Адміністративно-правове забезпечення інформаційної безпеки банківських установ в Україні
Генезис категорії банківська інформація у правовій доктрині. Зміст суб'єктивних прав на банківську таємницю та комерційну таємницю банку. Визначення шляхів підвищення правового та організаційного забезпечення інформаційної безпеки банківських установ.
Рубрика | Государство и право |
Вид | автореферат |
Язык | украинский |
Дата добавления | 20.09.2018 |
Размер файла | 87,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Друга група - це протиріччя між вимогами, які висуваються до підбору кадрів і станом сучасної практики їх виконання. Мова йде про призначення на посади осіб, не підготовлених до виконання функціональних обов'язків, тих, які не використовують сучасні форми та методи роботи по попередженню витоку охоронюваної інформації.
Третьою групою є протиріччя, які відносяться до системи реалізації відповідальності за неналежне виконання службових обов'язків працівниками банку, пов'язаних із захистом охоронюваної інформації. Вони проявляються у недотриманні принципу невідворотності відповідальності за вчинення порушень режиму охоронюваної інформації. Практика показує, що на фоні збільшення загальної кількості правопорушень в державі керівники часто ігнорують факти їхнього вчинення у банках, окрім тих, які явно призводять до значних економічних втрат. Однак причини останніх від розголошення (витоку) банківської інформації не завжди виявляються, а винні особи не несуть відповідальності в силу складності процесуального доказування фактів та обставин щодо нанесення матеріальної шкоди та розміру завданих збитків.
Розділ 3. «Прикладні аспекти забезпечення інформаційної безпеки банківських установ» складається з чотирьох підрозділів і присвячений питанням організації функціонування системи інформаційної безпеки банківських установ, характеристиці суб'єктів забезпечення інформаційної безпеки банківських установ, зарубіжного досвіду забезпечення інформаційної безпеки банківських установ та формуванню напрямків удосконалення системи забезпечення інформаційної безпеки банківських установ.
У підрозділі 3.1. «Організація функціонування системи інформаційної безпеки банківських установ» автором дослідження встановлено, що для кожного суб'єкта банківської системи України проблема забезпечення інформаційної безпеки є індивідуальною справою та відображає особливості забезпечення інформаційної безпеки в даній установі з урахуванням специфіки її діяльності. При цьому основна увага в питаннях інформаційної безпеки банку повинна приділятися дотриманню нормативно-правових актів Національного банку України з питань організації та управління інформаційною безпекою.
Аргументується, що система інформаційної безпеки банку має складатися з таких сегментів: нормативно-правового; організаційно-технічного; морально-етичного. Саме такий тріумвірат зможе довгостроково забезпечити інформаційну безпеку банківської установи.
Стосовно нормативно-правової складової, то проблемою чинного законодавства, яке регулює інформаційні відносини у сфері банківської діяльності, є відсутність законодавчого визначення поняття банківської інформації та її чіткої класифікації, системності у визначені поняття «банківська таємниця», встановленого моменту виникнення правового режиму банківської таємниці.
Автором запропоновано визначати момент виникнення правового режиму банківської таємниці по відношенню до конкретних відомостей моментом фактичного отримання таких даних співробітником чи іншим уповноваженим представником фінансово-кредитної організації та Національного банку України. При цьому форма, час, місце та інші характеристики способу виникнення такого правового режиму не повинні мати жодного значення.
До системи нормативно-правових документів, які регламентують організацію, порядок і правила захисту банківської таємниці та комерційної таємниці банку можна віднести: Концепцію інформаційної безпеки банку, яка виступає методологічною основою практичних заходів по забезпеченню інформаційної безпеки банку; Політику інформаційної безпеки банку, в якій визначається інформаційна безпека, її загальні цілі та сфери дії; цілі та принципи інформаційної безпеки тощо; Положення про спеціальний керівний орган з питань інформаційної безпеки; Положення про службу безпеки (охорона, внутрішньобанківський режим тощо); Положення про службу захисту інформації (підрозділ інформаційної безпеки); Статут банку, в якому вказуються мета його діяльності, права, в тому числі право мати банківську таємницю і комерційну таємницю банку та здійснювати її захист; колективний договір, в якому визначаються права та обов'язки сторін, які його уклали, в тому числі по захисту конфіденційної інформації, забезпеченню необхідних умов та засобів її захисту; правила внутрішнього трудового розпорядку, в які також можуть бути включені статті, що зобов'язують всіх працівників захищати інтереси банку, в тому числі банківську таємницю та комерційну таємницю банку; посадові інструкції відповідальних за впровадження та функціонування системи управління інформаційною безпекою осіб; наказ про створення спеціального керівного органу з питань інформаційної безпеки; наказ про покладення обов'язків (у разі відсутності спеціального керівного органу з питань інформаційної безпеки) на існуючий керівний орган; наказ про впровадження та функціонування системи управління інформаційної безпеки банку; наказ про призначення керівника проекту впровадження та функціонування системи управління інформаційною безпекою банку; перелік, реєстр тощо - документи, які визначають категорії даних, що віднесені до банківської таємниці та комерційної таємниці банку (наприклад, перелік відомостей, що містять інформацію з обмеженим доступом; політика надання доступу до інформації; політика контролю доступу; політика захисту мережі банку; політика криптографічного захисту інформації тощо).
Технічні засоби захисту банківської інформації можуть включати в себе електромеханічні, електронні та інші засоби і системи, які в сукупності з іншими засобами сприяють збереженню інформації. До них можна віднести: автоматизацію охорони приміщень, в яких знаходиться техніка, захист носіїв інформації та апаратури від викрадення; застосування спеціальних технічних засобів, які виключають прослуховування та перехват інформації. Для захисту інформації, яка зберігається в комп'ютері використовуються програмні та апаратні засоби захисту, в тому числі засоби захисту диску від несанкціонованого запису чи копіювання, різноманітні шифратори, застосовується парольна ідентифікація тощо.
Підкреслюється, що в організації системи інформаційної безпеки банківської установи повинні бути виділені ролі її працівників, які необхідно персоніфікувати з встановленням відповідальності за їх виконання. Відповідальність повинна бути документально зафіксована в посадових інструкціях. Крім того, повинні бути документально визначенні та виконуватися процедури контролю діяльності працівників, що володіють сукупністю повноважень, які дозволяють отримати контроль над інформаційним активом банківської установи, що захищається. Процедура прийняття на роботу, яка впливає на забезпечення інформаційної безпеки банківської установи, повинна включати: перевірку дійсності наданих документів, кваліфікації, точності біографічних даних; перевірку в частині професійних навиків та оцінку професійної придатності. Всі працівники банківської установи повинні давати письмове зобов'язання щодо збереження конфіденційності та обов'язки персоналу щодо виконання вимог по забезпеченню інформаційної безпеки повинні бути включені до трудового контракту і(або) посадової інструкції. Невиконання працівниками банківської установи вимог щодо забезпечення інформаційної безпеки повинно прирівнюватись до невиконання посадових обов'язків та тягнути за собою як мінімум дисциплінарну відповідальність.
У підрозділі 3.2. «Суб'єкти забезпечення інформаційної безпеки банківських установ» автор приділяє увагу суб'єктному складу осіб, на яких покладено обов'язок щодо ефективного виявлення найбільш критичних ризиків та зниження ймовірності їх реалізації. Особливе місце в процесі забезпечення інформаційної безпеки банківської установи відводиться таким категоріям суб'єктів: керівник системи управління інформаційною безпекою банку; адміністратори захисту (безпеки баз даних, безпеки системи тощо); спеціалісти підрозділу інформаційної безпеки банку.
Залежно від обсягів і особливостей завдань підрозділу інформаційної безпеки до його складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху: спеціалісти з питань захисту інформації від витоку технічними каналами; спеціалісти з питань захисту каналів зв'язку і комунікаційного обладнання, налагодження і керування активним мереженим обладнанням; спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту; спеціалісти з питань захищених технологій обробки інформації; інші суб'єкти діяльності захисту банківської інформації.
Автор зазначає, що залежно від розміру банку ці обов'язки можуть бути покладені на створений спеціальний керівний орган з питань інформаційної безпеки з керівників підрозділів, відповідальних за критичні бізнес-процеси та банківські продукти. Формування такого керівного органу тільки з фахівців з питань інформаційної безпеки є недоцільним, оскільки в такому випадку питання інформаційної безпеки будуть поза увагою керівників, відповідальних за критичні бізнес-процеси, або питання інформаційної безпеки будуть вирішуватися окремо для кожного бізнес-процесу, що створить додаткові умови для несанкціонованого доступу до інформації та порушення конфіденційності, а також призведуть до додаткових фінансових витрат. У разі необхідності до роботи з окремих питань в цьому керівному органі можуть долучатися зовнішні спеціалісти з питань інформаційної безпеки за умови підписання угоди про конфіденційність.
Особливої важливості набуває вирішення проблеми раціонального розподілу ролей інформаційної безпеки, що підтверджують Стандарти з управління інформаційною безпекою в банківській системі України, які визначають загальні вимоги по забезпеченню інформаційної безпеки банківської системи, в тому числі і при призначенні та розподілі ролей. При цьому під роллю розуміється попередньо визначена сукупність правил, які встановлюють допустимий взаємозв'язок між суб'єктом і об'єктом. До суб'єктів відповідно відносяться особи з числа керівників банківської установи, її персоналу, клієнтів; об'єктами можуть бути програмно-апаратні засоби, інформаційні ресурси, інформаційні процеси тощо.
Підрозділ 3.3. «Зарубіжний досвід забезпечення інформаційної безпеки банківських установ» присвячено дослідженню зарубіжного досвіду організації забезпечення інформаційної безпеки банківських установ.
Шляхом вивчення історико-правових джерел було встановлено, що термін «банківська таємниця» виник понад 300 років тому: перші письмові відомості відносяться до 1713 року, коли виникла необхідність в гарантуванні недоторканості вкладів. Пошук національних особливостей забезпечення інформаційної безпеки банківських установ автор здійснює через вивчення законодавства та практики його реалізації у Російській Федерації, Республіці Білорусь, Республіці Казахстан, Іспанії, Великій Британії, Голландії, Німеччині, Сполучених Штатах Америки, Франції, Швейцарії, Японії та ін.
За результатом аналізу забезпечення інформаційної безпеки банківських установ означених держав, зроблено висновки, що 1) загальною метою системи безпеки банківської установи є забезпечення стійкого функціонування інформаційних систем банків, попередження можливості скоєння фінансових злочинів за допомогою різноманітних засобів, втрати та знищення інформації обмеженого доступу; 2) система безпеки інформаційних систем банківських організацій повинна забезпечувати конфіденційність, цілісність і доступність інформації; 3) для побудови ефективних систем захисту інформаційних систем у банківських установах повинні використовуватись наступні принципи та підходи: ідентифікація користувачів, обмеження доступу, підготовка персоналу, централізоване адміністрування інформаційної системи, використання якісних послуг і чистота програмного забезпечення.
У підрозділі 3.4. «Напрямки удосконалення забезпечення інформаційної безпеки банківських установ» автор на підставі зарубіжного досвіду та чинної вітчизняної нормативної бази сформувала пропозиції, спрямовані на вдосконалення системи забезпечення інформаційної безпеки банківських установ в Україні.
Правове забезпечення інформаційної безпеки банківських установ автор пов'язує з формуванням правових передумов: внесення змін до чинного законодавства (Закону України «Про банки і банківську діяльність» в частині доповнення його розділом «Забезпечення інформаційної безпеки установ банківської системи України») або створення принципово нового законодавства (Законів України «Про інформаційну безпеку» та «Про банківську таємницю»); формування відповідного деталізуючого адміністративно-правового забезпечення (Концепції інформаційної безпеки акціонерного банку) (відображено у висновках дисертації).
ВИСНОВКИ
Проведене комплексне наукове дослідження адміністративно-правового забезпечення інформаційної безпеки банківських установ в Україні дозволило сформулювати узагальнені теоретичні висновки та внести конкретні пропозиції щодо вдосконалення норм діючого законодавства України в даній сфері. Основні з них такі:
1. Аналіз сукупності наукових та спеціальних літературних джерел щодо діяльності банківських установ дозволяє визначити декілька принципових моментів, зокрема, те, що за останній час практично не з'являлися ґрунтовні напрацювання з питань дослідження адміністративно-правових основ забезпечення інформаційної безпеки банківських установ в Україні. В юридичній науці теоретичне опрацювання правової природи захисту банківської інформації має фрагментарний характер.
В умовах постійної еволюції правової та економічної систем України постала необхідність по-новому розглянути сутність багатьох банківських категорій, у тому числі таких як інформаційна безпека, загрози інформаційної безпеки, напрямки забезпечення інформаційної безпеки банківських установ в Україні.
2. У результаті проведеного дослідження виявлено внутрішні протиріччя приватного та публічного законодавства, які не дозволяють визначити вид об'єктів, до яких відноситься банківська інформація. Тому, правовідносини, які виникають з приводу банківської інформації, недостатньо повно і послідовно врегульовані нормами адміністративного, цивільного, господарського, інформаційного та банківського законодавства. Це пов'язано з тим, що відповідні законодавчі акти було прийнято в різний час, що в подальшому передбачає зміну теоретичних та практичних орієнтувань законодавця на відповідний об'єкт правового регулювання, а також з тим, що банківська інформація є достатньо новим та недостатньо дослідженим об'єктом правового регулювання.
3. Інформаційна безпека банку - це стан інформаційної системи банку, за якого він може протистояти впливу внутрішніх і зовнішніх загроз, самостійно не ініціюючи їхнього виникнення для елементів системи, а також комплексна забезпечувальна система методів і засобів, які спрямовані на дотримання інформаційної незалежності банку через обмеження зовнішнього втручання.
4. Основними ознаками змісту інформаційної безпеки банківських установ є наступні:
інформаційна безпека банку - це важлива властивість банківської системи, показник її здатності забезпечити захищеність та збереження основних фінансових інтересів;
інформаційна безпека банку з функціональної точки зору - це і визначена діяльність, і форма цілеспрямованої практичної активності деяких суб'єктів, пов'язаних з банківською інформацією. Першоосновою, яка зумовлює інформаційну безпеку, як систему визначених заходів, методів, органів є потреба захищати інтереси вкладників та клієнтів банку перш за все правовими заходами;
термін «інформаційна безпека» застосовується не лише стосовно об'єкта захисту, але і до джерела, а також сфери виникнення загрози;
у визначенні йде мова про захист не особи, а її інтересів. Право має на меті регламентувати те, від чого необхідно убезпечити суб'єкта, що в правовому розумінні виражає категорію «загроза». Загроза безпеці представляє собою посягання на охоронюваний правом інтерес. Звідси і предметом інформаційної безпеки банківських установ є ті інтереси суб'єктів відповідних правовідносин, без задоволення яких функціонування останніх значно обмежується, або вони перестають існувати;
зміст інформаційної безпеки банківських установ необхідно піддавати розширеному тлумаченню та співвідносити безпеку навіть не стільки з захищеністю інтересів, скільки з захищеністю сфери, в якій ці інтереси реалізуються;
захист має здійснюватися від загроз внутрішнього і зовнішнього характеру. Співставлення внутрішніх і зовнішніх загроз показало, що найбільшу небезпеку в ракурсі досліджуваної проблематики представляють зовнішні загрози;
мета механізму забезпечення інформаційної безпеки банківських установ - забезпечити за допомогою послідовно організованих юридичних засобів реальне гарантування правового стану суб'єктів відповідних відносин. Серед заходів, методів, способів досягнення належного рівня правового захисту можна виділити: заходи юридичного захисту, виражені як в матеріальному, так і в процесуальному праві; юридичну відповідальність; правову охорону; заходи попередження; правову недоторканність тощо;
важливою складовою інформаційної безпеки банківських установ виступає правова інформованість суб'єктів. Банки зобов'язані попереджати кожного суб'єкта про те, яка небезпека існує в банківській сфері та який є досвід вирішення і ліквідації потенційних конфліктних ситуацій та загроз.
5. Відповідно, для удосконалення нормативно-правового регулювання забезпечення інформаційної безпеки банківської системи України, є актуальним доповнення Закону України «Про банки і банківську діяльність» розділом «Забезпечення інформаційної безпеки установ банківської системи України», яким врегулювати взаємодію інформаційного підрозділу банківської установи з правоохоронними органами щодо питань попередження злочинних посягань; внесення змін до адміністративного законодавства щодо відповідальності посадових осіб банківських установ за відсутність заходів стосовно взаємодії з правоохоронними органами з питань надання відповідної банківської інформації на вимогу при проведенні заходів по попередженню злочинної діяльності.
6. З часу закріплення юридичної категорії банківської таємниці та комерційної таємниці банку в законодавстві, котре діяло на теренах України, зміст, форми та методи правового регулювання відповідних суспільних відносин неодноразово змінювались і, як правило, залежали від соціальних, економічних та правових умов, що складалися в певний історичний період. Автор підтримав позицію вчених щодо визначення банківської таємниці через контекст професійної діяльності, що дозволило відмежувати її від комерційної таємниці.
Виходячи з п. 6 ч. 2 ст. 60 Закону України «Про банки і банківську діяльність» зроблено висновок про те, що банківська та комерційна таємниці не є тотожними або однорідними поняттями і що комерційна таємниця, за певних умов, може визнаватися предметом банківської таємниці; визнання інформації, яка є комерційною таємницею, банківською таємницею не виключає її статусу комерційної таємниці.
7. Банківська таємниця як об'єкт правового регулювання одночасно об'єднує в собі характерні риси, притаманні таким різним видам об'єктів прав, як інформація та нематеріальні блага. Елементом правового статусу банківської таємниці як об'єкта правового регулювання є юридичні гарантії відповідного права клієнта.
Банківська таємниця є самостійним видом інформації з обмеженим доступом і має свій специфічний режим захисту не тотожний жодному іншому правовому режиму конфіденційності.
8. З урахуванням вищезазначеного поняття «банківської таємниці» сформульовано автором наступним чином: це охоронювані державою, кредитними організаціями і Національним банком України відомості щодо банківського рахунку, банківського вкладу, операціях по рахунку і вкладам та щодо клієнта, незаконне отримання, розголошення використання яких надає клієнту право на відшкодування завданої шкоди чи кримінально-правовий захист в порядку, встановленому діючим законодавством України.
9. Запропоновано ч. 2 ст. 60 Закону України «Про банки і банківську діяльність» викласти в такій редакції:
«Банківською таємницею, зокрема, є:
1) відомості про банківські рахунки клієнтів, у тому числі кореспондентські рахунки банків у Національному банку України;
Подобные документы
Стан, принципи та напрями адміністративно-правового регулювання інформаційної безпеки України. Міжнародно-правовий досвід адміністративно-правового регулювання інформаційної безпеки. Науково обґрунтовані пропозиції щодо підвищення її ефективності.
дипломная работа [76,7 K], добавлен 07.07.2012Роль та місце інформаційної безпеки в понятійно-категорійному апараті інформаційного права. Поняття, зміст та розвиток інформаційної безпеки. Характеристика становища інформаційної безпеки України та механізм правового регулювання управління нею.
дипломная работа [151,1 K], добавлен 15.10.2013Поняття та види загроз національним інтересам та національній безпеці в інформаційній сфері. Характеристика загроз інформаційній безпеці системи державного управління. Мета функціонування, завдання системи та методи забезпечення інформаційної безпеки.
курсовая работа [34,3 K], добавлен 23.10.2014Зміст інформаційної безпеки як об’єкта гарантування сучасними органами Національної поліції України. Дотримання прав та свобод громадян у сфері інформації. Удосконалення класифікації, методів, засобів і технологій ідентифікації та фіксації кіберзлочинів.
статья [20,9 K], добавлен 11.09.2017Специфіка забезпечення інформаційної безпеки України в законах України. Наявність потенційних зовнішніх і внутрішніх загроз. Стан і рівень інформаційно-комунікаційного розвитку країни. Загрози конституційним правам і свободам людини і громадянина.
презентация [75,1 K], добавлен 14.08.2013Еволюція теоретичного визначення поняття та сутності заходів безпеки в кримінально-правовій доктрині. Співвідношення заходів безпеки з покаранням, заходами соціального захисту та профілактики. Аналіз положень кримінального законодавства зарубіжних країн.
автореферат [55,2 K], добавлен 10.04.2009Аналіз кримінального аспекту міжнародної інформаційної безпеки, а саме питання кіберзлочинності. Огляд теоретичних концепцій щодо розуміння данної проблематики та порівняння різних підходів до визначення і класифікації кіберзлочинів на глобальному рівні.
статья [23,0 K], добавлен 11.08.2017Правовий зміст національної безпеки. Державний суверенітет і значення національної безпеки для його забезпечення. Статут ООН як основа сучасного права міжнародної безпеки. Проблеми національної безпеки і забезпечення суверенітету незалежної України.
курсовая работа [58,6 K], добавлен 18.11.2014Поняття забезпечення безпеки. Особи, які підлягають захисту та органи, до функціональних обов’язків яких відноситься застосування заходів безпеки. Їх права і обовязки, правова відповідальність. Безпеки осіб, які беруть участь у кримінальному судочинстві.
реферат [37,6 K], добавлен 16.03.2007Загальна характеристика чинного законодавства України в сфері забезпечення екологічної безпеки і, зокрема, екологічної безпеки у плануванні і забудові міст. Реалізація напрямів державної політики забезпечення сталого розвитку населених пунктів.
реферат [42,4 K], добавлен 15.05.2011