Защита персональных данных в банке

Защита персональных данных в кредитно-финансовых учреждениях

Защита персональных данных в банке

Источник: Банковские технологии № 3, апрель 2009 г.

Михаил Емельянников, директор по развитию компании «Информзащита»

Масштабы и границы

Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные данные, так и средств защиты информации.

Именно поэтому нормативные документы регуляторов предусматривают лицензирование деятельности операторов персональных данных по технической защите конфиденциальной информации.

Выходом для банковских учреждений, которые по тем или иным причинам не могут или не хотят получать лицензию, является заключение договора со специализированной организацией-лицензиатом на аутсорсинг услуг по технической защите персональных данных.

Независимо от того, кто будет выполнять работы по обеспечению безопасности обработки персональных данных, первые шаги оператора достаточно очевидны. Необходимо (1) выявить все информационные системы, обрабатывающие персональные данные (ИСПДн), (2) классифицировать все выявленные ИСПДн и (3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз.

При этом важно понимать, что определение границ ИСПДн и их классификация — задачи неформальные, требующие понимания бизнес-процессов. Ключевыми моментами на этапе сбора и анализа исходных данных по ИСПДн являются определение целей обработки персданных и формирование перечня ПДн (определение состава сведений, отнесенных к такой категории).

Два примера.

Большинство крупных организаций, и банки здесь — не исключение, имеют внутренние корпоративные порталы, содержащие, среди прочего, и справочную систему, в которой размещены сведения о сотрудниках с указанием их фамилии, имени, отчества, должности, номеров служебного телефона и кабинета, адреса электронной почты, в некоторых случаях — и фотографии.

При определении категории подобных персональных данных по методике совместного приказа ФСТЭК, ФСБ и Мининформсвязи РФ
от 13.02.2008 г.

 N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» необходимо исходить из цели обработки данных — идентификация сотрудников для установления контакта с ними (категория 3), а при оценке коэффициента, характеризующего количество обрабатываемых записей (ХНПД), в качестве параметра выбрать «персональные данные субъектов персональных данных в пределах конкретной организации». В этом случае справочная система будет относится к классу 3 (К3) типовых ИСПДн,  даже если в организации работает более 1000 сотрудников.

Второй пример. При формировании перечня персональных данных для сегмента АБС, связанного с ведением кредитной истории клиента, перечень обрабатываемых персональных данных можно определить на основании ФЗ «О кредитных историях». Тогда к ПДн именно в этой ИСПДн будут относиться следующие сведения о заемщике:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
  • ИНН;
  • страховой номер индивидуального лицевого счета;
  • места регистрации и фактического места жительства;
  • сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

На этапе инвентаризации и классификации  ИСПДн необходимо оценить необходимость и целесообразность отнесения ИСПДн к специальным системам, исходя их положений упомянутого выше совместного приказа и особенностей обработки данных в конкретной системе.

Формирование актуализированной модели угроз также является непростой и неформальной задачей. Есть мнение, что на данном этапе можно существенно снизить требования к безопасности и упростить систему защиты, признав большинство угроз неактуальными. Это не так.

  Актуализация угроз, безусловно, относится к полномочиям оператора, но не может выполняться произвольно.

В ходе ее необходимо следовать методологии регуляторов, изложенной в нормативно-методических документах, и соблюдать установленные в них критерии оценки актуальности.

Правовые проблемы

Важной частью работы по приведению модели в соответствие с требованиями регуляторов является выявление и анализ законности оснований для обработки персональных данных, и, что особенно сложно, для передачи их 3-им лицам. Такими основаниями применительно к банкам являются:

  • случаи, прямо предусмотренные федеральными законами;
  • договор об оказании услуг физическому лицу;
  • выполнение обязанностей работодателя по отношению к собственным работникам.

Договоры с физлицами должны содержать их прямое согласие на все случаи обработки данных, выходящие за пределы собственно оказания банковских услуг.

Весьма сомнительными с юридической точки зрения выглядят положения договоров, предусматривающие передачу персональных данных в случаях, не предусмотренных законами, например: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, …, включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе … иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота» (выделено автором). Нет в Федеральном законе такого основания передачи, как обычаи делового оборота.

Система безопасности ИСПДн банка

На основе исходных данных, указанных в акте классификации ИСПДн и актуализированной модели угроз, определяются механизмы безопасности, которые должны быть реализованы в системе защиты, и конкретные требования к функциональности этих механизмов.

Рассмотрим этот тезис на примере.

Для абсолютного большинства ИСПДн необходимо выполнение мероприятий по защите персданных от несанкционированного доступа (НСД) и иных неправомерных действий, включающих:

  • Управление доступом;
  • Регистрацию и учет;
  • Обеспечение целостности;
  • Контроль отсутствия недекларированных возможностей;
  • Антивирусную защиту;
  • Обеспечение безопасного межсетевого взаимодействия ИСПДн;
  • Анализ защищенности;
  • Обнаружение вторжений.

Подсистему управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации и регистрации (специальных, не входящих в ядро какой-либо ОС средств защиты самих ОС), электронных баз ПДн и прикладных программ, реализующих функции диагностики, регистрации, уничтожения, сигнализации, имитации.

В свою очередь, средства сигнализации должны обеспечивать предупреждения операторов при их обращении к защищаемым ПДн, а также предупреждения администратора  об обнаружении фактов

  • НСД к персональным данным;
  • Искажения программных средств защиты;
  • Выходе или выводе из строя аппаратных средств защиты;
  • Других фактах нарушения штатного режима функционирования ИСПДн.

Такой же анализ должен быть проделан и при определении способов нейтрализации остальных актуальных угроз, на основании которого определяются сертифицированные средства защиты информации с требуемой функциональностью.

Имеющихся в настоящее время сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных в нормативно-методических документах ФСТЭК и ФСБ, вопрос лишь в знании их возможностей и правильном сочетании.

Сегодня созданы все необходимые условия для выполнения требований по обеспечению безопасности персональных данных, и в оставшееся до 1 января 2010 г. время во всех кредитно-финансовых учреждениях требуется построить подсистему защиты этой категории сведений ограниченного доступа.

Источник: //www.iso27000.ru/chitalnyi-zai/zaschita-personalnyh-dannyh/zaschita-personalnyh-dannyh-v-kreditno-finansovyh-uchrezhdeniyah

Защита персональных данных в банках | Особенности защиты персональных данных в банковской сфере

Защита персональных данных в банке

Заключая договор на банковское обслуживание или оформляя кредит, клиент финансового учреждения предоставляет ему для обработки существенный массив своих персональных данных – от имени и реквизитов паспорта до сведений о недвижимости и семейном положении. Не всегда при этом он подписывает согласие на их обработку. Насколько защищены его права, и существует ли ответственность кредитных учреждений за неправомерную обработку персональных данных или передачу их третьим лицам?

Правила защиты персональных данных в банках

Степень успешности банковского бизнеса зависит во многом и от умения учреждения хранить банковскую тайну.

Персональные данные клиентов имеют иной режим конфиденциальности, при их защите используются другие методы правового регулирования, но организационные и технические меры, применяемые для защиты обоих массивов данных, могут быть идентичными. Разница состоит лишь в том, что стандарты защиты устанавливаются:

  • для персональных данных – требованиями ФСТЭК России;
  • для банковой тайны – инструкциями Центрального банка РФ.

Строгие требования побуждают банки системно подходить к защите персональных данных, тем более что их утечка несет за собой риски для деловой репутации и судебных исков, связанных с возмещением ущерба, причиненного гражданину.

В кредитном учреждении персональные данные граждан хранятся в следующих информационных системах:

  • в общей базе, обрабатывающей операции по счетам физических лиц (автоматизированной банковской системе, или АБС);
  • в модуле Клиент-Банк, других системах онлайн-доступа к счетам;
  • в системах, обеспечивающих перевод средств с банковской карты;
  • в бухгалтерских системах учета;
  • в кадровых системах (для персональных данных сотрудников банка).

Кроме того, на материальных носителях их можно найти в кредитных досье, в которых содержатся договоры, заявления на получение кредита, сведения о залогах и поручителях.

Информация, находящаяся на материальных носителях, наименее защищена от утечек, происходящих в случае неправомерных действий сотрудников.

Система защиты персональных данных клиентов банка в этом случае должна строиться на базе контроля за действиями инсайдеров силами служб безопасности.

Банки уже разработали технические системы защиты персональных данных, интегрированные с действующими в них информационными системами, обеспечивающими защиту сведений, относящихся к банковской тайне.

Как показывает практика, внешние посягательства, хакерские атаки на банки больше нацелены на сведения, касающиеся счетов и вкладов, именно персональные данные интересуют преступников меньше.

Но существует две группы рисков, о которых должен знать каждый доверяющий банку свои сведения:

  • инсайдерские риски – очень часто сведения добровольно передают своим знакомым или деловым партнерам рядовые сотрудники банков;
  • риски передачи персональных данных коллекторским агентствам при взыскании проблемной задолженности или уступке права требования.

В первом случае ответственность понесет конкретный сотрудник, во втором наказать банк сможет только суд, но не во всех случаях.

Нормативно-правовая документация, регулирующая защиту персональных данных в банках

При разработке системы защиты персональных данных банки опираются на Федеральный закон «О персональных данных», Постановление Правительства № 1119, приказы ФСТЭК и ФСБ России.

Но поскольку сведения хранятся в автоматизированной банковской системе, имеющей свои степени защиты, дополнительно работает система требований, устанавливаемых Стандартами Банка России, определяющими нормы обеспечения информационной безопасности организаций банковской системы РФ.

Сейчас отношения в этой сфере регулируются шестью стандартами, каждый из которых освещает определенный вопрос безопасности, и дополнительно методическими рекомендациями, разработанными Ассоциацией российских банков (АРБ). Два стандарта посвящены непосредственно защите персональных данных в информационных системах банков и актуальной модели угроз.

Стандарты определяют необходимость создания нескольких дополнительных подсистем защиты. Это подсистемы:

  • контроля доступа, идентификации и аутентификации;
  • регистрации и учета действий, совершаемых сотрудниками в отношении персональных данных, и инцидентов безопасности;
  • обеспечения целостности информационной базы персональных данных как ее ключевой характеристики;
  • межсетевой безопасности, исключающей доступ к данным пользователей, не имеющих на это специальных прав.

В большинстве случаев системы, в которых обрабатывается банковская информация, не имеют самостоятельного доступа к сети Интернет. Но это не касается Клиент-Банка, модулей, обрабатывающих перевод денег на карты, и некоторых других баз данных. Если они имеют собственный выход в Сеть, дополнительно создаются подсистемы:

  • антивирусной безопасности;
  • выявления внешних вторжений;
  • анализа степени защищенности.

Для распределенной системы дополнительно необходимо устанавливать криптографические средства для шифрования и защиты передаваемых персональных данных.

Защита персональных данных при их передаче третьим лицам

Судебные процессы по взысканию морального вреда в случае передачи банками персональных сведений граждан коллекторам уже появились в практике.

В большинстве случаев суды встают на сторону банков, если кредитное учреждение оговорило в согласии на обработку персональных данных право на передачу информации третьим лицам. Но, с другой стороны, судебная практика утверждает, что перечень таких лиц должен быть строго определен.

Клиент банка – субъект персональных данных – не всегда подписывает отдельное согласие на обработку данных, иногда нормы, предполагающие именно такие условия их обработки, предусмотрены в кредитном договоре.

Если согласие как отдельный документ, оформление которого предусмотрено законом об обработке персональных данных, оформлено не было, у клиента остается возможность взыскать с кредитного учреждения не очень большие, обычно не превышающие 10 тысяч рублей суммы в виде компенсации морального ущерба.

Правомерно и не вызывая каких-либо вопросов банк может передавать персональные данные клиентов:

  • Центральному банку РФ в целях контроля;
  • Росфинмониторингу для выполнения обязанностей, связанных с законодательством об отмывании денежных средств;
  • судебным приставам, налоговым и следственным органам по их запросам в случаях, прямо предусмотренных законодательством;
  • страховым компаниям, осуществляющим страхование рисков по кредитным договорам, если это предусмотрено предоставленным клиентом согласием.

Во всех остальных случаях гражданин должен быть проинформирован, кому именно будут переданы его персональные данные для обработки или в иных целях, и выразить на это свое согласие.

Заключая договор с банком, нужно крайне внимательно относиться к тем сведениям, которые ему передаются, тщательно изучать согласие на обработку персональных данных с точки зрения списка лиц, которым они могут быть переданы для обработки.

Источник: //searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-bankakh/

Какие персональные данные банк может запросить у клиента

Защита персональных данных в банке

Сегодня любая информация о человеке приобретает особую ценность.

Поэтому защита персональных данных граждан становится не только важным направлением в работе всех без исключения крупных компаний, но и требованием российского законодательства.

Ведь в руках мошенника информация о человеке может превратиться в орудие преступления, а в руках уволенного сотрудника – товаром для продажи конкуренту и даже инструментом для мести.

Стоит отметить, что пристальное внимание к этому вопросу в обществе начали проявлять только в последние годы, да и сам закон «О персональных данных», регламентирующий порядок действий с подобной информацией, появился всего 10 лет назад. Он гласит, что под понятием «персональные данные» подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Например, сведения о профессии, доходах, социальном положении.

На добровольных условиях

Что же из вышеперечисленного кредитная организация может потребовать предоставить от клиента? Как поясняет заместитель председателя правления «Ренессанс Кредита» С.

Королев, банк запрашивает только те данные, которые необходимы для проверки платежеспособности заемщика, а также для заключения с ним договора. К таким сведениям относятся ФИО, адрес, номер телефона, паспортные данные.

«Но банк может попросить предоставить не только прямые контакты, но также телефоны знакомых или родственников, – продолжает эксперт.

– Данная информация запрашивается с целью проверки клиента, а также для связи с ним, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться. При этом отказ клиента в предоставлении контактов родственников или знакомых не влияет на решение финансовой организации о выдаче кредита или оказании иных услуг».

Добавим к этому, что в последнее время банки довольно часто при заключении договора (будь то открытие счета или оформление потребкредита) делают фотографию клиента.

Согласно закону такой снимок, привязанный к анкете конкретного человека, будет тоже представлять собой персональные данные. Как сообщили в пресс-службе ВТБ24, это дополнительный элемент идентификации клиента.

«Делается это, прежде всего, в целях предотвращения мошеннических действий, – поясняют в банке. – Представим ситуацию, что у вас украли паспорт и преступники попытаются получить по нему кредит.

В этом случае сотрудник банка обязательно сверит фото клиента в анкете, хранящейся в базе, и в предоставленном паспорте, с лицом человека, подающего заявку. Конечно, такие несоответствия не останутся без внимания со стороны службы безопасности банка».

Все эти требования вполне законны. «Банки имеют право запросить любую информацию у клиента, в том числе о составе семьи, доходах, иных кредитах и счетах, – комментирует партнер Адвокатского бюро RBLИ. Мунаев.

– Банкам необходима информация, которая тем или иным образом отражает финансовое состояние клиента, его платежеспособность и благонадежность.

Кроме того, сами банки в ходе проверки со стороны контролирующих органов обязаны предоставлять информацию о своих клиентах, например, на основании Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Когда клиент дает добро

Наряду с предоставлением персональных данных кредитные организации просят клиентов дать согласие на их обработку. Этот процесс включает в себя сбор данных, запись, систематизацию, накопление и хранение, а также уточнение (обновление и изменение), извлечение, использование, обезличивание, блокирование и удаление.

Банк обращается к этим сведениям, если необходимо предоставить клиенту какую-то информацию – как по просьбе самого клиента, так и по инициативе банка.

Если клиент не заинтересован в дальнейшем сотрудничестве с кредитной организацией, он может попросить удалить свои персональные данные. «Для этого необходимо направить в банк заявление об отзыве своего согласия на обработку персональных данных, – советует С.Королев.

– Кредитная организация в течение 30 дней рассматривает это заявление и прекращает обработку персональных данных».

Что касается опасения клиентов по поводу, что отказ от согласия на обработку персональных может стать основанием для отказа, допустим, в выдаче кредита, эксперт поясняет: «Каждый банк это решает индивидуально, в соответствии со своей внутренней политикой. Но отказ в предоставлении кредита в этом случае будет правомерен, так как в соответствии с законодательством банк не обязан предоставлять кредиты абсолютно всем, кто за ними обращается».

Данные под защитой

По умолчанию банк хранит персональные данные клиентов до истечения срока, установленного законодательством. Максимальный срок законом не ограничен, однако ст.

5 закона «О персональных данных» говорит, что хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки.

Как правило, персональные данные хранятся в течение пяти лет с момента исполнения обязательств по договорам или до отзыва клиентом своего согласия на обработку персональных данных.

По закону все операторы, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В случае нарушения наступает ответственность – например, в виде возмещения морального вреда.

При этом, по словам С. Королева, передача информации судебным приставам, в суд или другим органам осуществляется в соответствии с законодательством, и на такую передачу согласие клиента не требуется. Если же клиент считает передачу данных незаконной, то он может направить жалобу в надзорный орган – Роскомнадзор, и банк будет привлечен к ответственности.

Кстати, по информации Роскомнадзора, наибольшее количество жалоб от граждан на банковскую сферу поступает именно в части нарушения прав субъектов персональных данных. Так, с 2014 по 2015 гг. их число увеличилось вдвое, при этом количество подтвержденных доводов граждан идет на спад.

В 2015 году Роскомнадзором проведено 14 контрольно-надзорных мероприятий в отношении кредитных организаций, при проведении 35% проверок были выявлены нарушения законодательства.

Что характерно, подавляющее количество жалоб традиционно касается передачи персональных данных коллекторским агентствам.

Роскомнадзор призывает граждан, заподозривших нечестное использование своих данных, обращаться в ведомство. К таким организациям будут применяться самые жесткие меры от штрафа до передачи дела в прокуратуру

Источник: //www.vkonline.ru/content/view/164397/kakie-personalnye-dannye-bank-mozhet-zaprosit-u-klienta

Проф-юрист