядом нормативных актов и надзорных органов. Наиболее важными нормативами, регулирующими информационную безопасность в российской банковской отрасли, являются Стандарты Банка России группы «Обеспечение информационной безопасности организаций банковской системы РФ».

Банк России указывает, что для защиты конфиденциальной информации от возможных утечек рекомендуется обеспечивать:

идентификацию и формирование перечня категорий информации конфиденциального характера;
идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера;
определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями,
определение потенциальных каналов утечки информации конфиденциального характера;
выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков, т.е. потенциальных каналов утечки информации конфиденциального характера (информационных потоков).

Подробнее про защиту банковской информации можно прочитать в статье «Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта».

На российском рынке некоторыми производителями, которые позиционируют свои решения как DLP-системы, навязывается способ борьбы с утечками через пассивное наблюдение и расследование уже случившихся инцидентов. К сожалению, сегодня факт продаж банковских баз данных в даркнете, злоупотребления конфиденциальной клиентской информацией, о чем мы узнаем после из СМИ в результате расследований правоохранительных органов, подтверждают, что этот способ не является хоть сколько-нибудь эффективным.

Наиболее эффективным способом борьбы с утечками банковской информации является подход настоящих DLP-решений, предлагающих гибкий контроль доступа в реальном времени одновременно с протоколированием действий пользователей.

За время выхода на российский рынок защиты информации от утечек DeviceLock DLP завоевал авторитет крупнейших российских банков.