Деякі аспекти організації захисту інформації в банківській сфері України

Розвиток інформаційних технологій зумовлює прогрес в усіх сферах людського життя. Нинішнє покоління людства стає свідком поступового переходу від індустріального суспільства до постіндустріального, однією з концепцій якого є так зване інформаційне суспільство.

Збільшення ролі інформації в житті світової спільноти звичайно призводить до підвищення вимог щодо її захисту. Особливого значення захист інформації набуває в такій чутливій царині як банківська сфера. І це не є випадковим. Адже стан банківської сфери впливає не тільки на економічну безпеку держави, але й безпосереднім чином – на повсякденне життя пересічних громадян.

Дослідження вимог щодо організації системи захисту інформації в банківській галузі України показало, що на даний момент у цій царині існує велика кількість різнорідних нормативно-правових документів, які потребують системного упорядкування та доповнення з точки зору відомих підходів до організації захисту інформації.

Аналіз наявних у відкритому доступі нормативних документів

[1–24], які тим чи іншим чином регламентують захист інформації в банківській галузі України, дозволив систематизувати їх з точки зору загальних підходів до організації захисту інформації. Така систематизація вибудовується шляхом формулювання нижче наведених питань, відповіді на які дають наявні нормативні документи [1–24].
Яка інформація відповідно до законодавства є об’єктом захисту? [1; 14; 15]

Який орган визначає політику захисту інформації в банківській системі України? [2]

Яка інформація в банківській системі становить державну таємницю? [16]

Яка інформація належить до банківської таємниці? [3]

Яка юридична відповідальність передбачена за порушення банківської таємниці? [8; 9; 10]

Які вимоги Національного банку України щодо захисту банківської таємниці? [20]

Як законодавчо визначено поняття електронних документів і передбачено їх обіг в інформаційно-телекомунікаційних системах? [6; 11]

Який правовий статус електронного цифрового підпису і відносин, що виникають при його використанні? [7; 12; 17]

Як законодавством визначені правила захисту інформації в інформаційно-телекомунікаційних системах? [4]

Які вимоги захисту електронних банківських документів для банків-учасників системи електронних платежів Національного банку України? [5; 18; 19; 21; 22; 24]

Чи потрібно ліцензування діяльності у сфері криптографічного захисту інформації в банківській системі України? [23]

Проведений аналіз у контексті організаційно-технічних аспектів системи захисту інформації в банківській галузі України дозволив сформулювати наступні завдання щодо вдосконалення організації захисту банківської інформації.

1. Необхідно розробити типове положення про службу захисту інформації в автоматизованій системі банка, яке уточнює положення НД ТЗІ 1.4-001-2000. «Типове положення про службу захисту інформації в автоматизованій системі» з урахуванням специфіки діяльності банків.

2. Доцільно розробити нормативно-методичні документи, що визначають основний перелік інформаційних загроз для банківської інформації (модель загроз) та методики оцінки вразливостей і ризиків для системи автоматизації банків.

3. Для отримання відповідних формальних гарантій захисту інформації системи обробки електронних банківських документів (платіжні системи) потребують сертифікації, наприклад, щодо відповідності міжнародному стандарту ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій».

4. З існуючих нормативних документів не ясна легітимність цифрових підписів електронних банківських документів, тобто яким є статус центра сертифікації ключів Департаменту інформатизації НБ України, і входить він чи ні в схему взаємодії суб’єктів правових відносин у сфері послуг електронного цифрового підпису. Очевидно, що такий центр повинен бути в цій системі (принаймні для взаємодії з державними банками).

Література:
1. Закон України «Про інформацію» від 02.10.1992 (зі змінами та доповненнями на 23.06.2005) // Відомості Верховної Ради України. – 1992. – № 48 (01.12.1992). – ст. 650.
2. Закон України «Про Національний банк України» від 20.05.1999 (зі змінами та доповненнями на 09.07.2007) // Відомості Верховної Ради України. – 1999. – № 29 (23.07.1999). – ст. 238.
3. Закон України «Про банки і банківську діяльність» від 07.12.2000 (зі змінами та доповненнями на 27.04.2007) // Відомості Верховної Ради України. – 2001. – № 5-6 (09.02.2001). – ст. 30.
4. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 20.05.1999 (зі змінами та доповненнями на 31.05.2005) // Відомості Верховної Ради України. – 1994. – № 31 (02.08.1994). – ст. 286.
5. Закон України «Про платіжні системи та переказ коштів в Україні» від 05.04.2001 (зі змінами та доповненнями на 27.04.2007) // Відомості Верховної Ради України. – 2001. – № 29 (20.07.2001). – ст. 137.
6. Закон України «Про електронні документи та електронний документообіг» від 22.05.2003 (зі змінами та доповненнями на 31.05.2005) // Відомості Верховної Ради України. – 2003. – № 36 (05.09.2003). – ст. 275.
7. Закон України «Про електронний цифровий підпис» від 22.05.2003 // Відомості Верховної Ради України. – 2003. – № 36 (05.09.2003). – ст. 276.
8. Цивільний кодекс України від 16.01.2003 (зі змінами та доповненнями на 31.05.2007) // Офіційний вісник України. – 2003. – № 11 (28.03.2003). – ст. 461.
9. Кодекс України про адміністративні правопорушення від 07.12.1984 (зі змінами та доповненнями на 01.01.2008) // Відомості Верховної Ради УРСР. – 1984. – додаток до № 51. – ст. 1122.
10. Кримінальний кодекс України від 05.04.2001 (зі змінами та доповненнями на 01.10.2007) // Відомості Верховної Ради України. – 2001. – № 25-26 (29.06.2001). – ст. 131.
11. Постанова КМ України № 680 від 26 травня 2004 р. «Про затвердження Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу» (зі змінами та доповненнями на 08.12.2006) // Офіційний вісник України. – 2004. – № 21 (11.06.2004). – ст. 1428.
12. Постанова КМ України № 903 від 13 липня 2004 р. «Про затвердження Порядку акредитації центру сертифікації ключів» (зі змінами та доповненнями на 08.12.2006) // Офіційний вісник України. – 2004. – № 28 (30.07.2004). – (частина 1). – ст. 1884.
13. Постанова КМ України № 377 від 29 березня 2006 р. «Деякі питання здійснення розрахунків за продані товари (надані послуги) з використанням спеціальних платіжних засобів» // Офіційний вісник України. – 2006. – № 13 (12.04.2006). – ст. 882.
14. Постанова КМ України № 1126 від 08.10.97 р. «Концепція технічного захисту інформації в Україні» // [Електронний ресурс] / Ліга:Еліт: Мережна версія.
15. Указ Президента України № 1229 від 27.09.99 р. «Про затвердження положення про технічний захист інформації в Україні» (зі змінами та доповненнями на 06.10.2000) // Офіційний вісник України. – 1999. – № 39 (15.10.1999). – ст. 1934.
16. Наказ Служби безпеки України від 12 серпня 2005 року № 440. «Про затвердження Зводу відомостей, що становлять державну таємницю» (зі змінами та доповненнями на 28.12.2007)// Офіційний вісник України. – 2005. – № 34 (09.09.2005). – ст. 2089.
17. Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України 13.01.2005 № 3 «Про введення в дію нормативного документу «Про затвердження Правил посиленої сертифікації»» (зі змінами та доповненнями на 10.05.2006)// Офіційний вісник України. – 2005. – № 5 (18.02.2005). – ст. 288.
18. Постанова Правління Національного банку України № 112 від 2 квітня 2007 року. «Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України» // Офіційний вісник України. – 2007. – № 31 (07.05.2007). – ст. 1250.
19. Постанова Правління Національного банку України № 243 від 4 липня 2007 року. «Про затвердження Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи» (зі змінами та доповненнями на 29.12.2007) // Офіційний вісник України. – 2007. – № 62 (31.08.2007). – ст. 2443.
20. Постанова Правління Національного банку України № 267 від 14 липня 2006 року. «Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці» (зі змінами та доповненнями на 09.11.2006) // Офіційний вісник України. – 2006. – № 32 (23.08.2006). – ст. 2330.
21. Постанова Правління Національного банку України № 320 від 16 серпня 2006 року. «Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті» (зі змінами та доповненнями на 16.11.2006) // Офіційний вісник України. – 2006. – № 36 (20.09.2006). – ст. 2507.
22. Постанова Правління Національного банку України № 620 від 10 грудня 2004 року. «Про затвердження Правил Національної системи масових електронних платежів» // Офіційний вісник України. – 2005. – № 2 (28.01.2005). – ст. 93.
23. Лист Національного банку України № 24-112/876 від 31.05.2005 р. «Щодо ліцензування діяльності у сфері криптографічного захисту інформації в банківській системі України» // [Електронний ресурс] / Ліга:Еліт: Мережна версія.
24. Лист Національного банку України № 25-312/1359-6378 від 19.06.2006 р. «Щодо безпеки ринку платіжних карток в Україні» // Офіційний вісник нормативно-правових актів з митної справи, фінансів, податків та бухгалтерського обліку. – 2006. – № 26. – 6 червня.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы