Актуальность данной проблемы обусловлена тем, что непосредственный доступ, как к ценной, так и устаревшей информации, имеет не только персонал банка, а так же  множество внешних злоумышленников, которые для несанкционированного доступа используют все возможные средства. Поэтому к банковским системам защиты конфиденциальной информации предъявляются особые требования. Так как любые, даже небрежно оставленные в смятом или разорванном виде, документы служат потенциальным источником неприятностей, которые могут нанести ущерб всему банку.

 Вся информация, хранящаяся и обрабатываемая в банке, передается по внешним, неконтролируемым вычислительным сетям общего доступа. Огромная доля коммерческой информации сосредотачивается в информационной вычислительной системе (ИВС) банка. Данные из ИВС используются операторами, менеджерами, а также партнерами и клиентами посредством Интернета, что может привести к утечке информации. Руководство банка должно понимать важность обеспечения безопасности информационных ресурсов и помнить об утилизации ненужных документов на всевозможных носителях.

Таким образом, необходимо изучить методы по уничтожению и восстановлению конфиденциальной информации для  банковской деятельности.

Для достижения поставленной цели мы решили следующие задачи:

1. Изучили теоретические основы и проанализировали основные проблемы по защите конфиденциальной информации в банковской деятельности. Предметной областью изучения является – банковская деятельность. Основными целями банка являются:

• Увеличение прибыли
• Увеличение доходов акционеров
• Доходность капитала, инвестиций, активов
• Удержание статуса на рынке

2. Изучили такие методы уничтожения информации, как:

Шредирование – процесс уничтожения документов посредством его разрезания на мелкие полосы либо кусочки в специальном устройстве – шредере. Такие аппараты постоянно совершенствуются, ведь немало злоумышленников, заинтересованных в восстановлении уничтоженных бумаг. Коммерческие предприятия, в особенности банки, опасаясь попадания данных относительно их деятельности к конкурентам или иным третьим, используют шредеры очень активно.

Химическая обработка – размягчение бумаги и превращение ее в бумажную массу. Это надежный, но недешевый метод, и в настоящее время его используют в качестве дополнительной меры безопасности при уничтожении секретных документов шредированием.

У метода есть свои недостатки:

- требуется специальное оборудование и/или химические реактивы, что во многих случая подразумевает использование услуг специализированных компаний;

- процесс уничтожения достаточно длительный, и есть определенный риск несанкционированного доступа к информации;

- вследствие длительности процесса, присутствовать при уничтожении своих документов от начала до завершения процесса уничтожения невозможно;

- это достаточно дорогой способ уничтожения.

Размагничивание –  удаление или ослабление магнитного поля. Применённое к магнитному носителю, размагничивание может уничтожить все данные быстро и эффективно. Используется прибор, называемый размагничиватель, предназначенный для уничтожения данных.

3. Разработали рекомендации по уничтожению конфиденциальной информации в деятельности банка. А именно:

Первый шаг – ознакомиться с организацией делопроизводства в банке, имеющего отношение к обеспечению сохранности конфиденциальной информации. Необходимо изучить, каким способом составлены документы (рукописным способом, с использованием персональных компьютеров без бумажного черновика), на рабочих местах или в специально выделенных помещениях, исполнителем или сотрудником делопроизводства, а также как хранятся сведения (в делах или на машинных носителях) и др.

Второй шаг – учесть возможные риски, возникающие во время уничтожения документированной информации, составляющей конфиденциальную информацию. Как и в ходе работы с документами ограниченного доступа в делопроизводстве, при проведении работ по их уничтожению необходимо исключить возможность подмены, утраты или безучетного уничтожения документа (или его носителя), а также доступа к ним посторонних лиц.

Третий шаг - в зависимости от важности документов, необходимо выбрать каким способом они будут уничтожены:

• с оформлением акта на уничтожение, рассматриваемого экспертной комиссией (ЭК) организации;
• с оформлением акта, не рассматриваемого ЭК;
• без оформления акта, с оформлением записей в формах учета.

Рассмотрев методы и способы уничтожения конфиденциальной информации, становится очевидно, что утилизация таких данных является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение и персонал. Пренебрежение хотя бы одним из аспектов может привести к утрате или утечке информации, что,в следствии, может привести к большим проблемам, в такой тонкой и важной сфере, как банковская.

Библиографический список

1. Экспертное сообщество «Наш архив». Режим доступа: http://naar.ru/
2. Бизнес портал. Режим доступа: http://biznestoday.ru/
3. HR – Сообщество и публикации. Режим доступа: http://hr-portal.ru/

Kovalyova O.O.
SPECIFICITY OF ENSURING CONFIDENTIALITY OF INFORMATION IN AUDIT ORGANISATIONS
Nosov Magnitogorsk State Technical University,
Power Engineering and Automated Systems Institute,
Department of Informatics and Information Technology

Аннотация. В работе рассматривается особенность осуществления аудиторской деятельности. Также в работе уделено внимание необходимости и проблематике обеспечения конфиденциальности информации аудиторских организаций.

Abstract. In this paper we describe the use of specificity of audit activity. Also in this paper we pay attention to the need and problem of ensuring confidentiality of information of audit organizations.

Проблема организации и поддержания защиты обменных процессов в информационной среде, отвечающей определенным правилам и требованиям политики информационной безопасности любой современной организации, в настоящее время является весьма актуальной. С развитием рыночных отношений информация перестала играть эфемерную роль, превратившись в чрезвычайно важный и весомый ресурс, имеющий свои стоимостные характеристики. Новые технологии также стремительно развиваются, таким образом, давая толчок появлению усовершенствованных или абсолютно новых угроз различного типа, реализующих в себе нанесение как имиджевого ущерба организации, так и финансового, поэтому вопрос обеспечения безопасного хранения, обработки и обмена информацией со временем не теряет своей остроты, а совсем наоборот – требует большего внимания. Наиболее важна эта проблема для организаций, осуществляющих свою деятельность в работе с информацией, требующей особого внимания и защиты – конфиденциальной информацией, относящейся к коммерческой тайне и персональным данным. Таким образом, возникает острая необходимость в обеспечении защиты обменных процессов между аудиторскими и аудируемыми организациями.

Особенность осуществления аудиторской деятельности заключается в том, что аудиторские организации в обязательном или инициативном порядке привлекаются к проведению независимых проверок бухгалтерской (финансовой) отчетности хозяйствующих субъектов с целью установления достоверности этой отчетности, а также к оказанию сопутствующих аудиту услуг. Таковые организации могут осуществлять свою деятельность как в отношении любых юридических лиц вне зависимости от их организационно-правовой формы и вида деятельности, так и в отношении любых физических лиц, занимающихся предпринимательской деятельностью без образования юридического лица и зарегистрированных в качестве индивидуальных предпринимателей. Можно сказать, что деятельность любой аудиторской компании непосредственно связана со сбором и анализом информации о деятельности хозяйствующих субъектов.

В качестве источников информации для осуществления аудита служат первичные документы о проведении любых хозяйственных операций, движении денежных средств и других финансовых ресурсов, персональные сведения работников, все внутренние документы организаций и т.д. Кроме этого, в ходе проведения проверки аудиторская организация анализирует полученную информацию, создает рабочие документы, проводит тестирование различных ситуаций. Вся собранная и созданная информация о хозяйствующем субъекте хранится в аудиторской организации вместе с аудиторским заключением о проверке или отчетом о выполнении специального аудиторского задания при оказании сопутствующих аудиту услуг. Аудиторское заключение – строго регламентированный документ, который предоставляется аудиторской организацией заказчику, является частью бухгалтерской отчетности [1, ст. 6]. Вместе с этим заключением руководителю хозяйствующего субъекта передается подробный отчет по проведенной проверке с указанием всех нарушений и недостатков, выявленных в ходе ее проведения, а также анализом деятельности организации за проверяемый период, оценка влияния выявленных нарушений на достоверность отчетности и т.д. Обычно отчет называется «Письменная информация аудитора руководителю аудируемого лица». Содержание отчета аудитора строго конфиденциально, не подлежит разглашению, как и вся информация, полученная аудиторской организацией в ходе проверки. Аудиторская организация, получившая в ходе своей профессиональной деятельности доступ к конфиденциальной информации аудируемого лица, обязана обеспечить ее сохранность [1, ст. 9].

На данный момент в российском законодательстве нет чёткого определения понятия «конфиденциальная информация». В утратившем силу федеральном законе № 24 «Об информации, информатизации и защите информации» говорится, что конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако он описывает понятие «конфиденциальности». «Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация – сведения (сообщения, данные) независимо от формы их представления». Также в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относятся персональные данные; тайна следствия и судопроизводства, сведения о защищаемых лицах; служебная тайна; сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, аудиторская тайна); сведения, связанные с коммерческой деятельностью – коммерческая тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [3]. Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенным сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Приведенный список сведений, содержащийся в Указе Президента РФ, невозможно считать полным так, как закон «Об информации, информационных технологиях и о защите информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным [2, ст. 2].

Конфиденциальность информации – важный аспект деятельности аудиторских организаций. Поскольку аудиторские организации обладают доступом к полной и достоверной информации о проверяемом субъекте хозяйствования, то именно эти организации подвержены повышенному вниманию со стороны правоохранительных органов, Федеральной Налоговой Службы, конкурентов и множества других учреждений, проявляющих интерес к этой информации. Также одной из проблем обеспечения конфиденциальности информации аудиторских организаций является вопрос о государственном регулировании предоставления конфиденциальной информации различным государственным органам. Этот вопрос достаточно сложен, так как федеральный закон «Об аудиторской деятельности» хоть и обязывает аудиторов соблюдать аудиторскую тайну, но в то же время, предусматривает ее предоставление государственным органам в исключительных случаях, например, при инициации уголовного судопроизводства в отношении заказчика аудиторской организации [1, ст. 9]. Следовательно, аудиторские организации должны обеспечить максимальное выполнение таких мер обеспечения конфиденциальности информации, как, например, разработка и внедрение политики информационной безопасности, которая представляет собой документ, включающий перечень организационных и программно-технических мер обеспечения безопасности информации и ее целостности в частности. Согласно мнению специалистов: «первостепенным аспектом разработки политики информационной безопасности является анализ рисков информационной системы» [5]. Анализ рисков заключается в определении ресурсов системы предприятия (как информационных, так и технических, программных и других), идентификации угроз, которым ресурсы могут быть подвержены, а также перечень контрмер, необходимых для предотвращения реализации угроз в отношении ресурсов организации. В настоящее время используются два подхода к анализу рисков: базовый, включающий в себя проверку на наличие стандартного набора защиты от наиболее распространенных угроз и выполнение требований сертификата безопасности, и полный, который предполагает более детализированную оценку ресурсов предприятия, характеристик рисков и уязвимостей. В случае специфики аудиторской деятельности, аудиторским организациям целесообразно использовать полный подход к анализу рисков своей информационной системы. Однако наряду с приведенной стандартной мерой безопасности в отношении конфиденциальной информации, аудиторские организации должны руководствоваться стандартами аудиторской деятельности. В них закреплены принципы аудиторской деятельности – это принцип независимости, конфиденциальности, профессиональной этики. Каждая аудиторская организация в обязательном порядке разрабатывает внутренние стандарты в целях практической реализации указанных принципов. Все работники аудиторских организаций знакомятся с внутренними стандартами и обязуются их соблюдать [1, ст. 10].

Таким образом, деятельность аудиторских организаций неразрывно связана с конфиденциальной информацией, принадлежащей другим компаниям – именно в этом заключена специфика аудиторской деятельности. Аудиторские организации должны не просто защищать эту информацию, но и обеспечивать ее конфиденциальность. Сроки действия аудиторской тайны не установлены законодательно, что означает обязанность сохранять в тайне конфиденциальную информацию об операциях клиентов, полученную при оказании профессиональных услуг, без ограничения сроков и независимо от продолжения или прекращения непосредственных отношений с ним. Следовательно, неправильное пользование информационными активами, находящимися во владении аудиторских организаций, может повлечь за собой серьезные последствия, вплоть до лишения свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет [4, ст. 202]. Для того чтобы избежать этих последствий, аудиторские организации должны соблюдать принцип конфиденциальности и в этом им может помочь такая простая мера, как разработка и внедрение политики информационной безопасности, которая способна не только обеспечить конфиденциальность защищаемой информации, но и ее доступность и целостность.

Литература
1. Федеральный закон «Об аудиторской деятельности» [Принят 30 декабря 2008 г.] // Собрание законодательства РФ. – 2009. – N 1. Ст. 15.
2. Федеральный закон «Об информации, информационных технологиях и о защите информации»: Часть первая [Принят 27 июля 2006 г.] // Собрание законодательства РФ. – 2006. – N 31 (1 ч.). Ст. 3448.
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» [Принят 6 марта 1997 г.] // Собрание законодательства РФ. – 1997. – N 10. Ст. 1127.
4. Гражданский Кодекс Российской Федерации. Полный текст (части первая, вторая, третья и четвертая). – М.: Юркнига, 2007. -500с.
5. Чернова Е.В., Попова И.В., Попова Е.В., Зленко И.В. Обеспечение безопасности системы информационно-аналитической поддержки научных исследований // Программные продукты и системы / под ред. С.В Емельянова. – № 4(88) 2009 – 192 с. – 48-51.