Безпека комерційного банку

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Кафедра: «Фінанси і кредит»
Контрольна робота
Безпека комерційного банку
2009

Вступ
Саме поняття "безпека" приймає розширене зміст, воно включає в себе як складові інформаційно-комерційну, юридичну та фізичну безпеку. Питання інформаційно-комерційної безпеки посідають особливе місце і у зв'язку із зростаючою роллю інформації в житті суспільства вимагають особливої ​​уваги. Успіх виробничої та підприємницької діяльності в чималому ступені залежить від уміння розпоряджатися таким цінним товаром, як інформація, але вигідно використовувати можна лише ту інформацію, яка потрібна ринку, але невідома йому. Тому в умовах жорсткості конкуренції успіх підприємництва, гарантія отримання прибутку все більшою мірою залежать від збереження у таємниці секретів виробництва, що спираються на певний інтелектуальний потенціал і конкретну технологію.
Поняття "безпека" визначається як стан захищеності життєво важливих інтересів (Закон РФ "Про безпеку"). Однак у суспільній свідомості все ще сильні стереотипи сприйняття безпеки як виключно відноситься до сфери компетенції держави та спеціальних органів. Звідси традиційно "слабке" розуміння специфіки цих проблем, перш за все першими керівниками підприємств і організацій, віднесення ними питань інформаційної безпеки до не основної діяльності. У результаті нерідко питання захисту комерційної таємниці упускаються в ліцензійних угодах, договорах підряду на створення науково-технічної продукції. Такі упущення призводять до витоку комерційно значимої інформації, ускладнюють визначення власника на результати роботи.
Перехід економіки на ринкові відносини, у тому числі і в питаннях інтелектуальної власності, вимагає від керівників підприємств не тільки розробки ринкової стратегії, але і стратегії інформаційної безпеки, у тому числі спеціальної програми по захисту інтелектуальної власності, визначення підрозділів та осіб, відповідальних за проведення на підприємстві даної роботи.
Така програма повинна переслідувати дві основні цілі: забезпечення захисту вже напрацьованих об'єктів інтелектуальної власності, що мають комерційну цінність, і запобігання втрати таких об'єктів у майбутньому. При цьому слід зазначити, що на відміну від організації секретного діловодства, дана робота має проводитися значно більш гнучко при відповідній патентно-інформаційної та юридичному опрацюванні.

1. Яка інформація відноситься до комерційної таємниці?
Систему російського законодавства, що регулює відносини, пов'язані з комерційною таємницею, утворюють правові норми різних галузей права: конституційного, цивільного, кримінального та адміністративного. Загальні норми містить Конституція РФ. Вона закріплює і гарантує право кожного на підприємницьку діяльність, право на інформацію, а також на захист своїх прав і свобод.
Центральні джерела права, що регулюють відносини, пов'язані з комерційною таємницею, займають Цивільний кодекс і Федеральний закон «Про комерційну таємницю» від 29 липня 2004 року № 98-ФЗ із змінами від 2008 року, а також вступила в силу з 1 січня 2008 року IV частина Цивільного кодексу. Поняття комерційної таємниці ототожнюється з секретом виробництва (ноу-хау). Федеральний закон «Про комерційну таємницю» регулює відносини, пов'язані з віднесенням інформації до комерційної таємниці, передачею такої інформації, охороною її конфіденційності, а також визначає відомості, які не можуть становити комерційну таємницю.
Коли говорять про комерційну таємницю, мова йде про конфіденційну інформацію, яка дозволяє її власнику збільшити доходи, уникнути невиправданих витрат, зберегти положення на ринку товарів, робіт, послуг, тобто отримати комерційну вигоду.
А інформація, що становить комерційну таємницю, - це науково-технічна, технологічна, виробнича, фінансово-економічна або інша інформація (в тому числі складова секрети виробництва), яка володіє наступними ознаками:
· Має дійсну або потенційну комерційну цінність в силу невідомості її третім особам;
· Відомості отримані легітимно, тобто мають законне походження;
· До неї немає вільного доступу на законній підставі;
· Власником такої інформації введений режим комерційної таємниці щодо неї і вжито всіх заходів для збереження конфіденційності.
Крім того, логічно, що до комерційної таємниці може бути віднесена тільки документована інформація, тобто зафіксована на будь-якому матеріальному носії. Ідеї, задуми, відомості та інші дані залишаються незахищеними, якщо вони не зафіксовані в матеріальній формі.
У новій редакції закону «Про комерційну таємницю» є уточнення про те, що до інформації, що становить комерційну таємницю (секрет виробництва) відносяться відомості будь-якого характеру (виробничі, технічні, економічні, організаційні та інші), в тому числі про результати інтелектуальної діяльності в науково -технічній сфері, а також відомості про способи здійснення професійної діяльності.
Закон визначає тільки ознаки, якими повинна володіти інформація для віднесення її до комерційної таємниці. Проте Закон містить перелік відомостей, які не можуть становити комерційну таємницю. До них відносяться відомості, які об'єктивно мають бути відкритими і загальнодоступними (установчі документи, відомості про реєстрацію, про працівників, про безпеку об'єктів).
Для того щоб інформація могла вважатися комерційною таємницею, вона повинна мати дійсну або потенційну комерційну цінність в силу її невідомості третім особам. По-перше, під комерційною цінністю розуміється здатність інформації бути об'єктом ринкового обороту. По-друге, до комерційної таємниці належить інформація, використання якої надає її власникові певні економічні переваги в силу того, що його конкуренти такою інформацією не володіють. Якщо ж інформація не представляє економічної цінності, вона не може вважатися комерційною таємницею. До комерційної таємниці відносяться відомості, що становлять інтерес для третіх осіб, які могли б отримати певну вигоду, якби вони цією інформацією володіли. По-третє, інформація, що становить комерційну таємницю, може мати потенційну комерційну цінність, тобто знання та відомості, які не використовуються, але можуть бути використані в майбутньому.
Керівники бізнес-структур комерційною таємницею зазвичай вважають наступне:
· Відомості про персонал, персональні дані працівників;
· Будь-які відомості, які повідомив клієнт;
· Дані про структуру витрат, собівартості, бюджет, плани на майбутнє;
· Технології роботи;
· Стратегічні і тактичні рішення, що сприяють ефективному розвитку бізнесу, отримання конкурентних переваг, бізнес-проекти;
· Маркетингові технології, і, зокрема, оцінку ефективності рекламних комунікацій;
· Відомості про технічні засоби і системах захисту інформаційних ресурсів;
· Бази даних і систематизовані інформаційні масиви.
Закон висуває дві принципові, але в чомусь суперечливих вимоги. З одного боку, повинен бути виключений "доступ до інформації, що становить комерційну таємницю, будь-яких осіб без згоди її власника", а з іншого боку, необхідно забезпечити "можливість використання інформації, що становить комерційну таємницю, працівниками та передачі її контрагентам без порушення режиму комерційної таємниці ". Але у великій компанії це сервери баз даних, додатків, електронної пошти, файл-сервери. І на кожному з них є інформація, що становить комерційну таємницю. Мережеві адміністратори, адміністратори серверів, адміністратори безпеки, користувачі звичайні та привілейованості. Розмежувати доступ так, щоб і режим не порушити, і забезпечити при цьому можливість нормально функціонувати бізнес-процесу, не зупинивши його остаточно дуже не просто.
Не можна відносити до комерційної таємниці відомості, прямо заборонені Законом. Для всіх інших відомостей обмежень на віднесення немає, але слід постійно пам'ятати, що інформація стає здатною до правової охорони в якості комерційної таємниці, якщо тільки вона дійсно володіє комерційною цінністю і до неї немає вільного доступу на законній підставі. І це теж створює складності. Цілком розумно віднести до комерційної таємниці відомості про доходи працівників. Але як зобов'язати працівника зберігати їх у таємниці і як в такому випадку повинна виглядати видається йому на руки форма 2-ПДФО? Відповіді на ці питання - скоріше негативні. А значить, і інформацію віднести до комерційної таємниці не можна - режимні заходи для неї практично нездійсненні. І це тільки один можливий приклад.
Без допомоги власників бізнес-процесів і юристів при складанні переліку інформації, що становить комерційну таємницю, ніяк не обійтися. І тому серйозною помилкою є поширена практика покладання розробки переліку на службу безпеки. Не може вона це зробити - ні за рівнем кваліфікації, ні по самому змістом, вкладаємо в перелік.

2. Заходи по захисту інформації
Всіх уже перестав дивувати той факт, що в продажу постійно з'являються відомості, що становлять комерційну таємницю тієї чи іншої організації. Сьогодні не складе труднощів придбати клієнтську базу або персональні дані працівників цікавить вас компанії. Це відбувається тому, що керівники організацій не докладають достатніх зусиль для захисту інформації, що відноситься до комерційної таємниці. Більш того, не варто забувати про реально існуючих мисливців за подібною інформацією. Науково-технічний прогрес вніс у наше життя велику кількість технічних засобів, що дозволяють проводити запис телефонних переговорів, нарад, з'явилася можливість зчитувати інформацію з екрану комп'ютера, територіально перебуваючи поза місцем розташування компанії.
Але основним джерелом витоку інформації є співробітники. Саме вони «зливають» інформацію, що становить комерційну таємницю. Причин тому може бути безліч - і отримання додаткового заробітку, і з необережності або випадково.
На сьогоднішній день компанії, що спеціалізуються на технічному захисту цінної інформації, пропонують ряд продуктів, здатних здійснювати динамічну блокування пристроїв, через які зловмисники можуть скачати інформацію.
Але проти людського фактора захист будувати складніше. Необхідно чітко роз'яснити співробітникам, яка інформація ставитися до комерційної таємниці, і яка ступінь відповідальності за її розголошення. Обмежте доступ до інформації, що становить комерційну таємницю: визначте порядок поводження з цією інформацією, здійснюйте контроль за дотриманням такого порядку. Розробіть спеціальну інструкцію щодо дотримання конфіденційності.
В обов'язковому порядку необхідно укласти з працівниками трудові договори, а з контрагентами (лат. contrahens - домовляються - особи, установи, організації, пов'язані зобов'язаннями за загальним договором, які співробітничають у процесі виконання договору) цивільно-правові договори, в яких повинні міститися умови про охорону конфіденційної інформації. Зобов'язання про нерозголошення комерційної таємниці може бути складена в будь-якій формі, важливо щоб воно містило перелік відомостей, які у вашій компанії складають комерційну таємницю.
Також організувати спеціальне діловодство, забезпечує схоронність носіїв, що містять комерційну таємницю, і упровадите систему роз'єднання інформації по блоках. Кожен співробітник повинен знати рівно стільки, скільки необхідно для виконання його обов'язків.
Ще одним способом захисту прав власника комерційної таємниці є встановлення санкцій за порушення зобов'язань щодо збереження конфіденційності контрагентами у цивільно-правових договорах. За загальним правилом, захист порушених цивільних прав здійснюється в судовому порядку (визнання права, припинення незаконних дій, відшкодування збитків). Крім цивільно-правових способів захисту, комерційна таємниця може бути захищена за нормами трудового, кримінального права, а також за нормами про недобросовісну конкуренцію.
З можливостей, передбачених трудовим правом, права власника комерційної таємниці можуть захищатися такими діями як залучення до матеріальної відповідальності та притягнення до дисциплінарної відповідальності аж до припинення трудових відносин. Крім того, за наявності ознак правопорушення, передбачених відповідними галузями права, можливо, залучення правопорушників до кримінальної відповідальності.
При зберіганні інформації в електронному вигляді можна виділити три напрями робіт із захисту інформації: теоретичні дослідження, розробка засобів захисту та обгрунтування способів використання засобів захисту в автоматизованих системах.
У теоретичному плані основна увага приділяється дослідженню уразливості інформації в системах електронної обробки інформації, явища і аналізу каналів витоку інформації, обгрунтуванню принципів захисту інформації у великих автоматизованих системах і розробці методик оцінки надійності захисту.
До теперішнього часу розроблено багато різних засобів, методів, заходів та заходів, призначених для захисту інформації, що накопичується, зберігається та обробляється в автоматизованих системах. Сюди входять апаратні і програмні засоби, криптографічне закриття інформації, фізичні заходи організовані заходи, законодавчі заходи. Іноді всі ці засоби захисту поділяються на технічні та нетехнічні, причому, до технічних відносять апаратні і програмні засоби та криптографічне закриття інформації, а до нетехнічних - інші перераховані вище.

а) апаратні методи захисту.

До апаратних засобів захисту відносяться різні електронні, електронно-механічні, електронно-оптичні пристрої. До теперішнього часу розроблено значну кількість апаратних засобів різного призначення, проте найбільшого поширення отримують наступні:
-Спеціальні регістри для зберігання реквізитів захисту: паролів, ідентифікують кодів, грифів або рівнів секретності,
-Генератори кодів, призначені для автоматичного генерування ідентифікує код апарата,
-Пристрої вимірювання індивідуальних характеристик людини (голоси, відбитки) з метою його ідентифікації,
-Спеціальні біти секретності, значення яких визначає рівень секретності інформації, що зберігається в ЗУ, якій належать дані біти,
-Схеми переривання передачі інформації в лінії зв'язку з метою періодичної перевірки адреси видачі даних.
Особливу і одержує найбільше поширення групу апаратних засобів захисту становлять пристрої для шифрування інформації (криптографічні методи).

б) програмні методи захисту.

До програмних засобів захисту відносяться спеціальні програми, які призначені для виконання функцій захисту і включаються до складу програмного забезпечення систем обробки даних. Програмна захист є найбільш поширеним видом захисту, чому сприяють такі позитивні властивості даного засобу, як універсальність, гнучкість, простота реалізації, практично необмежені можливості зміни і розвитку тощо За функціональним призначенням їх можна розділити на наступні групи:
-Ідентифікація технічних засобів (терміналів, пристроїв групового керування введенням-виводом, ЕОМ, носіїв інформації), завдань і користувачів,
-Визначення прав технічних засобів (дні і час роботи, дозволені до використання завдання) і користувачів,
-Контроль роботи технічних засобів і користувачів,
-Реєстрація роботи технічних засобів і користувачів при обробки інформації обмеженого використання,
-Знищення інформації в ЗУ після використання,
-Сигналізації при несанкціонованих діях,
-Допоміжні програми різного призначення: контролю роботи механізму захисту, проставлення грифу секретності на видаються.

в) резервне копіювання.

Резервне копіювання інформації полягає в зберіганні копії програм на носії. На цих носіях копії програм можуть знаходиться в нормальному (не стислому) або заархівованому вигляді. Резервне копіювання проводиться для збереження програм від ушкоджень (як умисних, так і випадкових), і для зберігання рідко використовуваних файлів.

г) криптографічне шифрування інформації.

Криптографічне закриття (шифрування) інформації полягає в такому перетворенні інформації, що захищається, при якому на вигляд не можна визначити зміст закритих даних. Криптографічного захисту фахівці приділяють особливу увагу, вважаючи її найбільш надійною, а для інформації, що передається по лінії зв'язку великої протяжності, - єдиним засобом захисту інформації від розкрадань.
Основні напрямки робіт з даного аспекту захисту можна сформулювати таким чином:
-Вибір раціональних систем шифрування для надійного закриття інформації,
-Обгрунтування шляхів реалізації систем шифрування в автоматизованих системах,
-Розробка правил використання криптографічних методів захисту в процесі функціонування автоматизованих систем,
-Оцінка ефективності криптографічного захисту.
До шифрів, призначеним для закриття інформації в ЕОМ та автоматизованих системах, пред'являється ряд вимог, у тому числі: достатня стійкість (надійність закриття), простота шифрування і розшифрування від способу внутримашинного подання інформації, нечутливість до невеликих помилок шифрування, можливість внутримашинной обробки зашифрованої інформації, незначна надмірність інформації за рахунок шифрування і ряд інших. В тій чи іншій мірі цим вимогам відповідають деякі види шифрів заміни, перестановки, гамування, а також шифри, засновані на аналітичних перетвореннях шифрованих даних.
Особливо ефективними є комбіновані шифри, коли текст послідовно шифрується двома або більшою кількістю систем шифрування (наприклад, заміна та гамування, перестановка і гамування). Вважається, що при цьому якість шифрування перевищує сумарну стійкість в складових шифри.
Кожну з систем шифрування можна реалізувати в автоматизованій системі або програмним шляхом, або за допомогою спеціальної апаратури. Програмна реалізація в порівнянні з апаратної є більш гнучкою і обходиться дешевше. Однак апаратне шифрування в загальному випадку в кілька разів продуктивніше. Ця обставина при великих обсягах закривається інформації має вирішальне значення.

д) фізичні заходи захисту.

Наступним класом в арсеналі засобів захисту інформації є фізичні заходи. Це різні пристрої і споруди, а також заходи, які ускладнюють або роблять неможливим проникнення потенційних порушників в місця, в яких можна мати доступ до інформації, що захищається. Найчастіше застосовуються такі заходи:
-Фізична ізоляція споруд, в яких встановлюється апаратура автоматизованої системи, від інших споруд,
-Огорожа території обчислювальних центрів парканами на таких відстанях, які достатні для виключення ефективної реєстрації електромагнітних випромінювань, і організації систематичного контролю цих територій,
-Організація контрольно-пропускних пунктів у входів у приміщення обчислювальних центрів або обладнаних вхідних дверей спеціальними замками, що дозволяють регулювати доступ в приміщення,
-Організація системи охоронної сигналізації.

е) організаційні заходи щодо захисту інформації.

Наступним класом заходів захисту інформації є організаційні заходи. Це такі нормативно-правові акти, які регламентують процеси функціонування системи обробки даних, використання її пристроїв і ресурсів, а також взаємини користувачів і систем таким чином, що несанкціонований доступ до інформації стає неможливим або суттєво ускладнюється. Організаційні заходи відіграють велику роль у створенні надійного механізму захисту інформації. Причини, за якими організаційні заходи відіграють підвищену роль у механізмі захисту, полягає в тому, що можливості несанкціонованого використання інформації значною мірою обумовлюються нетехнічними аспектами: зловмисними діями, недбальством чи недбалістю користувачів або персоналу систем обробки даних. Вплив цих аспектів практично неможливо уникнути або локалізувати за допомогою вище розглянутих апаратних і програмних засобів, криптографічного закриття інформації та фізичних заходів захисту. Для цього необхідна сукупність організаційних, організаційно-технічних та організаційно-правових заходів, яка б виключала можливість виникнення небезпеки витоку інформації подібним чином.
Основними заходами в такій сукупності є наступні:
-Заходи, здійснювані при проектуванні, будівництві та обладнанні обчислювальних центрів (ОЦ),
-Заходи, здійснювані при підборі і підготовки персоналу ВЦ (перевірка прийнятих на роботу, створення умов при яких персонал не хотів би втратити роботу, ознайомлення із заходами відповідальності за порушення правил захисту),
-Організація надійного пропускного режиму,
-Організація зберігання і використання документів і носіїв: визначення правил видачі, ведення журналів видачі та використання,
-Контроль внесення змін в математичне і програмне забезпечення,
-Організація підготовки та контролю роботи користувачів,
Одне з найважливіших організаційних заходів - вміст у ВЦ спеціальної штатної служби захисту інформації, чисельність і склад якої забезпечували б створення надійної системи захисту та регулярне її функціонування.
Таким чином, розглянуті вище засоби, методи і заходи захисту, зводиться до наступного:
1. Найбільший ефект досягається тоді, коли усі використовувані засоби, методи та заходи об'єднуються в єдиний, цілісний механізм захисту інформації.
2. Механізм захисту повинен проектуватися паралельно зі створенням систем обробки даних, починаючи з моменту вироблення загального задуму побудови системи.
3. Функціонування механізму захисту має плануватися і забезпечуватися поряд з плануванням і забезпеченням основних процесів автоматизованої обробки інформації.
4. Необхідно здійснювати постійний контроль функціонування механізму захисту.

Список використаних джерел
1. В.І. Ярочкін Безпека банківських систем / Ярочкін В.І. - М.: Ось-89, 2004 .- 416 с.
2. Стрельченко Ю.А. Організація захисту комерційної таємниці підприємства / Ю.О. Стрельченко - М.: Контролінг, 2002 .- 268 с.
3. Цивільний кодекс РФ від 18.12.2006 р. № 230-ФЗ Частина четверта.
4. Болдирєв Ю.М., Матвєєва С.Р., Торгова газета / / Методичний журнал «Про комерційну таємницю» - 2006. - № 56.
5. Федеральний закон Російської федерації від 29 липня 2004 р. № 98 - ФЗ «Про комерційну таємницю», із змінами від 2008 р.
6. www@rg.ru - електронна версія Російської газети
Додати в блог або на сайт

Цей текст може містити помилки.

Банк | Контрольна робота
46.5кб. | скачати


Схожі роботи:
Розрахункові операції банку на матеріалах комерційного банку ВАТ АКБ Укрсоцбанк
Розрахункові операції банку (на матеріалах комерційного банку ВАТ АКБ Укрсоцбанк)
Розрахункові операції банку (на матеріалах комерційного банку ВАТ АКБ Укрсоцбанк)
Операції комерційного банку
Ресурси комерційного банку
Імідж комерційного банку
Ліквідність комерційного банку
Ресурси комерційного банку
Послуги комерційного банку
© Усі права захищені
написати до нас