Информация, подлежащая защите: понятие и классификация

Банковская информация: содержание и особенности

Определение уровня конфиденциальности информации, а также выбор соответствующего класса её защиты относится к компетенции её собственника. В то же время лицо, ответственное за эксплуатацию информационных систем, на которых осуществляется обработка этой информации, обязано реализовать комплекс мер — как технического, так и организационного характера, — соответствующих установленному уровню конфиденциальности. Защита распространяется исключительно на документированную информацию, то есть зафиксированную на материальном носителе с указанием реквизитов, обеспечивающих её идентификацию.

Принципиальные подходы к физической защите информации остаются неизменными вне зависимости от степени её секретности. В этой связи технологии и методы обеспечения безопасности, разработанные для охраны государственной тайны, применимы также к защите сведений конфиденциального характера.

Под банковской информацией понимаются информационные ресурсы, содержащие данные о деятельности банка во всех её аспектах. Эти сведения охватывают широкий спектр банковских операций, включая:

• Привлечение депозитов и выдачу кредитов.
• Выполнение расчетных операций по поручениям клиентов и банков-партнёров, а также их кассовое обслуживание.
• Открытие и ведение счетов для клиентов и банков-корреспондентов.
• Финансирование инвестиционных проектов как за счёт средств инвесторов, так и из собственных ресурсов банка.
• Операции с иностранной валютой, включая её покупку и продажу физическим и юридическим лицам как внутри страны, так и за рубежом.
• Торговлю драгоценными металлами и камнями, а также изделиями из них на внутреннем и внешнем рынках.
• Размещение драгоценных металлов на депозитах и проведение других операций с ценностями в рамках международной банковской практики.
• Инвестиции и операции с ценными бумагами от имени клиентов.
• Оказание лизинговых, брокерских и консультационных услуг, а также прочих финансовых сервисов.

Понятие банковской тайны и её значение

Сохранение конфиденциальности в этом случае играет ключевую роль в обеспечении доверия и устойчивости банковской системы.

Не все данные, циркулирующие в банковской сфере, подлежат защите как банковская тайна. Согласно установленным нормативам, к информации, не подлежащей отнесению к банковской тайне, относятся:

• Учредительные документы, включая договор между учредителями и устав организации.
• Лицензии, свидетельства о регистрации, патенты и иные документы, подтверждающие право банка на ведение деятельности.
• Официальная отчетность, оформленная по утвержденным государственным формам, а также иная информация, необходимая для осуществления налогового контроля и правильного расчета обязательных выплат в бюджетную систему Российской Федерации.
• Сведения, характеризующие финансовую устойчивость и платежеспособность учреждения.
• Данные о численности персонала, его составе, уровне заработной платы, условиях труда, а также наличии вакантных рабочих мест.
• Документы, подтверждающие своевременное и корректное исполнение налоговых и иных финансовых обязательств.
• Информация о нарушениях экологических стандартов, требований антимонопольного законодательства, норм охраны труда, а также другие сведения, указывающие на противоправные действия и нанесенный ущерб.

Содержание и объем данных, подлежащих защите как банковская тайна, определяются индивидуально каждым банком на основании утвержденных внутренних перечней. Эти перечни формируются с учетом действующего законодательства, характера проводимых операций и степени чувствительности информации.

В зависимости от степени конфиденциальности, защищаемые сведения классифицируются как:

• Конфиденциальная информация, разглашение которой может нанести ущерб деловой репутации или повлиять на устойчивость отдельных направлений деятельности.
• Строго конфиденциальная информация, утечка которой способна привести к более серьезным последствиям, включая угрозу безопасности деятельности всей финансовой организации.

К числу данных, отнесенных к конфиденциальной информации хозяйствующего субъекта, относятся сведения, раскрывающие внутреннюю структуру, стратегические направления и элементы аналитической деятельности учреждения. Утечка такой информации может привести к снижению эффективности функционирования ключевых систем предприятия. В частности, сюда входят:

• Результаты исследований и обоснования новых инвестиционных направлений.
• Формы управления активами, структура инвестиционного портфеля.
• Данные об инициативах по повышению эффективности деятельности.
• Отчеты и акты контроля организаций, в которых участвует банковский капитал.
• Сведения об операциях с ценными бумагами клиентов.
• Документы, оформленные в рамках депозитарной деятельности, такие как протоколы, дополнительные соглашения и другие приложения к договорам.
• Информация о технологических разработках в области депозитарных и банковских решений.
• Иные сведения, не подлежащие раскрытию в открытых источниках.

Строго конфиденциальная информация: определение и специфика

Их разглашение может нарушить работу одной или нескольких ключевых систем предприятия, критически влияющих на его функционирование, устойчивость и дальнейшее развитие. В этот перечень включаются:

• Основные стратегические цели и задачи учреждения, а также планы и методы их реализации.
• Данные об ошибках и просчётах, допущенных структурными подразделениями.
• Информация о факторах, замедляющих развитие организации — как внутренних, так и внешних (например, давление со стороны регулирующих органов, действия конкурентов).
• Сведения о проблемных взаимодействиях с государственными структурами, контрагентами и эмитентами.
• Содержание и итоги заседаний руководящего состава, совещаний на высшем уровне.

Для различения документов, содержащих чувствительную информацию, в информационном потоке применяются специальные грифы: “Конфиденциально” и "Строго конфиденциально". Они позволяют систематизировать и ограничить доступ к данным, подлежащим защите, на основе уровня их значимости и потенциальных рисков при разглашении.

Ниже представлен ориентировочный список видов сведений, требующих защиты в зависимости от области деятельности учреждения.

Организация работы предприятия:

• Стратегические документы, концепции развития, долгосрочные и краткосрочные планы, включая автоматизированные системы управления.
• Штатные списки, должностные инструкции, распределение функций между сотрудниками.
• Схемы размещения оборудования, распределение служебных помещений и назначение их ответственным лицам.
• Служебная переписка, документы внутреннего делового характера.
• Персональные сведения о работниках центрального аппарата и филиалов.

Функционирование систем безопасности:

• Проектная документация и технические параметры систем охраны и защиты.
• Информация о распределении полномочий сотрудников по доступу к защищённым данным.
• Сведения о прикреплении служебного автотранспорта к должностным лицам, маршрутах следования, стоянках и сервисном обслуживании.
• Планы размещения материальных и информационных ценностей, меры охраны и регламент доступа к ним.

Автоматизированные системы (АС) и информационная безопасность:

• Данные о разработчиках АС, методах защиты и реализованных технических решениях по обеспечению информационной безопасности.
• Внутренние регламенты, направленные на защиту сотрудников и информации учреждения.
• Оригинальные коды и исходные тексты авторских программных продуктов, а также персональные сведения об их создателях.
• Характеристики вычислительных систем и их возможности по приёму, обработке и передаче информации от клиентов и деловых партнёров.

Регламентация отнесения информации к конфиденциальной категории

Порядок признания той или иной информации конфиденциальной определяется внутренними документами учреждения и полномочиями его руководства. Основой для установления режима конфиденциальности служат Устав организации, решения руководящих органов (в том числе правления) о разработке и утверждении Перечня сведений, подлежащих защите, а также должностные инструкции сотрудников.

Руководитель организации наделён правом:

• Устанавливать правила составления и внедрения Перечня конфиденциальных данных.
• Определять круг должностных лиц, имеющих полномочия по классификации информации как конфиденциальной.
• Регламентировать процедуры передачи таких данных внешним организациям, государственным структурам и другим предприятиям.
• Утверждать условия снятия режима конфиденциальности с ранее защищаемых сведений.
• Организовывать комплекс мер по защите конфиденциальной информации.

Также в рамках своих управленческих функций он может:

• Предоставлять доступ к охраняемым данным.
• Применять дисциплинарные или иные меры воздействия к работникам, допустившим утечку сведений, отнесённых к коммерческой или банковской тайне.
• Поощрять сотрудников, способствующих обеспечению информационной безопасности.

Для того чтобы сведения получили официальный статус конфиденциальных, необходимо их включение в утверждённый руководителем перечень. Такой перечень оформляется в установленном порядке, что придаёт ему юридическую силу.

Разработка перечня — это задача ограниченного круга лиц, входящих в администрацию учреждения. При этом сотрудники организации должны быть ознакомлены с положениями документа строго в пределах своей компетенции и доступа.

Полная версия Перечня, включающая весь объём защищаемых данных, получает наивысший уровень конфиденциальности, что предполагает особый режим хранения, доступа и использования информации.