Проблемы реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и пути их преодоления

      Комментарии к записи Проблемы реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и пути их преодоления отключены

Выполнение требований законодательства в области персональных данных по-прежнему остается для кредитно-финансовых учреждений головной болью и предметом постоянных усилий.

Михаил Емельянников, ведущий российский эксперт в сфере технических и юридических аспектов защиты информации, компания «Код безопасности».

Наиболее «продвинутая» отрасль России с точки зрения реализации мер по обеспечению информационной безопасности, наряду с телекомом, – банки. Они и без государственного и иного регуляторного вмешательства (а регуляторов в кредитно-финансовой сфере много, как нигде) последовательно принимают меры по защите своих информационных активов. Ибо что такое деньги сегодня?

Это – запись в базе данных. Изменил запись – и денег стало у кого-то меньше, а у кого-то больше. Не надо, как в прошлые века, организовывать вооруженные налеты на хранилища, поезда и инкассаторов, хотя в России по-прежнему хватает и этого.

Достаточно взломать банковскую сеть или компьютер клиента, работающего в системе дистанционного обслуживания – и путь к счетам открыт. Но статья – не об этом, хотя эта тема становится все актуальнее, а о том, что, несмотря на все принимаемые меры по противодействию несанкционированным действиям, направленным на банковскую инфраструктуру, выполнение требований законодательства в области персональных данных по-прежнему остается для кредитно-финансовых учреждений головной болью и предметом постоянных усилий. Попытаемся разобраться, почему так происходит, и что в этой ситуации можно сделать, чтобы выполнить требования закона, не вкладывая лишних средств, и совместить все это с повседневной операционной деятельностью, не мешая ей.

Если подходить строго, формально ориентируясь на определение, данное в Федеральном законе «О персональных данных» (далее – 152-ФЗ), «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденном Постановлением Правительства РФ 2007 г. № 781 и других нормативных правовых актах (НПА), фактически вся IT-инфраструктура банка – огромная информационная система персональных данных (ИСПДн). Среди компонентов автоматизированной банковской системы (АБС) сложно найти хотя бы один, где бы не хранились, не обрабатывались и не передавались сведения о физических лицах, с 2006 года получивших дополнительное определение «субъектов персональных данных». Даже те элементы АБС, которые обрабатывают транзакции юридических лиц, так или иначе, содержат персональные данные – как минимум, фамилии и инициалы, должности уполномоченных лиц предприятий и организаций, подписывающих платежные документы.

К огромному объему информации о клиентах-субъектах и представителях юридических лиц надо добавить сведения о персонале банка в бухгалтерских и кадровых системах, сведения об учредителях – физических лицах и иных аффилированных лицах банка, которые банк обязан обрабатывать в соответствии с законами (а их для банков очень много) и НПА, сведения о гражданах, которые клиентами, заключившими договоры с банком, не являются – посетителях и многочисленных лицах, так или иначе, с участием банка взаимодействующих с клиентами (о них речь пойдет ниже). И о каждом, в конечном итоге, в банке появляется информация, «прямо или косвенно относящаяся к определенному или определяемому физическому лицу», как определяются персональные данные в новой редакции 152-ФЗ.

И не было бы в этом ничего страшного, если бы 152-ФЗ не оказался законом крайне технологичным, детально прописывающим многие операции, направленные не только на обеспечение безопасности обработки персональных данных, но и на саму организацию их обработки.

Именно поэтому Банк России, регулятор, как никакой другой много сделавший для приведения работ, связанных с выполнением 152-ФЗ, к неким единым правилам, не противоречащим бизнесу, достаточно детально прописал даже сам порядок отнесения компонентов банковской информационной системы к ИСПДн как в Стандарте СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», так и в рекомендациях в области стандартизации «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и «Методических рекомендациях по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации».

В частности, Стандарт 1.0-2010 устанавливает, что автоматизированные банковские системы (АБС), реализующие банковские платежные технологические процессы, вообще не относятся к ИСПДн, особо выделяет банковские системы, целью создания и использования которых является обработка персональных данных, и делит системы банковского технологического процесса, где обрабатываются персональные данные, на три группы:

  • системы банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные;
  • системы банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные вне ИСПДн;
  • системы банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПДн;

выдвигая к их подсистемам информационной безопасности несколько разные требования.

Но при использовании Стандарта Банка России есть два нюанса.

Первый заключается в том, руководствоваться Стандартом, опираясь на авторитет регулятора, могут только банки, к стандарту официально присоединившиеся, а это далеко не все кредитно-финансовые учреждения страны (в Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС» на момент написания статьи входило всего 50 кредитно-финансовых организаций при том, что только банков, являющихся членами «Агентства по страхованию вкладов», чуть меньше 900).

А второй нюанс еще более тонкий. Все документы из пакета Стандартов Банка России по информационной безопасности приняты не позже 2010 года, а с 1 июля 2011 года вступила в силу новая редакции 152-ФЗ, значительно ужесточившая ряд норм обеспечения безопасности. В частности, в закон перекочевали требования из Постановления Правительства № 781, например, такие, как обязательность применения средств защиты информации, прошедших процедуру оценки соответствия, или необходимость регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.

В этой ситуации нет, конечно, оснований сомневаться в благополучии будущего Стандарта, но, возможно, определенные коррективы в него внести придется.

Об этом косвенно говорит и осторожная позиция, высказанная в интервью журналу «Банковское обозрение» заместителем руководителя Роскомнадзора  Романом Шерединым. В частности на вопрос корреспондента: «В какой степени Роскомнадзор будет учитывать при проведении проверок банков стандарт Банка России?» – был дан дипломатичный ответ: «При проведении проверок Роскомнадзор руководствуется исключительно нормами российского законодательства о персональных данных… Вместе с тем отмечу, что положения стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» в целом учитывают действующие требования законодательства, предъявляемые к деятельности по обработке персональных данных».

О незавершившемся согласовании позиций регуляторов по данному вопросу говорит и разъяснение, данное в Информационном письме Консультационного центра Ассоциации российских банков № 5 от 01.12.2011 «Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»». В письме, в частности, говорится, что Банком России совместно с Роскомнадзором, ФСБ России, ФСТЭК России проводится работа:

  • по согласованию подходов к выполнению банковской системой Российской Федерации требований новой редакции ФЗ «О персональных данных;
  • по изучению вопроса о целесообразности внесения изменений в Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС);
  • по оценке возможности выпуска новой редакции письма-обращения Банка России, Ассоциации российских банков, Ассоциации региональных банков России (Ассоциация «Россия») и регуляторов.

Так что будем ждать информации о том, какой будет согласованная позиция уполномоченных организаций, и как она повлияет на содержание Стандартов Банка России и порядок их применения.

Но, что бы ни было дальше, работы по выполнению требований законодательства у кредитно-финансовых учреждений, присоединившихся к стандарту или идущих своим путем, более чем достаточно.

Что требует закон, и почему эти требования сложны для банков

Статья 19 Федерального закона «О персональных данных» требует от банков-операторов при обработке персональных данных принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

И каждая группа требований создает для финансовой организации свои проблемы, иногда весьма непросто разрешаемые.

Начнем с мер и, соответственно, проблем правового характера.

Их достаточно много, но среди всего объема можно выделить несколько, с которыми, судя по материалам проверок Роскомнадзора и вопросам, задаваемым представителями банковской сферы на конференциях, семинарах и учебных курсах, можно выделить несколько крайне актуальных.

Первая связана с тем, что существенно изменив подход к обоснованию правовых оснований для обработки персональных данных и в целом укрепив позиции операторов в решении данной проблемы, новая редакция 152-ФЗ оставила, тем не менее, и массу вопросов для банков. Применительно к деятельности кредитно-финансовых учреждений, наряду с доказываемым, конкретным, информированным и сознательным согласием субъекта на обработку его персональных данных, законными основаниями для их обработки являются:

  • достижение целей, предусмотренных законом, осуществление и выполнение возложенных на оператора законодательством Российской Федерации функций, полномочий и обязанностей;
  • исполнение договора, стороной которого либо выгодоприобретателем, или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • предоставление субъектом персональных данных либо по его просьбе доступа неограниченного круга лиц к обрабатываемым данным;
  • требования федеральных законов об опубликовании или обязательном раскрытии персональных данных.

При оценке правомерности обработки персональных данных по каждому из этих оснований банки сталкиваются с серьезными трудностями.

Например, является ли допустимой обработка персональных данных определенных лиц без их согласия при оказании банковских услуг, правила которых установлены регулирующими органами и могут рассматриваться как выполнение банком возложенных на него законодательством Российской Федерации функций? Например, обработка персональных данных получателя денежного перевода, с которым у банка нет договора о предоставлении услуг?

Можно ли рассматривать как деятельность по осуществлению прав и законных интересов банка-оператора ведение истории отношений с клиентом в рамках реализации краеугольного правила мировой банковской системы «Знай своего клиента», или на их обработку после окончания договора банковского обслуживания надо получать отдельное согласие?

Необходимо ли получение выраженного согласия потенциального заемщика банка на обработку сведений, указанных в анкете-заявке на кредит, или она может рассматриваться как деятельность в целях заключения договора, инициатором которого является субъект?

Допустима ли передача третьим лицам сведений о заемщиках и поручителях, отказавшихся от выполнения или фактически не выполняющих обязательств по возврату кредита с целью взыскания долга или при уступке банком прав требования?

Если внимательно проанализировать деятельность банков с точки зрения обработки персональных данных, окажется, что в рамках выполнения своих функций, предусмотренных законом, банк вынужден получать данные большого количества физических лиц, которые в банк не обращались и, возможно, никогда обращаться не будут. К ним относятся, например, лица, в пользу которых заключен договор вклада до предъявления первого требования, держатели дополнительных банковских карт, лица, от чьего имени осуществляется оплата коммунальных и иных платежей, лица, имеющие право осуществлять от имени клиента распоряжения о перечислении и выдаче средств со счета, лица, имеющие право пользования банковскими ячейками, и другие.

Закон предусматривает всего два варианта поведения в таком случае – оповещение лица, чьи персональные данные получены не от него либо другим оператором, который сведения передает, либо самим банком – получателем сведений. При этом клиент банка, сообщивший персональные данные третьих лиц, как оператор рассматриваться не может. Да еще на эту проблему накладываются ограничения, связанные с обязанностью банка хранить банковскую тайну и предоставлять сведения, ее составляющие, только самим клиентам или их представителям.

Как показывает практика правоприменения, очевидных и бесспорных ответов на эти вопросы нет. Усугубляется ситуация тем, что различные органы власти занимают по этим вопросам совершенно разные позиции. Особенно это четко видно на примере отношения к цессии – уступке банкомправ требования долга с заемщика.

Роспотребнадзор уже само включение в договор кредитования согласия заемщика на передачу сведений о нем в «так называемые коллекторские агентства» (именно так они именуются практически во всех документах ведомства  Геннадия Онищенко), а не только передачу таких сведений без согласия должника, рассматривал как административное правонарушение в форме нарушения прав потребителя, и нещадно штрафовал за это банки при поддержке некоторых арбитражных судов, что и было изложено в письме Роспотребнадзора от 23.08.2011 № 01/10790-1-32. Первоначально поддержали в этом вопросе Роспотребнадзор и некоторые территориальные управления Роскомнадзора, привлекшие банки к ответственности за передачу персональных данных коллекторам.

Президиум Высшего арбитражного суда (ВАС) в Информационном письме № 146 от 13.09.2011 высказал несколько иную позицию по данному вопросу, указав, что, согласно ст. 382 ГК РФ, для перехода к другому лицу прав кредитора не требуется согласие должника, если иное не предусмотрено законом или договором, при этом в законодательстве отсутствует норма, которая бы устанавливала необходимость получения согласия заемщика-гражданина на уступку кредитной организации требований, вытекающих из кредитного договора.

И практика стала меняться вместе с линией ВАС. Уже в декабре 2011 года Управление Роскомнадзора по Ярославской области при проверке жалоб граждан на банки, предусмотревшие в договоре возможность уступки прав требования долга, отметило, что при анализе предоставленной информации противоправность действий банков не подтвердилась, так как в тексте договора с данными кредитными организациями присутствовал раздел о согласии клиента на передачу его персональных данных третьим лицам.

Немало вопросов вызывает правомерность обработки некоторых категорий сведений, особенно персональных данных специальных категорий и биометрических персональных данных, и даже сам вопрос отнесения сведений к той или иной категории.

Это касается сведений о состоянии здоровья работника, необходимых работодателю в связи с необходимостью оценки возможности выполнения им трудовых функций. Коллизии между ФЗ «О персональных данных» и Трудовым кодексом за прошедшие пять лет действия закона так и не разрешены.

Все эти годы горячие споры идут о правомерности отнесения к биометрическим персональным данным фотографических изображений человека, в том числе – размещенных в паспорте и его копиях.

С одной стороны, Роскомнадзор вроде бы однозначно высказал свою позицию в письме от 05.04.2010 № ПК- 05728, содержащем ответ на запрос одного из банков: «Фотография, на которой запечатлен человек, может являться носителем биометрических персональных данных при соответствии требованиям, установленным ГОСТ Р ИСО/МЭК 19794-5-2006». С другой стороны, его же территориальные подразделения продолжают привлекать к ответственности банки, снимающие и хранящие без согласия клиентов копии паспортов, изображения на которых далеки от ГОСТа.

В документах по проверке ОТП Банка отделением Роскомнадзора по Краснодарскому краю и Республике Адыгея в августе 2011 года отмечается, что ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита, что свидетельствует о его отсутствии и является нарушением требований ч. 1 ст.

11 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».

Аналогичные претензии к МПБ Идельбанк в Йошкар-Оле в феврале 2012 года были высказаны в ходе проверки банка прокуратурой города совместно с Управлением Роскомнадзора по Республике Марий Эл по заявлению одного из граждан. В ходе проверки было установлено, что сотрудники банковского учреждения при закрытии счета заявителя нарушили требования Федерального закона «О персональных данных»: при снятии ксерокопии паспорта гражданина они, не получив его согласия, изготовили с паспорта копию его фотографического изображения, а обработка этих персональных данных (видимо – биометрических) без согласия гражданина запрещена законом.

Все эти проблемы свидетельствуют о необходимости как совершенствования практики правоприменения законодательства и выработки надзорными органами и судами единых подходов к оценке тех или иных действий операторов и субъектов персональных данных, так и активного отстаивания банковскими организациями и их профессиональными объединениями общих позиций по спорным вопросам применения норм законодательства.

Виртуально, облачно и тревожно

Наибольшее же количество проблем у банков возникает при принятии технических мер защиты персональных данных в информационной инфраструктуре, направленных на выполнение требований, установленных законом и нормативными актами.

Причин для этого несколько.

Одна из главных кроется в том, что информационная система банка весьма сложна по архитектуре и составу технических средств, и вмешательство в нее с целью реализации мер защиты с использованием внешних, наложенных средств безопасности, иногда приводит к крайне негативным последствиям. Разработчики же автоматизированных банковских систем отнюдь не спешат реализовать все предусмотренные требования. Причин для этого несколько.

Создание полноценной системы информационной безопасности существенно усложняет программный продукт, повышает требования к производительности средств вычислительной техники и пропускной способности сетевого оборудования, к объему систем хранения данных, следовательно, повышает стоимость продукта (и, соответственно, стоимость совокупного владения системой) и приводит к выдвижению более жестких требований к аппаратной части. Активно используют российские банки и программные продукты зарубежного производства, производители которых на требования российского законодательства особо не ориентируются. Да и усложнять себе жизнь у вендоров нет законных оснований.

Упоминавшееся уже «Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн», утвержденноеПостановлением Правительства РФ от 17.11.2007 № 781, требует реализации требований по обеспечению безопасности информации только от разработчиков средств защиты информации, не говоря ни слова о требованиях к тем, кто разрабатывает прикладное программное обеспечение, изначально предназначенное для обработки персональных данных, такое, например, как автоматизированные банковские системы.

Поэтому вся тяжесть выполнения установленных правил обеспечения безопасности персональных данных ложится на эксплуатирующую организацию – банк, ставя перед ним весьма нетривиальные вопросы.

Осложняются они содержащейся в 152-ФЗ норме об обязательности применения средств защиты информации, прошедших процедуру оценки соответствия. За этим сложным термином скрывается обязательная сертификация средств защиты в системах сертификации ФСБ России и ФСТЭК России, причем расшифровка способа оценки соответствия дается в закрытом Постановлении Правительства от 15.05.2010 № 330.

Требование сертификации значительно сужает круг продуктов, которые могли бы быть использованы для нейтрализации угроз, актуальных для обрабатываемых банком персональных данных. Особенно непростым становится выполнение этих требований при применении технологий виртуализации, терминального доступа, облачной архитектуры, к которой проявляют все больший интерес банки, в первую очередь – небольшие, озабоченные проблемой снижения совокупной стоимости владения информационной инфраструктурой и содержания большого количество узкоспециализированных и дорогостоящих IT-специалистов, необходимых для эксплуатации всеусложняющихся современных информационных систем.

Непростым, поскольку пока в России отсутствуют руководящие документы, определяющие требования к средствам защиты виртуальных инфраструктур, систем терминального доступа, частных и публичных облаков. И еще потому, что западные компании, имеющие соответствующие наработки, совсем не спешат сертифицировать свои продукты в России. Почему – это отдельный разговор, но факт остается фактом.

И тогда практически единственным вариантом решения проблемы является обращение к продуктам отечественных производителей, многие из которых, в отличие от зарубежных, сертифицируют практически все свои средства защиты, и не только по функциональным требованиям, но и на предмет отсутствия в средствах защиты недекларированных возможностей, что совсем редкость для иностранных продуктов.

Одну из наиболее полных линеек продуктов для реализации установленных требований к защите персональных данных имеет российская компания «Код Безопасности». Их краткая характеристика и применимость для ИСПДн различных классов представлена в таблице 1.

Таблица 1

Проблемы реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и пути их преодоления

Кратко остановимся на нескольких примерах и сценариях применения в ИСПДн представляемых средств защиты информации.

Практически единственным сертифицированным в России средством обеспечения безопасности в виртуальной инфраструктуре на платформах VMware Infrastructure 3 или VMware vSphere 4.x и 5.x является vGate R2, реализующее защиту от несанкционированного доступа и контроль выполнения политик информационной безопасности. Продукт позволяет осуществлять мандатное управление доступом к элементам виртуальной инфраструктуры (виртуальным машинам и сетевым устройствам, системам хранения данных и др.), обеспечивает контроль целостности и доверенную загрузку как виртуальных машин, так и ESX-серверов, позволяет контролировать доступ администраторов виртуальной инфраструктуры к данным виртуальных машин и регистрировать события, связанные с информационной безопасностью, обеспечить централизованное управление и мониторинг.

Задача сегментирования информационной сети, которая возникает при попытке разбить ИСПДн на несколько частей с целью снижения класса каждой из составляющих, эффективно решается с применением распределенного межсетевого экрана TrustAccess, внедрение которого не требует модификации сетевой топологии.

При использовании в распределенной информационной системе банка (например, имеющего территориальные отделения и филиалы) в качестве транспорта сети Интернет задача безопасного межсетевого взаимодействия и создания VPN эффективно и достаточно просто решается с использованием семейства продуктов АПШ «Континент», сочетающего как криптошлюзы и межсетевые экраны высокой пропускной способности, так и аппаратные средства меньшей производительности и, соответственно, стоимости, и даже программные абонентские пункты, которые можно установить на отдельный ноутбук или рабочую станцию.

Недавно «Код Безопасности» анонсировал первый отечественный защищенный планшет «Континент Т-10» и абонентский пункт на платформе Android, реализующие российские криптографические алгоритмы, что позволит существенно повысить безопасность удаленного доступа к ресурсам организации, в том числе – в системах дистанционного банковского обслуживания.

Не имеет аналога среди сертифицированных решений продукт класса Endpoint – Security Studio Endpoint Protection, обеспечивающий комплексную защиту персональных данных на автоматизированных рабочих местах пользователей информационной сети банка и сочетающий в себе функции антивируса, антишпиона и антиспама, персонального межсетевого экрана, средства обнаружения вторжений, в том числе нераспознанных, уровня хоста и интегрируемый со знаменитым средством защиты от НСД – Secret Net. Для предотвращения новых, неизвестных атак, особенно на такие чувствительные элементы информационной системы, как базы данных, рекомендуется использовать Honeypot Manager, создающий ловушки для нарушителя, пытающегося получить доступ к защищаемым ресурсам.

Использование программных продуктов одного производителя позволяет избежать проблем совместимости средств защиты различных производителей, нередко возникающую при строительстве системы безопасности. Избегание «зоопарка» хороших, но не сочетающихся между собой продуктов, значительно упрощает анализ и обработку записей и сообщений о событиях безопасности и, в конечном итоге, позволяет построить систему безопасности персональных данных кредитно-финансового учреждения, отвечающую всем требованиям российского законодательства.

Случайно подобранные статьи:

Согласие на персональные данные. Согласие на обработку персональных данных


Статьи, которые будут вам интересны: