Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Конспект лекцій для аспірантів галузі знань 07 «Управління та адміністрування»

Конспект лекцій для аспірантів галузі знань 07 «Управління та адміністрування»




Сторінка5/14
Дата конвертації19.03.2017
Розмір3.41 Mb.
ТипКонспект
1   2   3   4   5   6   7   8   9   ...   14
Тема 4. ІНФОРМАЦІЙНА БЕЗПЕКА БАНКУ: ОСНОВНІ ПОНЯТТЯ, СИСТЕМА ЗАБЕЗПЕЧЕННЯ, ПРАВОВЕ РЕГУЛЮВАННЯ

4.1. Інформаційна безпека банку.

4.2. Політика інформаційної безпеки банку.

4.3. Правове регулювання захисту банківської таємниці.

4.4 Відповідальність за посягання на банківську таємницю.

Перелік посилань
4.1. Інформаційна безпека банку
Інформаційна безпека банку - стан, за якого забезпечується необхідний рівень інформованості керівництва, персоналу, клієнтів банку, захист усіх видів інформації від зовнішніх і внутрішніх ризиків, загроз та небезпек.

Основними ризиками, загрозами та небезпеками інформаційній безпеці банку є:



    • втрата (порушення) конфіденційності інформації та ресурсів, тобто розкриття змісту інформаційного ресурсу несанкціонованим користувачем;

    • втрата (порушення) цілісності інформації та ресурсів внаслідок впливів як природного, так і штучного характеру;

    • втрата або неякісна доступність до інформації та ресурсів користувачів, можливість доступу до інформації зловмисників;

    • – неякісна спостережність власників та/або користувачів за інформацією та ресурсами.

Об’єктами інформаційної безпеки банку є:

    • обладнання автоматизованої системи (фізичні ресурси);

    • інформаційні ресурси (бази даних, файли тощо);

    • програмне забезпечення (системне, прикладне, інші допоміжні програми);

    • сервіс та підтримуюча інфраструктура (обслуговуючі засоби обчислювальної техніки, енергопостачання, забезпечення необхідних умов експлуатації і т.ін.).

Інформаційна безпека банку досягається організацією збору інформації про внутрішнє і зовнішнє середовище банку, проведенням інформаційно-аналітичного дослідження клієнтів, партнерів та конкурентів, контрагентів, моніторингу в банку, аналітичної обробки інформації; організацією системи інформаційного забезпечення рішень керівництва банку; визначенням категорій банківської інформації та виробленням відповідних заходів щодо її захисту; дотриманням відповідних режимів діяльності банку; виконанням усіма працівниками банку норм і правил роботи з інформацією; своєчасним виявленням спроб і можливих каналів втрати інформації.

Проведений аналіз та практичний досвід показують, що в якості базової змістовної моделі забезпечення безпеки інформації необхідно використовувати модель, що визначається міжнародним стандартом ISO/IEC 15408 «Єдині критерії оцінки безпеки систем інформаційних технологій» та ISO/IEC 15446 «Керівництво з розро бки профілю захисту та проекту безпеки» [1]. Функціональні вимоги інформаційної безпеки згруповані на основі 11 функціональних класів (в трьох групах), 66 сімейств, 135 компонентів:

1. конфіденційність (захист від несанкціонованого отримання інформації);


  1. цілісність (захист від несанкціонованої зміни інформації);

  2. доступність (захист від несанкціонованого утримання інформації і ресурсів).

Безвідмовність, або надійність, доступу до інформації є однією з характеристик інформаційної безпеки. Пропонується така схема класифікації інформації на чотири рівні безвідмовності (табл. 3.1).

Таблиця 3.1

Схема класифікації інформації за безвідмовністю [2, с. 564]

Параметри

Клас 0

Клас 1

Клас 2

Клас 3

Максимально можливий безперервний час відмови

1 тиждень

1 доба

1 год

1 год

Дозволений час відмови

У робочий час

У робочий час

У робочий час

24 год на добу

Ймовірність доступності даних, %

80

95

99,5

99,9

Середній максимальний час відмови

1 день на тиждень

2 год на тиждень

20 хв на

тиждень


12 хв на місяць

Рівень конфіденційності інформації є однією з найважливіших категорій, що беруться до розгляду при створенні певної політики безпеки установи. Пропонується така схема класифікації інформації на чотири класи за рівнем її конфіденційності (табл. 3.2).

Таблиця 3.2

Схема класифікації інформації за рівнями конфіденційності [2, с. 564-565]



Клас

Тип інформації

Опис

Приклади

0

Відкрита інформація

Загальнодоступна

інформація



Інформаційні брошури, відомості публікувалися в ЗМІ

1

Внутрішня інформація

Інформація, недоступна у відкритому вигляді, але вона не несе ніякої небезпеки при її розкритті

Фінансові звіти і тестова

інформація за давно минулі періоди, звіти про звичайні засідання зустрічі, внутрішній телефонний довідник



2

Конфіденційна інформація

Розкриття інформації призводить до значних втрат на ринку

Реальні фінансові дані, плани, проекти, повний набір відомостей про клієнтів, інформація про проекти

3

Секретна інформація

Розкриття інформації призведе до фінансового краху

Залежить від ситуації

Сформулюємо вимоги щодо роботи з конфіденційною інформацією [2, с. 565-566]:



При роботі з інформацією 1-го класу конфіденційності рекомендується виконання таких вимог:

  • інформування співробітників про закритість цієї інформації,

  • загальне ознайомлення співробітників з основними можливими методами атак на інформацію;

  • обмеження фізичного доступу;

  • повний набір документації за правилами виконання операцій з цієї інформацією.

При роботі з інформацією 2-го класу конфіденційності до перелічених вище вимог додаються такі:

  • розрахунок ризиків атак на інформацію;

  • запровадження списку осіб, що мають доступ до цієї інформації;

  • по можливості видача подібної інформації під розписку (в тому числі електронну);

  • автоматична система перевірки цілісності системи та її засобів безпеки;

  • надійні схеми фізичного транспортування;

  • обов’язкове шифрування при передачі лініями зв’язку;

  • схема безперебійного живлення ЕОМ.

При роботі з інформацією 3-го класу конфіденційності до всіх перелічених вище вимог додаються такі:

  • детальний план збереження або надійного знищення інформації в аварійних ситуаціях (пожежа, повінь, вибух);

  • захист ЕОМ або носіїв інформації від пошкодження водою і високою температурою;

  • криптографічна перевірка цілісності інформації.

Показники оцінки рівня інформаційної безпеки банку наведені у таблиці 4.3.

Одним із важливих нормативних документів банку з інформаційної безпеки повинне бути Положення про комерційну таємницю і конфіденційну інформацію. У ньому вказують склад відомостей, що становлять комерційну таємницю та конфіденційну інформацію банку, порядок їх захисту в установах банку, хто відповідає за організацію заходів захисту, відповідальність за розголошення таких відомостей. У наказі може вказуватись склад комісії, яка розглядатиме і визначатиме цінність банківської інформації, подаватиме пропозиції керівнику банку відомості щодо надання відповідній інформації статусу комерційної таємниці чи конфіденційної інформації.

Таблиця 4.3

Показники інформаційної безпеки банку



Показники

Розрахункові формули

Порогові значення показників

Умовні позначення

Продуктивність інформації



до

зростання



Пп - доходи банку, тис. грн;

Він - витрати на придбання інформаційних ресурсів, тис. грн



Коефіцієнт інформаційної озброєності



до

зростання



Він - витрати на придбання інформаційних ресурсів, тис. грн;

Чс.с - середньоспискова чисельність працівників, чол.



Рівень захищеності інформації





Вз.ін. - витрати банку на захист інформаційних ресурсів, тис. грн;

Він - витрати на придбання інформаційних ресурсів, тис. грн


Наказом також можуть передбачатися заходи щодо роботи персоналу стосовно збереження ним у таємниці службової інформації.

Визначення порядку захисту інформації, організації роботи з нею здійснюється відповідно до Положення про організацію роботи з інформацією, що становить банківську і комерційну таємницю та є конфіденційною. Положення передбачає: права співробітників банку та інших осіб щодо отримання інформації з обмеженим доступом, обов'язки посадових осіб і службовців банку щодо роботи з грифованими документами, виробами та засобами, правила ведення конфіденційних переговорів за допомогою засобів зв'язку, спілкування з клієнтами та відвідувачами; правила оформлення доступу до інформації з обмеженим доступом, порядок розроблення, зберігання, пересилання та руху грифованих документів в установах банку; загальні обов'язки персоналу банку щодо зберігання його таємниць; порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом; інші питання, що регулюють правила доступу до інформації з обмеженим доступом. Окремим наказом по банку може оголошуватись список осіб, яким у повному обсязі може доводитись інформація, що становить банківську і комерційну таємницю та є конфіденційною.

Нормативна база банку з питань інформаційної безпеки є основою для правового захисту як таємниць банку, так і всієї його діяльності.


4.2. Політика інформаційної безпеки банку
Політика інформаційної безпеки банку - сукупність правових і морально-етичних норм, правил, адміністративних, організаційних заходів і технічних, програмних і криптографічних засобів, направлених на захист інформаційної інфраструктури банку від випадкового і навмисного втручання в процес її функціонування. Політика формується на основі характеристики об’єкта застосування; аналізу поточного стану захищеності інформаційної інфраструктури банку; обліку можливих негативних факторів впливу та ймоворністі їх реалізації; створення методології ухвалення управлінських рішень щодо забезпечення інформаційної безпеки з врахуванням вимог, що містяться в законах і нормативних актах держави, міжнародних, національних та промислових стандартах у галузі інформаційної безпеки, нормативних документах державного і відомчого характеру.

Розрізняють дві системи оцінки поточної ситуації у сфері інформаційної безпеки у банківських установах [2, с. 567-568]:

- «дослідження знизу догори» (прямий);

- «дослідження зверху вниз» (зворотній).

Метод «знизу догори» досить простий, потребує набагато менших капітальних вкладень, але й має менші можливості. Він базується на відомій схемі: «Ви – зловмисник. Ваші дії?» Тобто служба інформаційної безпеки банку, ґрунтуючись на даних про всі відомі види атак, намагається застосувати їх на практиці з метою перевірки, чи можлива така атака з боку реального зловмисника.

Метод «зверху вниз» є, навпаки, детальним аналізом усієї наявної схеми зберігання та обробки інформації. Першим етапом цього методу є, як і завжди, визначення, які інформаційні об’єкти і потоки необхідно захищати. Далі вивчають поточний стан системи інформаційної безпеки з метою визначення того, що з класичних методик захисту інформації вже реалізоване, в якому обсязі та на якому рівні. На третьому етапі розробляється класифікація всіх інформаційних об’єктів на класи відповідно до їх конфіденційності, вимог до доступності та цілісності (незмінності). На четвертому етапі з’ясовують, наскільки серйозний збиток може завдати банку розкриття або інша атака на кожний конкретний інформаційний об’єкт. Цей етап носить назву «розрахунок ризиків». У першому наближенні ризиком є добуток «можливого збитку від атаки» на «ймовірність такої атаки». Є безліч схем обчислення ризиків. Розглянемо одну з найпростіших. Збиток від атаки можна представити позитивним числом, що приблизно відповідає наведеним у табл. 4.4 [2, с. 564-568].

Таблиця 4.4

Збиток від атаки та ймовірність її виникнення


Стан бепеки банку

Величина збитку

Опис

Середня частота появи

Безпека

0

Розкриття інформації принесе мінімальний моральний і фінансовий збиток

Відсутня

1

Збиток від атаки є, але він незначний, основні фінансові операції на ринку банківських послуг не зазнають впливу

Рідше ніж 1 раз на рік

Ризик

2

Фінансові операції не ведуться протягом певного часу, за цей час банк зазнає збитків, але його становище на ринку і кількість клієнтів змінюються мінімально

1 раз на рік

Загроза

3

Значні втрати на ринку і в прибутку. Від банку йде значна частина клієнтів

1 раз на місяць

Небезпека

4

Втрати дуже значні, банк на період до одного року втрачає становище на ринку. Для відновлення становища потрібні великі фінансові позики

1 раз на тиждень

5

Банк припиняє існування

Більше, ніж раз на тиждень

На наступному етапі складається таблиця ризиків інформаційної безпеки фінансово-кредитної установи (табл. 4.5) [2, с. 569].

Таблиця 4.5

Джерела негативних факторів впливу на стан інформаційної безпеки фінансово-кредитної установи



Опис атаки

Збиток

Ймовірність

Ризик = Збиток х Ймовірність

Спам-розсилка з вірусним наповненням

1

4

4

Копіювання жорсткого диска з центрального офісу

3

1

3

Розмноження бази даних кредитного відділу

2

5

10



….

Разом

17

На етапі аналізу таблиці ризиків задають певний максимально допустимий ризик, наприклад, значенням 7. Спочатку перевіряється кожен рядок таблиці на неперевищення цього значення. Якщо таке перевищення має місце, то цей рядок – одна з першочергових цілей розробки політики безпеки. Потім порівнюють подвоєне значення (у нашому випадку 5 х 2 = 10) з інтегральним ризиком (рядок «Разом»). Якщо інтегральний ризик перевищує допустиме значення, то в системі набирається безліч дрібних похибок у системі інформаційної безпеки банку, які в сумі не дадуть йому ефективно працювати. У такому разі з рядків вибирають ті, які роблять найзначніший внесок у значення інтегрального ризику, і здійснюють спробу їх зменшити або усунути повністю.

При розробці політики інформаційної безпеки фінансово-кредитної установи необхідно враховувати об’єктивні проблеми, які можуть постати на шляху реалізації політики інформаційної безпеки банку. Такими проблемами можуть стати закони країни і міжнародного співтовариства, внутрішні вимоги, етичні норми суспільства.

Залежно від стану інформаційної безпеки в банку виділимо чотири основні типи політики [1] інформаційної безпеки банку:

1. програмна політика безпеки використовуються при оцінці стану інформаційної небезпеки в банку і розробляється з метою визначення напрямів реструктуризації основних компонентів забезпечення інформаційної безпеки і їх реалізації. Програмна політика безпеки банку визначає множину стратегічних напрямків забезпечення інформаційної безпеки, види і обсяг ресурсів, які виділяються для реалізації політики;

2. формування проблемно-орієнтованої політики інформаційної безпеки банку здійснюють у випадку інформаційної загрози в банку. Об’єктом застосування проблемно-орієнтованої політики безпеки є окрема проблема або задача в області забезпечення безпеки інформації в фінансово-кредитній організації. Необхідність розробки проблемно-орієнтованої політики безпеки часто вимагає у відповідь як появу і використання в організації нових технологій, так і виникнення нових загроз та слабкостей. Частіше за все проблемно-орієнтована політика безпеки уточнює, конкретизує положення програмної політики безпеки чи об’єктової політики безпеки;

3. системно-орієнтована політика інформаційної безпеки банку використовується при стані інформаційного ризику, визначає напрямок, методи та процедури забезпечення інформаційної безпеки. Даний тип політики обмежений областю взаємодії самої системи і середовища її експлуатації. Для розробки пов’язаного та повного набору правил безпеки розробник повинен використовувати спеціальні прийоми, за допомогою яких на основі аналізу задач захисту формулюються правила безпеки;

4. системна політика містить загальні вимоги до безпеки інформації та рішення щодо забезпечення режиму інформаційної безпеки. Повинна містити правила безпеки відносно фізичної безпеки, аутентифікації, ідентифікації та управління доступом, правила застосування криптографічних засобів, правила забезпечення антивірусного захисту та інші питання моніторингу актуальності сформульованих та уточнених задач захисту в процесі експлуатації системи (стан інформаційної безпеки банку).

Заходи захисту інформації в засобах і мережах її передавання та обробки в основному передбачають використання криптографічних, апаратних та програмних засобів захисту.

Під криптографічними заходами розуміють використання спеціальних пристроїв, програм, виконання відповідних дій, які роблять сигнал, що передається, абсолютно незрозумілим для сторонніх осіб. Тобто криптографічні заходи забезпечують такий захист інформації, за якого у разі перехоплення її і обробки будь-якими способами вона може бути дешифрована тільки протягом часу, який потрібен їй для втрати своєї цінності. Для цього використовуються різноманітні спеціальні засоби шифрування, кодування та інших видів методів перетворення інформації (документів, мови, телеграфних повідомлень тощо).

Апаратні засоби захисту застосовуються для вирішення таких завдань:


  • перешкоджання візуальному спостереженню і дистанційному підслуховуванню;

  • нейтралізація небажаних електромагнітних випромінювань і наводок;

  • виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або таких, які принесено до банку;

  • захист інформації, що передається засобами зв'язку і міститься в системах автоматизованої обробки даних.

За своїм призначенням апаратні засоби захисту поділяються на засоби виявлення і засоби захисту від несанкціонованого доступу. Слід зазначити, що універсального засобу, який би давав змогу виконувати всі функції, немає, тому для виконання кожної функції, відповідно до виду засобів несанкціонованого доступу, існують свої засоби пошуку та захисту. За таких умов заходи щодо протидії незаконному вилученню інформації за допомогою апаратних засобів захисту досить трудомісткі та дорогі і вимагають спеціальної підготовки фахівців безпеки.

На практиці всі заходи щодо використання апаратних засобів захисту поділяються на три групи: організаційні, організаційно-технічні, технічні.



Організаційні заходи апаратного захисту — це заходи обмежувального характеру, які передбачають регламентацію доступу і використання технічних засобів передавання і обробки інформації.

Організаційно-технічні заходи забезпечують блокування можливих каналів витоку інформації через технічні засоби забезпечення виробничої і трудової діяльності за допомогою спеціальних технічних засобів, які встановлюються на елементи конструкцій споруд і будівель, приміщень і технічних засобів, потенційно створюючи канали витоку інформації.

Технічні заходи — це заходи, які забезпечують використання в процесі виробничої діяльності спеціальних, захищених від побічних випромінювань технічних засобів передавання й обробки конфіденційної інформації.

Під програмними засобами захисту розуміють систему спеціальних програм, включених до складу програмного забезпечення комп'ютерів та інформаційних систем, які реалізують функції захисту конфіденційної інформації від неправомірних дій, і програми їх обробки.

Програмні засоби забезпечують захист інформації від несанкціонованого доступу до неї, копіювання її або руйнування.

Під час захисту від несанкціонованого доступу за допомогою програмних засобів здійснюються:


  • ідентифікація об'єктів і суб'єктів;

  • розмежування доступу до інформаційних ресурсів;

  • контроль і реєстрація дій з інформацією і програмами.

Захист інформації від копіювання забезпечується виконанням таких функцій:

  • ідентифікація середовища, з якого буде запускатись програма;

  • аутентифікація середовища, із якого запущена програма;

  • реакція на запуск із несанкціонованого середовища;

  • реєстрація санкціонованого копіювання;

  • протидія вивченню алгоритмів роботи системи.

Заходи захисту від руйнування інформації, враховуючи велику різноманітність причин руйнування (несанкціоновані дії, помилки програм і обладнання, комп'ютерні віруси та ін.), передбачають обов'язкові страхувальні дії, які спрямовані на попередження і профілактику можливих причин руйнування інформації. Програмні засоби захисту у таких випадках бувають як спеціалізованими, так і універсальними.
 4.3. Правове регулювання захисту банківської таємниці
У зв'язку із зверненнями правоохоронних органів та банків щодо порядку та обсягів розкриття банками інформації, що становить банківську таємницю, за рішенням суду та використовуючи закріплені у пункті 1 статті 66 Закону України «Про банки і банківську діяльність» повноваження щодо адміністративного регулювання діяльності банків, Національний банк України вважає за необхідне висловити наступні рекомендації стосовно діяльності банків.

Згідно з положеннями статті 1076 Цивільного кодексу України та статті 60 Закону України «Про банки і банківську діяльність», будь-яка інформація, що стосується клієнта, якою банк володіє на законних підставах, є банківською таємницею (за винятком, якщо така інформація складає державну таємницю), тобто до банківської таємниці належить інформація про діяльність і фінансовий стан клієнта, що стала відома банку у процесі його обслуговування і взаємовідносин з ним або з третіми особами під час надання послуг банком, розголошення якої може завдати матеріальної чи моральної шкоди клієнту.

Цивільний кодекс України (ЦКУ) - основний нормативно-правовий акт цивільного законодавства України, прийнятий Верховною Радою України 16 січня 2003 року.

Поняття «конфіденційна інформація» наведено в Законі України «Про інформацію», де зазначено, що остання за своїм правовим режимом є інформацією з обмеженим доступом і вона являє собою

«... відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов» (ст. 30).

Відповідно до пункту 1 статті 1076 Цивільного кодексу України, відомості, що складають банківську таємницю, можуть бути надані банком органам державної влади та їх посадовим особам виключно у випадках та в порядку, встановлених законом України «Про банки і банківську діяльність».

Стаття 62 (Порядок розкриття банківської таємниці) Закону України «Про банки і банківську діяльність» передбачає декілька випадків розкриття банками інформації, що становить банківську таємницю, у повному обсязі, а саме:

1) на письмовий запит або з письмового дозволу власника такої інформації;

2) на письмову вимогу суду або за рішенням суду;

3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу;

Антимонопо́льний коміте́т Украї́ни (скорочено АМКУ) - державний орган зі спеціальним статусом, метою діяльності якого є забезпечення державного захисту конкуренції у підприємницькій діяльності та у сфері державних закупівель.
Украї́на (МФА: [ukrɑˈjinɑ]опис файлу) - держава у Східній Європі та частково в Центральній Європі, у південно-західній частині Східноєвропейської рівнини. Площа становить 603 628 км². Найбільша за площею країна з тих, чия територія повністю лежить у Європі, друга на європейському континенті, якщо враховувати Росію.
Міністе́рство вну́трішніх справ Украї́ни (МВС України) - центральний орган виконавчої влади України, діяльність якого спрямовується і координується Кабінетом Міністрів України.

4) органам Державної податкової служби України на їх письмову вимогу з питань оподаткування або валютного контролю стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу.

Держа́вна податко́ва служба Украї́ни - колишній центральний орган виконавчої влади, що очолював систему органів державної податкової служби України.

Вимога відповідного державного органу на отримання інформації, яка містить банківську таємницю, повинна:

1) бути викладена на бланку державного органу встановленої форми;

2) бути надана за підписом керівника державного органу (чи його заступника), скріпленого гербовою печаткою;

3) містити передбачені цим Законом підстави для отримання цієї інформації;

4) містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.

Довідки по рахунках (вкладах) у разі смерті їх власників надаються банком особам, зазначеним власником рахунку (вкладу) в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).

Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у документах, угодах та операціях клієнта.

Банк має право надавати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій.

Обмеження стосовно отримання інформації, що містить банківську таємницю, передбачені цією статтею, не поширюються на службовців Національного банку України або уповноважених ними осіб, які в межах повноважень, наданих Законом України "Про Національний банк України", здійснюють функції банківського нагляду або валютного контролю.

Особи, винні в порушенні порядку розкриття та використання банківської таємниці, несуть відповідальність згідно із законами України.

Письмова вимога суду щодо надання інформації, яка містить банківську таємницю, має відповідати нормам частини 2 статті 62 Закону України «Про банки і банківську діяльність».

Подібним чином визначений і правовий режим захисту конфіденційної інформації. Відповідно до ч. 3 ст. 30 Закону України «Про інформацію», власникам конфіденційної інформації надано право самим включати її до категорії конфіденційної, визначати режим доступу до неї і встановлювати систему (способи) її захисту.

Враховуючи, що перелік відомостей, які становлять комерційну таємницю, визначається керівником підприємства (банку), необхідно пам’ятати, що, згідно з Постановою Кабінету Міністрів України № 611 від 9 серпня 1993 р.

Постанова Кабінету Міністрів України - нормативно-правовий акт Уряду України - Кабінету Міністрів.
, не можуть бути комерційною таємницею:

  • установчі документи, документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами;

  • інформація за всіма встановленими формами державної звітності;

—дані, необхідні для перевірки, обчислення і сплати податків та інших обов'язкових платежів;

— інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва;

—документи про платоспроможність;


  • інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків;
    Довкілля, або бюрократично навко́лишнє приро́дне середо́вище - всі живі та неживі об'єкти, що природно існують на Землі або в деякій її частині (наприклад, навколишнє середовище країни). Сукупність абіотичних та біотичних факторів, природних та змінених у результаті діяльності людини, які впливають на живий світ планети.


  • відомості, які, відповідно до чинного законодавства, підлягають оголошенню (масова інформація та інформація, що публічно поширюється через друковані та аудіовізуальні канали, закони, нормативні акти, що стосуються свобод і законних інтересів громадян та ін.).

Ураховуючи відкритий доступ до зазначеної інформації, необхідно пояснити таке. До форм державної звітності відносять лише форми, установлені (затверджені) Міністерством статистики України. Під документами про платоспроможність і даними, що необхідні для перевірки обчислення податків, не можна розуміти документи і відомості про операції клієнтів банку, оскільки вони, згідно з Законом України «Про банки і банківську діяльність», належать до банківської таємниці. Як відомо, у разі розходження у правових нормах повинен діяти принцип верховенства закону над підзаконним актом.
4.4. Відповідальність за посягання на банківську таємницю
Відповідно до чинного законодавства, за посягання на комерційну та банківську таємниці може наставати кримінальна, цивільна, адміністративна або дисциплінарна відповідальність.

Кримінальна відповідальність може настати за дії, передбачені ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю» і ст. 232 «Розголошення комерційної таємниці» Кримінального кодексу України.

Кримінальний кодекс України (КК України, Закон про кримінальну відповідальність) - прийнятий Верховною Радою України нормативно-правовий акт, у якому встановлені підстави і принципи кримінальної відповідальності, злочинність і караність діянь, підстави звільнення від кримінальної відповідальності і покарання.

Під незаконним збиранням з метою використання або використання відомостей, що становлять комерційну таємницю, розуміють умисні дії, спрямовані на отримання відомостей, що становлять комерційну таємницю, з метою розголошення чи іншого використання цих відомостей (комерційне шпигунство), а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб'єкту господарської діяльності. Такі дії караються штрафом від 200 до 1000 неоподатковуваних мінімумів доходів громадян, або обмеженням волі на строк до п'яти років, або позбавленням волі на строк до трьох років.

Статтею передбачена відповідальність за такі злочини:



  • незаконне збирання з метою використання відомостей, що становлять комерційну таємницю;

  • незаконне використання відомостей, що становлять комерційну таємницю, якщо це завдало великої матеріальної шкоди суб'єкту підприємницької діяльності.

Незаконним збиранням відомостей можуть бути активні дії, спрямовані на добування (одержання) таких відомостей у будь-який спосіб: вилучення (викрадення), незаконне ознайомлення, прослуховування телефонних розмов, опитування співробітників, одержання відомостей за плату або через погрози, насильство тощо.

Під незаконним використанням відомостей, що становлять комерційну таємницю, слід розуміти впровадження чужих таємниць у власне виробництво, урахування здобутих відомостей під час планування власної діяльності, продажу, розголошення відомостей тощо.

Обов'язковою ознакою незаконного використання комерційної таємниці є наслідки у вигляді істотної матеріальної шкоди. Оскільки кримінальне покарання настає за незаконне збирання і незаконне використання відомостей, що становлять комерційну таємницю, необхідно визначити критерії законності чи незаконності такого збору. Критеріями законного отримання інформації можуть бути:


  • наявність підстав для збирання і використання відомостей, передбачених законом чи договором;

  • наявність необхідних повноважень;

  • наявність згоди власника таємниці на ознайомлення з нею відповідних осіб.

Умисне розголошення комерційної таємниці без згоди її власника особою, якій ця таємниця відома у зв'язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб'єкту господарської діяльності, карається штрафом від 200 до 500 неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатись певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років, або позбавленням волі на той самий строк.
Неоподатковуваний мінімум доходів громадян - грошова сума розміром у 17 гривень, встановлена пунктом 5 підрозділу 1 розділу XX Податкового кодексу України, яка застосовується при посиланнях на неоподаткований мінімум доходів громадян в законах або інших нормативно-правових актах, за винятком норм адміністративного та кримінального законодавства у частині кваліфікації злочинів або правопорушень, для яких сума неоподатковуваного мінімуму встановлюється на рівні податкової соціальної пільги.

Кримінальній відповідальності за незаконне розголошення комерційної таємниці підлягають лише особи, яким відомості, що становлять комерційну таємницю, стали відомі у зв'язку з їхньою професійною чи службовою діяльністю і які юридично зобов'язані зберігати ці відомості.

Способи розголошення можуть бути різні: повідомлення іншим особам, надання їм для ознайомлення документів, повідомлення закритих відомостей у засобах масової інформації.

Засоби масової інформації (ЗМІ), мас медіа (Mass media) - преса (газети, журнали, книги), радіо, телебачення, інтернет, кінематограф, звукозаписи та відеозаписи, відеотекст, телетекст, рекламні щити та панелі, домашні відеоцентри, що поєднують телевізійні, телефонні, комп'ютерні та інші лінії зв'язку.

Суб'єктом злочину можуть бути працівники банку, яким комерційна таємниця відома у зв'язку із їхньою професійною або службовою діяльністю, а також посадові особи і співробітники правоохоронних органів, органів податкової служби, які у зв'язку зі своїм посадовим становищем чи особливостями професійної діяльності отримують інформацію, що становить комерційну таємницю.

Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж, якщо це призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, розповсюдження комп'ютерного вірусу через застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп'ютерні мережі, є злочином і карається у порядку, передбаченому кримінальним законодавством. До цього виду злочинів належать і викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем, а також порушення правил експлуатації, автоматизованих електронно-обчислювальних систем чи комп'ютерних мереж, коли це спричинило викрадення, перекручення чи знищення комп'ютерної інформації. За перелічені дії відповідальність настає згідно зі ст. 361, 362, 363 Кримінального кодексу України.

Незалежно від вирішення питання про притягнення до кримінальної відповідальності і покарання злочинця зазначені санкції не передбачають відшкодування суб'єкту підприємницької діяльності завданих злочином збитків - їх відшкодування може бути здійснене шляхом використання норм цивільного законодавства.

Цивільна відповідальність ґрунтується на цивільно-правових відносинах, за яких одна сторона зобов'язана відшкодовувати другій збитки, завдані протиправними (і не завжди кримінально караними) діями у зв'язку з посяганням на комерційну (банківську) таємницю.

Згідно з Цивільним кодексом України, збитки — це всі витрати, зроблені кредитором, втрата або пошкодження його майна, у разі порушення умов договорів, також стягнення збитків при виникненні зобов'язань із заподіяння шкоди.

Шкода як збитки, заподіяні протиправним посяганням на комерційну (банківську) таємницю, має місце в обох випадках, але правова природа їх відшкодування залежатиме від виду зобов'язань.

У першому випадку збитки, заподіяні протиправним посяганням на комерційну (банківську) таємницю, відшкодовуються винною стороною згідно із передбаченими угодою (договором) зобов'язаннями.

У другому випадку відшкодування збитків здійснюється не за угодою чи договором, а на загальних підставах і принципах відповідальності за заподіяння шкоди. В основі таких зобов'язань лежить не порушення умов угоди (договору), а факт заподіяння шкоди. При цьому відшкодування збитків здійснюється через подання цивільного позову до суду.

Адміністративна відповідальність за посягання на таємниці банку ґрунтується на положеннях Кодексу України про адміністративні правопорушення. Оскільки посягання на таємниці підприємства, фірми, банку законодавством України віднесено до дій, які кваліфікуються як недобросовісна конкуренція, адміністративну відповідальність за такі дії передбачено у ст. 164.3 Кодексу України про адміністративні правопорушення. Згідно із вказаною статтею, отримання, використання, розголошення комерційної таємниці, а також конфіденційної інформації з метою заподіяння шкоди діловій репутації або майну іншого підприємця тягне за собою накладення штрафу від 9 до 18 неоподатковуваних мінімумів доходів громадян.

Крім того, законодавець передбачив адміністративну відповідальність за посягання безпосередньо на банківську таємницю. Так, згідно зі ст. 164.11 Кодексу України про адміністративні правопорушення, незаконне розголошення або використання інформації, що становить банківську таємницю, особою, якій ця інформація стала відома у зв'язку з виконанням професійних чи службових обов'язків, тягне за собою накладення штрафу від 100 до 200 неоподатковуваних мінімумів доходів громадян.

Дисциплінарна відповідальність за посягання на таємниці банку ґрунтується на положеннях трудового законодавства України та нормативної бази самих банків. Слід зазначити, що в останньому випадку відповідальність можуть нести тільки працівники банку.

Банківські установи повинні впроваджувати, підтримувати та покращувати систему управління інформаційною безпекою відповідно до вимог міжнародного стандарту ISO 27001, а персонал дотримуватись законодавчих вимог та внутрішніх вимог щодо забезпечення інформаційної безпеки.
Перелік посилань


      1. Потій О.В., Горбенко Ю.І. Визначення та обґрунтування суті політики інформаційної безпеки // http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=95

      2. Банківський менеджмент: Підручник/
        За ред. О.А. Кириченка, В.І. Міщенка. — К.: Знання, 2005. — 831 с.

      3. Постанова Кабінету Міністрів України «Про перелік відомостей, що не становлять комерційної таємниці від 09.08.1993р.
        Кабіне́т Міні́стрів Украї́ни - вищий орган у системі органів виконавчої влади України. Кабінет Міністрів України відповідальний перед Президентом України та Верховною Радою України, підконтрольний і підзвітний Верховній Раді України у межах, передбачених Конституцією України.
        // Зібрання Постанов Уряду України. – 1993. – № 12. – ст. 269.

      4. Закон України «Про банки і банківську діяльність» від 7 грудня 2000 року № 2121-ІІІ (із змінами та доповненнями).

      5. Закон України «Про державну таємницю» // Відомості Верховної Ради (ВВР), 1994, № 16, ст.
        Відомості Верховної Ради України - офіційне друковане видання (нормативний бюлетень) Верховної Ради України, в якому здійснюється офіційне опублікування законів України, постанов Верховної Ради України, інших офіційних актів парламенту, а також змін в адміністративно-територіальному поділі України.
        93 (із змінами та доповненнями).

      6. Закон України «Про інформацію» від 21.12.1993 року № 3759-XII (із змінами та доповненнями).

      7. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» // Відомості Верховної Ради (ВВР), 1994, № 31, ст.286 (із змінами та доповненнями).

      8. Закон України «Про захист інформації в автоматизованих системах» // Відомості Верховної Ради (ВВР), 1994, № 31, ст.286 (із змінами та доповненнями).

      9. Конвенція про кіберзлочинність // Рада Європи; Конвенція, Міжнародний документ вiд 23.11.2001 (Конвенцію ратифіковано із застереженнями і заявами Законом № 2824-IV (2824-15) від 07.09.2005, ВВР, 2006, № 5-6, ст.71).

      10. ISOIEC 15408-1:2000 - Information technology - Security techniques - Evaluation criteria for IT sector - Introduction and general model.

      11. ISOIEC 15408-1:2001 - Information technology - Security techniques - Evaluation criteria for IT sector - Security functional requirements.

      12. ISOIEC 15408-1:2002 - Information technology - Security techniques - Evaluation criteria for IT sector - Security assurance requirements.

      13. CEM-9717. Common Evaluation Methodology for Information Technology Security - Part 1: International general model.

      14. ISOIEC 7498-2: 1999. - Information processing systems - Open Systems Interconnection - Basic Report - Part 2: Security Architecture.


1   2   3   4   5   6   7   8   9   ...   14



  • Перелік посилань 4. 1. Інформаційна безпека банку
  • 4.2. Політика інформаційної безпеки банку
  • 4.3. Правове регулювання захисту банківської таємниці
  • Цивільного кодексу України
  • Служби безпеки України , Міністерства внутрішніх справ України , Антимонопольного комітету України
  • Державної податкової служби України
  • Постановою Кабінету Міністрів України
  • 4.4. Відповідальність за посягання на банківську таємницю
  • Кримінального кодексу України
  • Відомості Верховної Ради