побудувати надійну систему захисних міжмережевих шлюзів між комп’ютерними мережами банку класу АС-2 та клієнтськими терміналами системи «Клієнт-банк» та «Інтернет-банкінг», які працюють через глобальну мережу класу АС-3;
побудувати надійну систему антивірусного захисту в комп’ютерній мережі банками класа АС-2;
здійснювати надійну авторизацію та аутентифікацію користувачів та комп’ютерів в мережі класу АС-2, а також своєчасно сповіщати про появу в мережі несанкціонованого обладнання з’єднання мереж АС-2 та АС-3 за радіоканалами мобільних операторів зв’язку;
контролювати появу на локальних станціях мережі АС-2 нових пристроїв та програм несанкціонованого доступу до інформації та її витоку;
РОЗДІЛ 1
СУТНІСТЬ ТА СТРУКТУРА СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
1.1 Законодавче поле функціонування систем захисту інформації в автоматизованих системах в Україні
Згідно Закону України „Про інформацію” [ 1] - об'єктами інформаційних відносин є документована або публічно оголошувана інформація про події та явища в галузі політики, економіки, культури, охорони здоров'я, а також у соціальній, екологічній, міжнародній та інших сферах.
Основними видами інформаційної діяльності є одержання, використання, поширення та зберігання інформації:
1. Одержання інформації - це набуття, придбання, накопичення відповідно до чинного законодавства України документованої або публічно оголошуваної інформації громадянами, юридичними особами або державою.
2. Використання інформації - це задоволення інформаційних потреб громадян, юридичних осіб і держави.
3. Поширення інформації - це розповсюдження, обнародування, реалізація у встановленому законом порядку документованої або публічно оголошуваної інформації.
4. Зберігання інформації - це забезпечення належного стану інформації та її матеріальних носіїв.
Режим доступу до інформації - це передбачений правовими нормами порядок одержання, використання, поширення і зберігання інформації. За режимом доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну.
Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.
Згідно главою 10 Закону України «Про банки та банківську діяльність» [5] («Банківська таємниця та конфіденційність»):
1. Банківська таємниця (стаття 60)
Інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту, є банківською таємницею.
Банківською таємницею, зокрема, є:
1) відомості про банківські рахунки клієнтів, у тому числі кореспондент-ські рахунки банків у Національному банку України;
2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;
3) фінансово-економічний стан клієнтів;
4) системи охорони банку та клієнтів;
5) інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності;
6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;
7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;
8) коди, що використовуються банками для захисту інформації.
Інформація про банки чи клієнтів, що збирається під час проведення банківського нагляду, становить банківську таємницю.
Положення цієї статті не поширюються на узагальнену по банках інформацію, яка підлягає опублікуванню. Перелік інформації, що підлягає обов'язковому опублікуванню, встановлюється Національним банком України та додатково самим банком на його розсуд.
Національний банк України видає нормативно-правові акти з питань зберігання, захисту, використання та розкриття інформації, що становить банківську таємницю, та надає роз'яснення щодо застосування таких актів.
2. Зобов'язання щодо збереження банківської таємниці (стаття 61)
Банки зобов'язані забезпечити збереження банківської таємниці шляхом:
1) обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
2) організації спеціального діловодства з документами, що містять банківську таємницю;
3) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
4) застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення у договорах і угодах між банком і клієнтом.
Службовці банку при вступі на посаду підписують зобов'язання щодо збереження банківської таємниці. Керівники та службовці банків зобов'язані не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при виконанні своїх службових обов'язків.
3. Порядок розкриття банківської таємниці (стаття 62)
Інформація щодо юридичних та фізичних осіб, яка містить банківську таємницю, розкривається банками:
1) на письмовий запит або з письмового дозволу власника такої інформації;
2) на письмову вимогу суду або за рішенням суду;
3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу;
4) органам Державної податкової служби України на їх письмову вимогу з питань оподаткування або валютного контролю стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу;
5) спеціально уповноваженому органу виконавчої влади з питань фінансового моніторингу на його письмову вимогу стосовно додаткової інформації про фінансову операцію, що стала об'єктом фінансового моніторингу;
6) органам державної виконавчої служби на їх письмову вимогу з питань виконання рішень судів стосовно стану рахунків конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності.
Довідки по рахунках (вкладах) у разі смерті їх власників надаються банком особам, зазначеним власником рахунку (вкладу) в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).
Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у документах, угодах та операціях клієнта.
Банк має право надавати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій.
Обмеження стосовно отримання інформації, що містить банківську таємницю, передбачені цією статтею, не поширюються на службовців Національного банку України або уповноважених ними осіб, які в межах повноважень, наданих Законом України "Про Національний банк України", здійснюють функції банківського нагляду або валютного контролю.
Згідно „Правил зберігання, захисту, використання та розкриття банків-ської таємниці” [15] Національний банк України наполягає на виконанні банками наступних вимог:
1. Під час роботи з документами, що містять банківську таємницю, на електронних носіях банки мають забезпечити дотримання таких вимог:
а) позначка грифа "Банківська таємниця" до інформації та даних в електронному вигляді, що мають визначений формат і обробляються автоматизованими системами, а також до лістингів програмних модулів не додається. Для текстових повідомлень, які створюються, обробляються, передаються та зберігаються в електронному вигляді, наявність позначки грифа "Банківська таємни-ця" є обов'язковою;
б) автоматизовані системи, які обробляють інформацію, що містить бан-ківську таємницю, мають створюватися банками таким чином, щоб обмежити доступ користувачів лише в межах, що необхідні для виконання їх службових обов'язків.
Автоматизовані системи оброблення інформації повинні мати вбудовану систему захисту інформації, яку неможливо відключити або здійснити оброблення інформації, минаючи її.
Автоматизовані системи оброблення інформації, що містить банківську таємницю, які працюють у режимі реального часу (on-line), повинні мати таку архітектуру, за якої користувачі не мають прямого доступу до конфіденційних даних у базі даних і можуть отримувати доступ лише через сервер застосувань, що здійснює сувору автентифікацію запитів.
Автоматизовані системи повинні здійснювати обов'язкову реєстрацію всіх спроб доступу та інших критичних подій у системі в захищеному від модифікації електронному журналі;
в) приймання та реєстрація інформації визначеного формату, що містить банківську таємницю, в електронному вигляді технологічними АРМ автоматизованих систем здійснюється згідно з технологічними схемами проходження інформації безпосередньо на відповідних робочих місцях з використанням вбу-дованої в ці технологічні АРМ системи захисту інформації;
г) передавання інформації, яка містить банківську таємницю, електрон-ною поштою або в режимі on-line здійснюється лише в захищеному (зашифрованому) вигляді з контролем цілісності та з обов'язковим наданням підтвердження про її надходження з електронним підписом отримувача з використанням засобів захисту;