Технологии информационной безопасности в банках

Размещено на http://allbest.ru

Технологии информационной безопасности в банках

Многие в России считают, что информационная эпоха наступит когда-то потом и на наш век хватит привычной, традиционной, бумажной технологии ведения дел. В работе Мануэля Кастельса опровергается такой подход и показано, что скорость изменений в технологиях и в развитии общества неизменно растет. Монография посвящена всестороннему анализу фундаментальных цивилизационных процессов, вызванных к жизни принципиально новой ролью в современном мире информационных технологий.

Появление глобальной информационной инфраструктуры связано с высшей техногенной фазой постиндустриализма, в основе которой лежат невиданные ранее темпы развития, смены инновационных революций. Возникает принципиально новая ситуация, когда цикл жизни всех компонентов воспроизводства максимально сужается. Если в начале ХХ века переход к принципиально новым парадигмам, меняющим не только стиль мышления, но и стиль всей жизни, был сопоставим с жизнью поколения, то в наше время технические и технологические инновации, требующие переобучения, смены профессии, образа мышления и поведения, следуют одна за другой. Многие уникальные изобретения утрачивают жизнеспособность, не успев быть внедренными. Новые инфраструктуры наслаиваются на еще функционирующие старые и вытесняют их. Большинство технологий в области программного и аппаратного обеспечения устаревает в течение трех-четырех лет. Полученная квалификация теряет свою актуальность через десять-пятнадцать лет.

Исследования показывают, что радикальные изменения в обществе, связанные с инновацией, наступают после того, как ею начинают пользоваться более пятидесяти миллионов активной части жителей страны (региона и т.д.). На примере США (источник: компания ПрайсВатерхаусКуперс) наглядно проявляется сокращение сроков массового внедрения инноваций и связанных с ними интеллектуальных революций

Предпосылки возникновения глобальной информационной инфраструктуры зародились в третьей четверти ХХ века. К ним относятся: создание полупроводниковых элементов, появление спутниковой связи, сетевых информационных технологий, породивших интернет. В информационном обществе основной экономической деятельностью является производство и применение информации для эффективного функционирования других форм производства.

В прогнозе долговременного развития человечества до 2020 года, опубликованном Советом по национальной безопасности США на сайте www.cia.gov/nic/NIC_2020_project.html, говорится о необратимости глобализации, которая во многом определяется информационно-технологической революцией. Интернет охватит большинство городов мира и нашей страны к 2020 году, что окажет серьезное влияние на политику и экономику государств.

Но у этой «медали» есть своя оборотная сторона. На пятьдесят седьмой сессии Генеральной Ассамблеи ООН (21.01.2003) была принята резолюция «Создание глобальной культуры кибербезопасности». Генеральная Ассамблея, отмечая растущую зависимость государственных органов, предприятий, других организаций и индивидуальных пользователей от информационных технологий в плане предоставления насущно необходимых товаров и услуг, ведения дел и обмена информацией, признает, что по мере все большего вовлечения стран в информационное общество возрастает необходимость обеспечения кибербезопасности (www.un.org/russian/esa/ict/index.html).

Бурная информатизация банков, развитие тенденций распределенной обработки финансовых данных на базе современных средств вычислительной техники определили работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем, в том числе и по безопасности информации.

По данным экспертов Совета Европы, только аферы с кредитными картами уносят ежегодно около 400 миллионов долларов. Убытки от вирусов составляют около 12 миллиардов, а нарушение прав собственности наносит ущерб в 250 миллиардов долларов.

Bank of America недавно сообщил, что украдены компьютерные данные о счетах более миллиона клиентов, большинство которых - федеральные служащие.

Среди пострадавших - несколько членов американского Сената, передало Би-би-си. В нашей стране МВД фиксирует аналогичные тенденции (www.cyberpol.ru).

В доктрине информационной безопасности Российской Федерации, которая была утверждена Президентом В.В. Путиным 9 сентября 2000 г., отмечается, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».

Сейчас в России все банки автоматизированы (www.cbr.ru). Основной объем электронного информационного потока, проходящего через автоматизированные банковские системы (АБС), не содержит информации, которая составляет государственную тайну. По крайней мере подобная информация может составлять ничтожную часть трафика российских АБС.

Так исторически сложилось, что в нашей стране проблемы безопасности ИТ десятилетиями изучались и своевременно решались преимущественно для защиты государственной тайны в военных или правительственных автоматизированных системах. Ранее весьма специфичные проблемы коммерческого сектора экономики не нашли соответствующих решений ввиду отсутствия такого сектора. В настоящее время это существенно мешает развитию безопасных информационных технологий в российском коммерческом секторе экономики, который, учитывая глобализацию информационного общества, интегрируется с мировым рынком.

Защита информации в коммерческих автоматизированных системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. банковский информация коммерческий тайна

Процесс обеспечения безопасности коммерческой автоматизированной информационной системы базируется на научно-техническом заделе защиты государственной тайны в военных или правительственных автоматизированных системах с учетом новейших теоретических и практических достижений мирового технологического рынка. В этой связи следует проанализировать специфику защиты коммерческой информации на примере АБС. В задаче обеспечения безопасности коммерческой информации конкретной автоматизированной системы нет и не может быть заранее полностью готового, статичного решения. Это диктуется динамикой рынка и связано с тем, что структура каждой коммерческой организации, функциональные связи между ее подразделениями и отдельными сотрудниками уникальны, динамично развиваются и практически никогда полностью не повторяются.

Только непосредственное руководство организации на основе экономических аргументов и анализа рисков решает, насколько критично нарушение безопасности для компонентов своей информационной системы. Затем оно определяет, кто, когда и для решения каких задач может использовать те или иные информационные ресурсы и сервисы. Хорошим подспорьем в этой работе служит международный стандарт управления безопасностью ISO/IEC 17799: 2000.

Ключевым этапом для построения надежной и безопасной информационной системы является выработка политики безопасности и определение модели нарушителя. Под политикой безопасности мы понимаем совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. С практической точки зрения в нашей стране политику безопасности целесообразно создавать, учитывая специфику российского сектора экономики. Более конкретно проиллюстрируем этот тезис на примере АБС коммерческого банка, где сегодня сосредоточены и обрабатываются наиболее ценные информационные ресурсы в виде электронных платежных документов.

Коммерческий банк, как сугубо экономическое рыночное предприятие, ориентируется, прежде всего, на получение прибыли при условии снижения различных издержек и рисков. Одним из самых популярных во всем мире решений этой проблемы служит автоматизация труда работников, которая в наше время осуществляется в основном за счет применения вычислительной техники и средств телекоммуникаций.

Эффективно используемые вычислительная техника и средства телекоммуникаций позволяют снижать общие расходы и одновременно создавать качественно новые услуги. Любой банк или предприятие во многих странах мира (более 60 государств имеют законы об электронной цифровой подписи) может связаться с партнером посредством компьютерных сетей и решить свои финансовые, торговые или иные вопросы, оперативно обмениваясь электронными посланиями или документами. Для этого нет необходимости в больших командировочных или иных накладных расходах.

Летом 2003 года в АРБ выступал Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, что в Европе давно перешли от общей качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ. Напомним, что в российском законе «О техническом регулировании» в статье 2 определены важнейшие понятия:

· «риск - вероятность причинения вреда...»;

· «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда...».

Изложенное позволяет предложить уточнение определения информационной безопасности для коммерческих организаций посредством использования понятия «риск», с учетом положений закона «О техническом регулировании». Информационная безопасность - состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации.

Осенью 2003 года АРБ было проведено анкетирование российских коммерческих банков по вопросам информационной безопасности. Подавляющее большинство банков отметило необходимость учета экономической эффективности принятых решений по защите информации, что можно сделать при оценке рисков, которая включает, в частности, следующие положения:

· оценка рисков должна учитывать внутренние и внешние факторы риска, осуществляться на всех уровнях организации;

· должны быть определены риски, которые являются контролируемыми (управляемыми) организацией и неподконтрольными ей, и т.д.;

· все материально значащие риски, которые могут негативно воздействовать на достижение организацией своей цели, должны оцениваться на непрерывной основе.

Эти положения следуют из материалов GARP (Global Association of Risk Professionals). Ассоциация создана в 1996 г., насчитывает более 15 тысяч членов, российское отделение GARP создано в 1998 г. При этом целесообразно учитывать особенности условий защиты коммерческой информации в АБС:

· частная собственность;

· цель - прибыль и экономическая эффективность;

· специфичная модель угроз и нарушителя;

· работа в открытых системах;

· необходимость обеспечения юридической силы электронных документов;

· возможность страхования информационных рисков;

· неоднородность банковских организаций;

· важность определения ценности информации;

· динамичность (необходимость мониторинга) защиты;

· открытость средств защиты и т.д.

Таким образом, защита информации в коммерческой автоматизированной банковской системе имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Подытоживая, скажем, что помимо упомянутых ранее специфических факторов, можно дополнительно отметить следующие особенности современных банков, влияющие на их информационную безопасность:

· приоритет экономических, рыночных факторов, т. е. для банковской автоматизированной системы весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. д.;

· использование открытых распределенных систем и открытого проектирования, которое заключается в создании подсистемы защиты информации иными юридическими лицами из средств, широко доступных на рынке;

· большая динамика информационных, технологических и хозяйственных процессов, требующая постоянного мониторинга угроз и рисков для банковской или иной коммерческой информации, с соответственной оперативной реакцией системы защиты.

Рассмотрим также другие особенности защиты информации автоматизированных банковских систем. С расширением географии деятельности банка, развитием взаимодействия электронных сетей, осуществлением совместных работ с другими юридическими лицами через интернет возрастает риск или вероятность финансовых потерь. Вспомним, что глобальной сетью Интернет объедены и одновременно работают многие миллионы всевозможных пользователей, преследующих различные и не всегда законные цели использования сети.

Неоднородность сферы деятельности различных коммерческих банков делает объективно необходимым конкретизацию стратегий кризисного управления, побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей.

Анализ рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться [2]. Для этого надо определить все, чем оцениваются риски, и ранжировать их по уровню важности. Этот процесс включает принятие экономически рациональных решений о применении необходимых методов и средств защиты, так как расходы, выделяемые на защиту, очевидно не должны превышать стоимости защищаемого объекта. Проблема полного анализа риска находится за пределами данного материала. Тем не менее, следует рассмотреть два важных и специфичных элемента анализа риска с применением стоимостного критерия:

· классификация информационных ресурсов;

· выявление и ранжирование угроз информации.

Определение ценности и классификация информационных ресурсов может проводиться только в условиях функционирования конкретной АБС или банка с применением стоимостного критерия, так как рациональный уровень информационной безопасности выбирается из соображений экономической целесообразности. Под ценностью информации понимается максимальный эффект, который может быть получен при ее использовании на рассматриваемом интервале времени.

Помимо ценности и важности информации целесообразно рассматривать необходимое время существования ее выбранной категории ограничения доступности (грифа). Необходимо также учитывать специфику процессов использования информации, расход имеющихся ресурсов. В целом данный процесс можно назвать ранжированием информации или соответствующих информационных ресурсов.

При определении ценности информации предлагается исходить из ее относительности и динамической изменчивости во времени, поскольку ценность информации рассчитывается для конкретных условий, характеристик потребляющих ее систем. В зависимости от преследуемых целей она может выражаться через деньги, количество и качество получаемой продукции, затраты ресурсов и другие показатели.

Расчет ценности информации в общем случае осуществляется, исходя из конечных эффектов решения системой прикладных задач на заданном интервале времени с защищаемой информацией и без нее, расходов ресурсов системы на достижение этих эффектов. При этом предполагается, что система функционирует оптимально.

В ряде случаев ценность информации может быть определена как минимум затрат на ее восстановление. В других условиях она может быть рассчитана как разность между достигаемыми конечными эффектами системы при наличии и отсутствии защищаемой информации. На практике часто вводят пороговые значения денежной ценности информации, что позволяет существенно упростить классификацию информации.

Ценность информации может быть как положительной, так и отрицательной величиной. Информация с отрицательной ценностью подлежит уничтожению. Наиболее важным или ценным объектом защиты в АБС является электронный платежный документ, его информация или данные. Напомним, что информация, обрабатываемая в АБС, не составляет государственную тайну и ее владельцами являются коммерческие банки или их клиенты. Документ - учетная единица, исполняющая функцию формализованного доказательного описания проведенной, логически завершенной, операции (транзакции).

В случае возможных коллизий с электронным платежным документом для разбирательства споров между участниками расчетов в автоматизированной платежной системе приходится прибегать к услугам арбитров (третейских судов).

Для электронного платежного документа приоритетным является обеспечение целостности и доступности информации по сравнению с ее конфиденциальностью или секретностью, которые наиболее важны в военных или правительственных системах. Весьма важно в АБС обеспечить оперативную и своевременную доступность к электронному платежному документу вне зависимости от негативных случайных или преднамеренных воздействий на систему или обрабатываемую информацию.

По многолетней статистике, представленной американской исследовательской фирмой FIND/SVP, отказ АБС (недоступность информации), используемой в среднем американском банке, приносит суммарный ущерб порядка 263 тыс. долларов в час. Центральный банк РФ в настоящее время успешно завершил многолетнюю работу по созданию нового стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный стандарт был утвержден председателем Банка России 17 ноября 2004 г. и опубликован в журнале Вестник Банка России №68. Указанный стандарт получил учетный номер СТО БР ИБ БС-1.0-2004.

В упомянутом новом документе особое внимание уделено управлению рисками. Структура документа включает следующие основные функциональные разделы стандарта:

· исходная концептуальная схема (парадигма) информационной безопасности;

· основные принципы обеспечения информационной безопасности;

· модели угроз и нарушителей;

· политика информационной безопасности;

· управление информационной безопасностью;

· модель зрелости процессов управления информационной безопасностью;

· аудит и мониторинг информационной безопасности.

Руководство ЦБ РФ запланировало опытное внедрение стандарта в десяти регионах нашей страны, которое будут осуществлять региональные управления Банка России в нескольких разнотипных кредитных организациях в течение 2005 года.

Следует отметить, что данный стандарт по-своему уникален и является головным в целой серии банковских стандартов информационной безопасности. Он впервые создан в нашей стране и является вторым банковским стандартом в мире. Аналогичный стандарт был ранее создан Банком Франции и в настоящее время подобная работа по созданию национального банковского стандарта информационной безопасности ведется в Германии.

В настоящее время только в одной стране мира, а именно, во Франции, требования к информационной безопасности носят обязательный характер для банковского сообщества. Сейчас об этом очень серьезно думают и в Европейском центральном банке, и в Германии, и в США, и в Англии. У нас в принципе эта работа развернется в полном объеме где-то к 2007 году.

Можно рекомендовать отечественным коммерческим банкам пользоваться упомянутым стандартом и другими доступными документами ЦБ РФ по защите информации. Однако не все так просто. Следует вспомнить диаметрально противоположные главные цели деятельности банков разных видов собственности, четко сформулированные в законодательстве. В статье 1 Федерального закона «О банках и банковской деятельности» сказано: «Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом». В статье 3 Федерального закона «О Центральном банке Российской Федерации (Банке России)» говорится: «Получение прибыли не является целью деятельности Банка России».

Разные цели порождают неодинаковые пути их достижения. При этом отдельные компоненты или средства их достижения могут быть сходны. Поясним данный тезис подробнее. Коммерческий банк, впрочем, как и любая другая рыночная организация, по своей сути является весьма рискованным предприятием. Поэтому так развиты на сложившихся зарубежных рынках различные теории и практические механизмы управления рисками, в том числе и компьютерными. Идет постоянный мониторинг и анализ рисков.

Подводя итог вышеизложенному, следует, в соответствии с положениями нового банковского стандарта информационной безопасности и ГОСТ Р ИСО/МЭК 15408-1-2002, создать специальный стандарт (профиль) защиты, который будет учитывать перечисленные особенности коммерческих банков. Требования профиля информационной безопасности коммерческого банка позволят:

· оптимизировать расходы на защиту информации;

· обеспечить качественный аудит автоматизированных систем;

· решить вопросы внутреннего контроля организации.

Банковская тайна

Банковская тайна и ее соблюдение включают несколько аспектов: юридический, организационный (охрана банка), технический (применение мер защиты к самим документам). Юридический аспект банковской тайны подразумевает законодательное определение самого понятия, выявление субъектов, обязанных хранить эту тайну, установление содержания правомочий клиентов и пределы их осуществления, ответственность за нарушение тайны.

Понятие банковской тайны неразрывно связано с коммерческой тайной. В российском законодательстве коммерческая тайна впервые была упомянута в Законе о предприятиях и предпринимательской деятельности (1990 г.). Согласно этому акту перечень сведений, составляющих коммерческую тайну, определяется руководителем предприятия; предприятие имеет право не представлять информацию, составляющую коммерческую тайну. Постановлением Правительства "О передаче сведений, которые не могут составлять коммерческую тайну" (1991 г.) установлен круг документов и сведений предприятий и предпринимателей, которые в обязательном порядке представляются по требованию органов власти, управления, контролирующих и правоохранительных органов, юридических лиц, имеющих на то право в соответствии с законодательством, а также трудового коллектива. В упомянутый перечень включены учредительные документы, документы, дающие право заниматься предпринимательской деятельностью, сведения по установленным формам отчетности о финансово-хозяйственной деятельности и др.

В новом ГК РФ используется термин “служебная и коммерческая тайна” (ст. 139). ГК гарантируют их защиту при незаконном использовании третьими лицами при конкретных условиях.

Четкого определения коммерческой тайны в названных нормативных актах не дается. Исходя из практики можно предложить считать коммерческой тайной совокупность конфиденциальных сведений, имеющих действительную или потенциальную материальную или нематериальную ценность, не являющихся общедоступными третьим лицам и объявляемых предпринимателем (физическим лицом) или руководителем предприятия таковыми, но в пределах, установленных законодательством. Было бы правильно дифференцированно подходить к составу коммерческой тайны и выделять секреты производства или деятельности, конфиденциальные сведения о самом предпринимателе, конфиденциальные сведения о клиенте, контрагенте по договору и иных связанных с предпринимателем лицам и их операциях.

Банковская тайна относится к последней группе коммерческой тайны и раскрывается в ст. 25 Закона о банках и банковской деятельности в РСФСР (1990 г. в редакции 1996 г.).

Объектами банковской тайны являются сведения об операциях, счетах и вкладах клиентов и корреспондентов. Следует отметить, что это затрагивает достаточно широкий перечень операций: привлечение вкладов (депозитов); предоставление кредитов; осуществление расчетов по поручению клиентов; открытие и ведение счетов клиентов; покупка, продажа, хранение ценных бумаг и управление ими; выдача поручительства, гарантии за третьих лиц и другие операции в пределах компетенции банка. Для проведения Центральным банком РФ в феврале 1994 г. кредитного аукциона по распределению централизованных ресурсов в специальном акте было предусмотрено, что "вся информация, относящаяся к кредитным аукционам и касающаяся каждого коммерческого банка, носит конфиденциальный характер и является коммерческой тайной ЦБ РФ и его учреждений".

Сведения об участниках прошедшего аукциона, победителе, сумме кредита и ставки остались неизвестными. Необходимо относить к банковской тайне также сведения о личности клиентов, корреспондентов и лиц, упомянутых в контракте с банком. Это следует из того, что реквизиты клиента (корреспондента) также составляют содержание банковских операций и оформляющих их документов. Хотя, безусловно, предпочтительнее было бы сформулировать объем сведений, составляющих банковскую тайну, так, как это было сделано еще в Уставе Государственного банка в дореволюционной период "хранить в тайне все, касающееся вверяемых банку частных коммерческих дел и счетов"*.

Субъекты, обязанные хранить банковскую тайну

Право требовать сохранения банковской тайны принадлежит клиентам и корреспондентам, которые состоят в договорных отношениях с банком. В некоторых случаях таким правом наделены и другие лица, связанные с банком не договором, а в силу других факторов, указанных в законе (лица, которым доверено распоряжение вкладом или которым завещан вклад, получающим выигрыш по лотерейным билетам, выпущенным не банком, граждане, приобретающие акции акционерных обществ в банке).

Обязанность сохранения банковской тайны возложена законом на всех служащих банков независимо от их должности. Иногда банк в своих локальных актах дополнительно предупреждает об этой обязанности своих сотрудников. Так, в 1992 г. по приказу Центрального банка РФ его работники дали подписку о неразглашении сведений, связанных с деятельностью данного банка.

Содержание правомочий клиентов по банковской тайне и пределы их осуществления

Содержание права клиента на банковскую тайну составляют правомочие требовать от банковских служащих сохранения тайны и правомочие предоставить соответствующую информацию (часть ее) другим лицам. В законодательстве установлены пределы сохранения банковской тайны.

Справки по счетам и вкладам граждан выдаются, кроме самих клиентов и их представителей, судам и следственным органам по делам, находящимся в их производстве, если на денежные средства и иные ценности клиентов наложен арест, обращено взыскание или применена конфискация имущества.

Справки по счетам и вкладам в случае смерти их владельцев предоставляются лицам, указанным владельцем счета или вклада в сделанном банку завещательном распоряжении, государственным нотариальным конторам по находящимся в их производстве наследственным делам о вкладе умерших вкладчиков.а также иностранным консульским учреждениям.

Справки по операциям и счетам юридических лиц и иных организаций могут выдаваться самим организациям, их вышестоящим органам, судам, следственным органам, органам арбитражных судов, аудиторским организациям, а также финансовым органам на предмет налогообложения.

Центральный банк контролирует соблюдение законодательства о банках. Главное управление и управление (отделы) инспектирования коммерческих банков получают в ходе проверок от банков и их филиалов, а также клиентов этих банков и филиалов, учредителей, акционеров (участников) материалы, необходимые для проверок. Работники инспекционных подразделений вправе проверять в банке наличие денег и ценностей, денежные, бухгалтерские, учредительные и другие документы, договоры и иные обязательства, связанные с деятельностью банка, а также могут получать от сотрудников банка необходимые объяснения, справки, сведения по вопросам, возникающим при проверках, и документы. Следовательно, объем полномочий контролеров достаточно широк и включает изучение отношений банка и его клиентов.

Деятельность банков подлежит ежегодной проверке аудиторскими организациями, уполномоченными осуществлять такие проверки.

Аудиторские фирмы вправе проверять документацию о финансово-хозяйственной деятельности, наличие денежных сумм, ценных бумаг, материальных ценностей, получать разъяснения по возникшим вопросам и дополнительные сведения, необходимые для проверки, информацию от третьих лиц. Таким образом, в сферу аудиторской проверки может попасть информация о клиентах банка и их операциях.

Министерство финансов РФ письмом "О порядке предоставления сведений в налоговые органы" (1994 г.) установило, что банки и кредитные учреждения по истечении отчетного года представляют в обязательном порядке информацию об открытии (закрытии) или изменении расчетных и других счетов юридических и иных организаций с указанием их полного наименования, почтового (юридического) адреса, номера и даты открытия (закрытия) или изменения счета. Кроме того, по письменному запросу руководителя (или его заместителя) налогового органа в течение года представляются сведения по операциям и счетам отдельных юридических лиц и иных организаций, в частности, о наличии и движении средств на счетах, о полученных кредитах и уплаченных процентах, иные сведения о финансово-хозяйственной деятельности клиентов.

Клиент, обладающий правом на банковскую тайну, может предоставить соответствующую информацию (часть ее) другим лицам. Такие конфиденциальные сведения могут быть переданы путем заключения специального договора или включения условия об их передаче в договоры поручительства, займа, управления чужим имуществом. Интересно, что в Законе о праве на финансовую тайну США (1978 г.) предусмотрено, что клиент может дать письменное разрешение банку на то, чтобы некоторые документы (помимо обязательных) предоставлялись каким-либо правительственным органам или другим лицам для каких-либо целей. Положение о федеральной государственной службе РФ (1933 г.) обязывает государственных служащих представлять при поступлении на государственную службу сведения о своем имущественном положении и ежегодно - сведения о доходах и изменениях своего имущественного положения. Пока порядок выявления имущественного положения не установлен, но, видимо, для некоторых должностей государственных служащих будет предусмотрено раскрытие информации о своих банковских вкладах. В частности, в США сведения о финансовых доходах Президента не являются закрытыми. В 1992 г. было известно, что личные вклады Президента Буша оценивались в 74 тыс. дол. вклад в пенсионный фонд брокерской компании составил 43 тыс. дол ., вклад на имя его жены - в 3тыс.дол.

Нарушение банковской тайны и ответственность

Нарушение банковской тайны состоит в раскрытии соответствующей информации (части информации) без согласия уполномоченного лица (клиента, корреспондента) или в использовании ее банковским служащим в своих интересах. Такие действия могут причинить моральный, а иногда и материальный вред (например, в соответствии с полученной информацией похищена сберегательная книжка на предъявителя, государственная облигация и по ним получены деньги). За вред, причиненный клиенту разглашением тайны, банк несет договорную ответственность в соответствии со ст. 222 ГК: лицо, не исполнившее обязательства либо исполнившее его ненадлежащим образом, несет имущественную ответственность лишь при наличии вины, кроме случаев, предусмотренных законом или договором. Конкретная санкция имущественного характера в виде неустойки (штрафа) должна быть предусмотрена в отдельном договоре.

Если банковская тайна раскрыта в отношении лица, не связанного с банком каким-либо договором (например, наследник, упомянутый в завещательном распоряжении банку), то наступает внедоговорная ответственность банка по правилам ГК (обязательства, возникающие вследствие причинения вреда). Такие лица вправе требовать возмещения им морального вреда. Его размер определяется потерпевшим в исковом заявлении самостоятельно. При установлении размера морального вреда судом во внимание может приниматься количество осведомленных о тайне, объем разглашенной информации (если информация включает в себя целый ряд конфиденциальных сведений).

Служащие банка, виновные в нарушении банковской тайны, могут нести ответственность, предусмотренную трудовым законодательством, если обязанность хранить эту тайну включена в их должностные инструкции или контракты, заключенные с ними при приеме на работу.

Административная ответственность банковских служащих в Кодексе об административных правонарушениях не предусмотрена. Для сравнения отметим, что по Закону Республики Молдова о государственном национальном банке Молдовы (Национальном банке Молдовы) 1991 г. (утратил силу в 1995 г.) банковские работники, виновные в разглашении коммерческой тайны, несут административную ответственность в виде штрафа в размере от 1 до 3 месячных окладов, если действующие законы не закрепляют иное.

Согласно Закону о конкуренции и ограничении монополистической деятельности на товарных рынках (1991 г.) не допускается использование и разглашение коммерческой тайны без согласия ее владельца. Хозяйствующие субъекты (в том числе банки) несут ответственность в виде штрафа в случае уклонения или несвоевременного исполнения предписания Антимонопольного комитета о прекращении нарушений.

В УК нет статьи об ответственности за разглашение банковской тайны. Но возможно привлечение служащих к уголовной ответственности, если в их действиях содержатся составы предусмотренных в Кодексе преступлений, например, получение взятки за разглашение банковской тайны.

В некоторых случаях может быть применена ст. 76* УК (передача иностранным организациям сведений, составляющих служебную тайну). Предметом данного преступления являются сведения экономического, научно-технического и другого характера, составляющие служебную тайну.

Субъектами преступления считаются лица, достигшие 16-летнего возраста, которым сведения были доверены по работе или стали известны иным путем. Такие действия являются преступлением, если совершаются умышленно путем передачи или сбора с целью передачи указанных сведений иностранным организациям или их представителям. Следовательно, разглашение служебной (в том числе банковской) тайны российским предприятиям и гражданам под действие этой статьи не подпадает и не влечет уголовной ответственности. На наш взгляд, для укрепления доверительных отношений банка с клиентом в Уголовный кодекс следовало бы ввести статью об ответственности за умышленное разглашение коммерческой (а значит, и банковской) тайны.

Размещено на Allbest.r