Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Судова практика з питань розкриття банківської таємниці 8 страница

СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 1 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 2 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 3 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 4 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 5 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 6 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 10 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 11 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 12 страница | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 13 страница |


Читайте также:
  1. 1 страница
  2. 1 страница
  3. 1 страница
  4. 1 страница
  5. 1 страница
  6. 1 страница
  7. 1 страница

відомості про програмний, апаратний або програмно-апа­ратний засіб, за допомогою якого перевіряється цілісність електронного документа.

Програмні, апаратні або програмно-апаратні засоби і від­повідні ключові дані для перевірки електронних підписів повинні зберігатися у відповідальних за захист інформації в банківській установі осіб і надаватися для роботи з електро­нними архівами для забезпечення перевірки цілісності елек­тронних документів, які перебувають на оперативному збе­ріганні. Строк їх зберігання повинен бути не меншим, ніж строк зберігання електронних архівів.

У разі потреби електронні архіви програмно-апаратних комплексів, що містять документи тривалого (понад 10 ро­ків) строку зберігання, передаються до архівного підрозді­лу банківської установи разом з програмним забезпеченням відповідної версії, яке забезпечує можливість отримання необхідної інформації та документів з цього програмно-тех­нічного комплексу. До електронного архіву програмно-тех­нічного комплексу додаються:

- опис правил роботи з програмно-технічним комплексом;

- період створення інформації, яка була оброблена про­грамно-технічним комплексом;

- паролі та інші дані, що необхідні для отримання доступу до електронного архіву програмно-технічного комплексу. Програмні засоби, що використовувалися при створенні

документів, відповідні засоби захисту інформації та клю­чові дані, які потрібні для перевірки цілісності інформації, що міститься в базах даних програмно-технічного комплек­су, повинні зберігатися в архівному підрозділі банківської установи та використовуватися для роботи з електронними архівами. Строк їх зберігання повинен бути не меншим, ніж строк зберігання електронних архівів.

Електронні архіви розміщуються в будівлі банківської уста­нови в спеціально виділених приміщеннях з обмеженим досту­пом, двері яких повинні бути оснащені місцем для опечатуван­ня, кодовим/автоматичним замком або системою доступу.

Приміщення електронних архівів має бути обладнаним відповідно до вимог Правил з технічного захисту інформа­ції для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04.07.2007 р. № 243.

Електронні архіви дублюються і зберігаються на двох різ­нотипних електронних носіях у двох різних приміщеннях.

Електронними носіями для зберігання електронних архі­вів можуть бути:

- жорсткі диски комп’ютерів (серверів);

- магнітні стрічки;

- магнітооптичні компакт-диски;

- оптичні (лазерні) компакт-диски;

- БУБ-диски;

- інші носії.

Вибір носія здійснюється з урахуванням строків зберіган­ня електронних документів і гарантованого строку зберіган­ня інформації на електронному носії.

Архівний підрозділ банківської установи повинен забезпе­чуватися необхідною комп’ютерною технікою і програмним забезпеченням, що підтримують можливість роботи з усіма електронними носіями та форматами запису, які використо­вувалися під час запису електронних архівів. У разі переходу на нові типи електронних носіїв або нове програмно-апаратне забезпечення, що не підтримує попередні формати запису елек­тронних архівів, усі архіви, які були записані на старі типи електронних носіїв і за допомогою старого програмно-апарат­ного забезпечення, у разі потреби повинні бути переписані на нові типи носіїв за допомогою нового програмно-апаратного забезпечення підрозділом, який відповідає за супроводження програмно-апаратного забезпечення. Разом з цим цілісність цих електронних архівів має бути засвідчена електронним цифровим підписом працівника архівного підрозділу банків­ської установи із складанням відповідного акта.

Перевірка цілісності електронних архівів (перевірка на­лежного функціонування електронних носіїв і можливість отримання інформації з них шляхом перевірки можливості читання цього архіву) здійснюється не менше ніж один раз на рік комісією, призначеною керівником банківської уста­нови, до складу якої входять відповідальні спеціалісти під­розділів, які створювали ці архіви (архів електронних доку­ментів, електронний архів програмно-технічного комплексу з автоматизації банківської діяльності, електронний архів платіжної системи). Для зручності дозволяється проводити окремі контрольні перевірки цих архівів.

У разі закінчення гарантованого строку зберігання інфор­мації на електронному носії здійснюється перезапис елек­тронного архіву на новий носій, а в разі порушення ціліснос­ті електронного архіву — його відновлення з резервної копії.

Електронні носії з електронними архівами за винятком жорстких дисків комп’ютерів (серверів) повинні бути промар­ковані відповідними написами в довільній формі для ідентифі­кації їх змісту та строків зберігання. Маркування електронних носіїв у разі використання спеціалізованої апаратно-програм­ної архівної системи може виконуватися цією системою.


Правила видачі електронних документів з електронних архівів не відрізняються від правил видачі документів на па­перових носіях з архівів банківських установ.

Під час видачі документів з електронних архівів обов’яз­ковою операцією є перевірка цілісності документа за допо­могою засобів перевірки електронного підпису або засобів програмно-технічного комплексу. Лише під час одержання позитивного результату перевірки цілісності документ уви­жається справжнім.

У разі потреби робиться паперова копія електронного до­кумента, що засвідчується підписом відповідальної особи, яка зробила цю копію, та відбитком печатки банківської установи. Якщо паперова копія електронного документа зроблена для використання в межах банківської установи, дозволяється не засвідчувати цю копію відбитком печатки банківської установи.

У разі закінчення строку зберігання електронних докумен­тів знищення електронних архівів здійснюється з оформлен­ням відповідних документів як для паперових документів.

Знищення електронних архівів на електронних носіях здійснюється призначеною комісією зі складанням відповід­ного акта із застосуванням одного або кількох одночасних дій:

- фізичного руйнування електронного носія;

- руйнування інформації на електронному носії за допомо­гою потужного електромагнітного випромінювання;

- подвійного запису на перезаписувальний електронний но­сій спеціальної інформації (наприклад, одиниць або нулів). У разі потреби після знищення електронного архіву елек­тронні носії (у разі їх придатності) можуть використовувати­ся повторно до закінчення строку їх використання. Переда­вати ці електронні носії до інших установ заборонено.

У разі ліквідації відокремленого структурного підрозділу банку електронні архіви передаються до банку, а в разі лікві­дації банку — до територіального управління Національного банку за місцем його розташування.

4.3. Захист електронних банківських документів з використанням засобів захисту інформації Національного банку України

Правила організації захисту електронних банківських до­кументів з використанням засобів захисту інформації Націо­нального банку України від 02.04.2007 р. № 112 регламенту­ють порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосеред­німи учасниками системи електронних платежів (далі — СЕП) та/або інформаційних задач (далі — організація), які згідно з договором з Національним банком отримали засоби захисту.

Скорочення вживаються в такому значенні:

АКЗІ — апаратура криптографічного захисту інформації;

АРМ — автоматизоване робоче місце;

АРМ бухгалтера САБ — автоматизоване робоче місце САБ, на якому здійснюється формування файлів/онлайно- вих пакетів, які містять початкові платежі СЕП;

АРМ-СЕП — автоматизоване робоче місце АРМ-НБУ з програмними та апаратними засобами захисту інформації, яке призначене для роботи в СЕП;

АРМ-НБУ — автоматизоване робоче місце АРМ-НБУ- інформаційний з програмними засобами захисту інформа­ції, яке призначене для роботи в інформаційних задачах На­ціонального банку;

АС — автоматизована система;

ВК — відкритий ключ;

ГМД — гнучкий магнітний диск;

ЕЦП — електронний цифровий підпис;

засоби захисту — засоби захисту інформації Національ­ного банку;

інформаційні задачі — програмно-технічні комплекси, які забезпечують оброблення та передавання інформації, що не належить до платіжних документів СЕП, з викорис­танням засобів захисту інформації Національного банку між банками України, Національним банком, органами держав­ної влади і небанківськими організаціями;

ПЕОМ — персональна електронна обчислювальна машина;

ПМГК — програмний модуль генерації ключів;

ТК — таємний ключ;

САБ — система автоматизації банку;

СЕП — система електронних платежів;

СК — смарт-картка;

ТВК — таблиця відкритих ключів.

Територіальне управління/Центральна розрахункова па­лата Національного банку надає організаціям засоби захисту, Що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання криптографічних за­собів захисту інформації в системі електронних платежів На­ціонального банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією і територіальним управлінням/Центральною розрахунковою палатою Націо­нального банку за місцезнаходженням організації.

Територіальне управління/Центральна розрахункова палата Національного банку та організація укладають між собою договір про використання криптографічних засобів захисту інформації в системі електронних платежів Націо­нального банку України відповідно до зразка договору про використання криптографічних засобів захисту інформа­ції в системі електронних платежів Національного банку України, викладеного в додатку 6 до Інструкції про міжбан- ківський переказ коштів в Україні в національній валюті, затвердженої постановою Правління Національного банку України від 16.08.2006 р. № 320.

Правила поширюються на організації, що мають про­грамні комплекси АРМ-СЕП та/або АРМ-НБУ і засоби за­хисту. Правила не встановлюють вимоги щодо технології та безпеки роботи інших платіжних систем, систем автомати­зації банківської діяльності й систем «клієнт-банк».

Система захисту електронних банківських документів Національного банку складається з комплексу апаратно-про­грамних засобів захисту інформації та ключової інформації до них, а також технологічних й організаційних заходів.

Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуата­ції програмно-технічного забезпечення СЕП та інформацій­них задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банків­ських документів на всіх рівнях.

Службові особи організації, які відповідають за захист електронних банківських документів, зобов’язані надавати письмові або усні відомості про стан засобів захисту та їх ви­користання, а також про стан захисту інформації в програм­ному забезпеченні САБ (у тому числі системи «клієнт-банк», а також інших систем, на які поширюються вимоги Націо­нального банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організа­ції та систему захисту інформації під час їх оброблення на вимогу територіального управління/Центральної розрахун­кової палати Національного банку.

Організація, яка отримала засоби захисту, не має права передавати їх іншим організаціям або особам, у тому числі й іншим організаціям однієї юридичної особи.

Організація, яка отримала засоби захисту, не має права ви­користовувати їх в інших платіжних системах банків, у тери­торіально відокремлених відділеннях (філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП та/ або інформаційних задач, зокрема, якщо їх працівники пра­цюють у САБ банку (філії), системах «клієнт-банк» тощо.

Організація, яка використовує засоби захисту, зобов’язана мати приміщення, у яких обробляються електронні банків­ські документи, використовуються та зберігаються в неробо­чий час засоби захисту, які відповідають вимогам цієї глави.

Організація зобов’язана розмістити АРМ-СЕП у спеціаль­но виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматич­ним замком і місцем для опечатування або системою досту­пу, яка забезпечуватиме персоніфіковану реєстрацію входу/ виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-НБУ в примі­щенні з АРМ-СЕП або в окремому приміщенні з обмеженим доступом, за винятком приміщення адміністратора захисту інформації, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або сис­темою доступу, яка забезпечуватиме персоніфіковану ре­єстрацію входу/виходу осіб у спеціальному електронному журналі. Організація має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ.

Організація має право розміщувати ПЕОМ з АРМ-СЕП та АРМ-НБУ в серверному приміщенні, якщо цей програмно- апаратний комплекс працює в автоматичному режимі. У цьо­му разі адміністратор АРМ-СЕП зобов’язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

Організація зобов’язана оснастити вікно (вікна) у примі­щенні АРМ-СЕП ґратами, якщо воно:

- внутрішнє і виходить в інше приміщення або коридор ор­ганізації;

- зовнішнє і розташовується на першому чи останньому по­версі організації;

- зовнішнє і розташовується на інших поверхах організа­ції, до яких є доступ з прилеглих об’єктів.

Організація зобов’язана обладнати приміщення з АРМ-

СЕП/АРМ-НБУ системою охоронної сигналізації з двома ру­бежами захисту:

перший — установлення сигналізації по периметру; другий — установлення відповідного обладнання для сте­ження за переміщенням об’єктів у приміщенні.

Організація зобов’язана встановити в приміщенні з АРМ- СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для збе­рігання в неробочий час засобів захисту і документів до них.

Адміністратор захисту інформації зобов’язаний облі­ковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в журналі обліку адміністратора захисту інформації.

Адміністратор АРМ-СЕП/АРМ-НБУ, який заступив на зміну, зобов’язаний:

- зберігати ключі від вхідних дверей приміщення з АРМ- СЕП/АРМ-НБУ і сейфів (металевих шаф) у робочий час;

- замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ у разі своєї відсутності. Адміністратор АРМ-СЕП/АРМ-НБУ має право зберігати

ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/ АРМ-НБУ в опечатаному вигляді в приміщенні з АРМ-СЕП/ АРМ-НБУ.

Організація зобов’язана призначати працівників, які ма­ють допуск до приміщення з АРМ-СЕП/АРМ-НБУ, розпо­рядчим документом, у якому повинні зазначатися всі відпо­відальні особи і засоби захисту, які вони використовують.

Адміністратор захисту інформації обліковує призначених осіб у журналі обліку адміністратора захисту інформації. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

- керівник організації (або особа, яка виконує його обов’язки);

- заступник керівника організації, який призначений від­повідальним за організацію захисту електронної банків­ської інформації;

- адміністратори АРМ-СЕП/АРМ-НБУ;

- адміністратори захисту інформації;

- інші працівники організації, які обслуговують примі­щення й АРМ-СЕП/АРМ-НБУ.

Працівники служби захисту інформації організації (якщо вони не призначені розпорядчим документом організації як відповідальні особи за роботу із засобами захисту) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ лише для вирішення питань, що належать до їх компетенції.

Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ, зобов’язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки під час вико­нання своїх обов’язків, що пов’язані з роботою АРМ-СЕП/ АРМ-НБУ, і лише в присутності адміністратора АРМ-СЕП/ АРМ-НБУ, який заступив на зміну.


Працівники організації мають право на допуск до при­міщення з АРМ-СЕП/АРМ-НБУ на підставі усного розпоря­дження керівника організації (або особи, яка виконує його обов’язки) лише в присутності адміністратора АРМ-СЕП/ АРМ-НБУ для вирішення окремих питань.

Організація зобов’язана розміщувати АРМ-СЕП та АРМ бух­галтера САБ в окремих приміщеннях з обмеженим доступом.

Організація подає до територіального управління/Цен- тральної розрахункової палати Національного банку заяву про проведення перевірки виконання режимних вимог до приміщень перед отриманням засобів захисту.

Організація зобов’язана повідомляти територіальне управління/Центральну розрахункову палату Національно­го банку, яке надало/яка надала засоби захисту, про зміну свого місцезнаходження та місця розташування АРМ-СЕП протягом трьох робочих днів з часу настання цих змін.

Територіальне управління/Центральна розрахункова па­лата Національного банку зобов’язане/зобов’язана органі­зувати перевірку виконання режимних вимог до приміщень протягом трьох робочих днів з дня надходження цього пові­домлення зі складанням відповідного акта.

Організація зобов’язана розмістити робоче місце адміні­стратора захисту інформації в окремому приміщенні з об­меженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора за­хисту інформації тощо. Це приміщення повинно обладнува­тися системою охоронної сигналізації з одним рубежем за­хисту та в неробочий час опечатуватися.

Організація зобов’язана обладнати робоче місце адміні­стратора захисту інформації ПЕОМ, яка не підключена до локальної мережі організації, для копіювання ПМПС і гене­рування ключів відповідальними особами.

Організація зобов’язана розмістити інші робочі місця САБ, на яких використовуються засоби захисту, у примі­щеннях з обмеженим доступом, які обладнані сейфом опера­тора робочого місця для зберігання ТК.

Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення адміністра­тора захисту інформації.

Організація зобов’язана обладнати сейфи, які використо­вуються для зберігання засобів захисту, місцем для опеча­тування. Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

Керівник організації відповідає за виконання режимних вимог до приміщень.

Система захисту інформації Національного банку ство­рена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

У засобах захисту інформації для СЕП та інших інфор­маційних задачах використовуються механізми суворої автентифікації та формування/перевірки ЕЦП на базі не­симетричного алгоритму RSA. Організація отримує від тери­торіального управління/Центральної розрахункової палати Національного банку персональний ПМГК із убудованим ідентифікатором цієї організації для забезпечення роботи цього алгоритму.

АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність елек­тронних банківських документів, що містять конфіденційну інформацію, за допомогою апаратного/програмного шифру­вання всіх файлів/пакетів, які обробляються.

АРМ-СЕП і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін електронною інфор­мацією в СЕП та інформаційних задачах.

Організація зобов’язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування комплексів АРМ- СЕП і АРМ-НБУ.

АРМ-СЕП уключає вбудовані засоби захисту, що забез­печують конфіденційність і цілісність інформації під час її пересилання каналами зв’язку. Убудовані засоби захисту інформації забезпечують два режими роботи АРМ-СЕП — з використанням апаратних і програмних засобів захисту.

АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.

Використання стандартизованих криптографічних ал­горитмів у вбудованих засобах захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю алгоритмів та ключової інформації і клю­чів, тому інформація про це належить до інформації з обме­женим доступом, яка має гриф «Банківська таємниця» і роз­голошенню не підлягає.

Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захис­ту, які генеруються безпосередньо за допомогою АРМ-СЕП.


Організація, яка використовує засоби захисту, зобов’я­зана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Територіальне управління/Центральна розрахункова па­лата Національного банку має право вилучати з організації за­соби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.

Організація забезпечує захист електронних документів за допомогою таких засобів захисту:

а) апаратні засоби захисту для СЕП:

- АКЗІ;

- СК;

- програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);

б) програмні засоби захисту для СЕП та інформаційних задач:

- програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);

- ПМГК (з відповідними незаповненими ТВК);

- бібліотеки накладання/перевірки ЕЦП (Національ­ний банк надає безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення).

Основними засобами захисту в АРМ-СЕП є АКЗІ. Адміні­стратор АРМ-СЕП зобов’язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.

Адміністратор захисту інформації організації здійснює зняття копії з ПМГК, а також знищення копії ПМГК. Зни­щення виконується методом, що унеможливлює її віднов­лення (наприклад, за допомогою подвійного переформату- вання дискети). ПМГК генерує пару ключів одночасно, яка складається з ТК і ВК. Територіальне управління/Централь­на розрахункова палата Національного банку перевіряє по­рядок їх зберігання та використання.

4.4. Заходи охорони банківської таємниці, що застосовуються самостійно банківськими установами

З метою запобігання несанкціонованому доступу до ін­формації, що містить банківську таємницю, суб’єкти, які мають доступ до такої інформації, у власних інструкціях з діловодства з урахуванням особливостей своєї діяльності по­винні встановити особливий порядок реєстрації, викорис­тання, зберігання та доступу до документів, що містять бан­ківську таємницю.

З метою забезпечення зберігання та захисту банківської таємниці банки зобов’язані у внутрішніх по­ложеннях встановити спеціальний порядок ведення ді­ловодства з документами, що містять банківську таємницю, зокрема визначити:

- порядок реєстрації вихідних документів,

- роботи з документами, що містять банківську таємницю,

- відправлення та зберігання документів, які містять бан­ківську таємницю,

- особливості роботи з електронними документами, які міс­тять банківську таємницю.

Установлюючи спеціальний порядок ведення діловодства з документами, що містять банківську таємницю, банки зобов’язані врахувати вимоги, викладені в Правилах № 267.

Відповідно до Закону України «Про інформацію» загалом вся інформація з обмеженим доступом повинна бути надійно захищена. Відповідно до законів України «Про захист інфор­мації в інформаційно-телекомунікаційних системах», «Про банки і банківську діяльність», «Про захист персональних даних» у банках можна визначити такі категорії інформації з обмеженим доступом:

- банківська таємниця;

- комерційна таємниця;

- персональні дані;

- інша конфіденційна інформація.

Банк має створити максимально докладний та зрозумі­лий перелік відомостей, які відносяться до інформації з об­меженим доступом. У цьому переліку повинні бути описані види інформації, які відносяться до кожної з категорій ін­формації з обмеженим доступом, що надасть можливість по­легшити працівнику банку визначення відношення певної інформації до відповідної категорії.

Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцін­ки ризиків відповідно до стандартів Національного банку України (лист НБУ від 03.03.2011 р. № 24-112/365) перед­бачають, що політика інформаційної безпеки конкретного комерційного банку описує та регламентує функціонування системи управління інформаційною безпекою (СУІБ) від­повідно до стандартів Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010, і має відповідати вимогам законодавства України та норма­тивно-правовим актам Національного банку України, а та­кож вимогам міжнародних та внутрідержавних платіжних систем та систем переказу коштів.

Основними принципами Політики інформаційної безпеки є підтримання належного захисту інформації із забезпечен­ням цілісності, конфіденційності, доступності та спостереж- ності. Це, в першу чергу, стосується інформації з обмеженим доступом, яка відноситься до «банківської таємниці», «ко­мерційної таємниці» та іншої конфіденційної інформації.

Таким чином, комерційний банк має можливість розро­бляти власні елементи Політики інформаційної безпеки, що стосуються охорони банківської таємниці і не регламентова­ні вимогами законодавства України та нормативно-право­вих актів Національного банку України. Такими питаннями можуть бути регулювання правил поводження з паперовими і електронними документами, що містять відомості, віднесе­ні до банківської таємниці, проведення службових розсліду­вань у випадках несанкціонованого доступу або розголошен­ня банківської таємниці тощо.

Завдання для самоконтролю

1. Охарактеризуйте правові вимоги до документів, що міс­тять банківську таємницю.

2. Які принципи роботи з документами, що містять банків­ську таємницю, на електронних носіях?

3. Чи додається позначка грифа «Банківська таємниця» до інформації та даних в електронному вигляді, що мають визначений формат і обробляються автоматизованими системами, а також до лістингів програмних модулів?

4. Розкрийте систему захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України.

5. Які заходи охорони банківської таємниці можуть засто­совуватися самостійно банківськими установами?

РЕКОМЕНДОВАНА ЛІТЕРАТУРА Основна

1. Закон України «Про банки і банківську діяльність» від 07.12.2000 р. // Відомості Верховної Ради. — 2001. — №5—6. — Ст. 30.

2. ПостановаНаціональногобанкуУкраїнивід02.04.2007 р. № 112 «Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку Украї­ни» // Офіційний вісник України. — 2007. — № 31. — Ст. 1250.

3. Постанова Національного банку України від 02.02.2009 р. № 39 «Положення про функціонування інформаційних систем Національного банку України та банків в особли­вий період» // Офіційний вісник України. — 2009. — № 13. — Ст. 400.

4. Постанова Національного банку У країни від 12.09.2006 р. № 357 «Про затвердження Положення про порядок фор­мування, зберігання та знищення електронних архівів у Національному банку України і банках України» // Офі­ційний вісник України. — 2006. — № 40. — Ст. 2694.

5. Постанова Національного банку України від 08.12.2004 р. № 601 «Про затвердження Переліку документів, що утворюються в діяльності Національного банку України та банків України із зазначенням строків зберігання» // Офіційний вісник України. — 2005. — № 52. — Т. 1. — Ст. 3457

6. Лист НБУ від 03.03.2011 р. № 24-112/365 «Щодо впро­вадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів На­ціонального банку України».

7. Постанова НБУ від 31.08.2012 р. № 363 «Про внесення змін до Правил зберігання, захисту, використання та розкриття банківської таємниці» // Офіційний вісник України. — 2012. — № 73. — Ст. 2946.

Додаткова

8. Марущак А. І. Інформаційна безпека банківської устано­ви: структура та система забезпечення / А. І. Марущак: тези доповідей Міжнар. наук.-практ. конф. (м. Севасто­поль, 1—2 жовтня 2010 р.) / Державний вищий навчаль­ний заклад «Українська академія банківської справи НБУ». — Суми: ДВНЗ «УАБС НБУ», 2010. — С. 21—24.

9. Марущак А. І. Робота з персональними даними як еле­мент системи управління інформаційною безпекою бан­ку / А. І. Марущак // Інформаційна безпека людини, суспільства, держави. — 2011. — № 7. — С. 82—86.

10. Наказ Держкомархівів України від 06.05.2008 р. № 83 «Про затвердження Примірного положення про екс­пертну комісію об’єднання громадян, релігійної орга­нізації, а також підприємства, установи та організації, заснованої на приватній формі власності».

Дата добавления: 2015-11-14; просмотров: 87 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 7 страница| СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 9 страница
mybiblioteka.su - 2015-2024 год. (0.028 сек.)