Защита персональных данных в банковских он-лайн системах. Защита персональных данных в банках

Вопросы о том, являются ли операторами персональных данных банки, бюро кредитных историй, коллекторские агентства, относятся ли автоматизированные банковские системы (АБС) и системы дистанционного банковского обслуживания (ДБО) к информационным системам персональных данных (ИСПДн), нуждаются ли они в аттестации или сертификации и т. п., уже не стоят. Ответы на них получены и от представителей регуляторов в области персональных данных (ФСБ, ФСТЭК, Россвязькомнадзор) и от банковского сообщества. Проблемы перешли в практическую плоскость -- что и как нужно делать, чтобы при работе с персональными данными выполнялись положения закона. До «экзаменов» совсем недолго -- к 1 января 2010 г. обработка данных в ИСПДн должна быть приведена в соответствие с требованиями законодательства.

Масштабы и границы

Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные данные, так и средств защиты информации. Именно поэтому нормативные документы регуляторов предусматривают лицензирование деятельности операторов персональных данных по технической защите конфиденциальной информации. Выходом для банковских учреждений, которые по тем или иным причинам не могут или не хотят получать лицензию, является заключение договора со специализированной организацией-лицензиатом на аутсорсинг услуг по технической защите персональных данных.

Независимо от того, кто будет выполнять работы по обеспечению безопасности обработки персональных данных, первые шаги оператора достаточно очевидны. Необходимо (1) выявить все информационные системы, обрабатывающие персональные данные (ИСПДн), (2) классифицировать все выявленные ИСПДн и (3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз.

При этом важно понимать, что определение границ ИСПДн и их классификация -- задачи неформальные, требующие понимания бизнес-процессов. Ключевыми моментами на этапе сбора и анализа исходных данных по ИСПДн являются определение целей обработки персданных и формирование перечня ПДн (определение состава сведений, отнесенных к такой категории).

Два примера.

Большинство крупных организаций, и банки здесь -- не исключение, имеют внутренние корпоративные порталы, содержащие, среди прочего, и справочную систему, в которой размещены сведения о сотрудниках с указанием их фамилии, имени, отчества, должности, номеров служебного телефона и кабинета, адреса электронной почты, в некоторых случаях -- и фотографии. При определении категории подобных персональных данных по методике совместного приказа ФСТЭК, ФСБ и Мининформсвязи РФ
от 13.02.2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» необходимо исходить из цели обработки данных -- идентификация сотрудников для установления контакта с ними (категория 3), а при оценке коэффициента, характеризующего количество обрабатываемых записей (Х НПД), в качестве параметра выбрать «персональные данные субъектов персональных данных в пределах конкретной организации». В этом случае справочная система будет относится к классу 3 (К3) типовых ИСПДн, даже если в организации работает более 1000 сотрудников.

Второй пример. При формировании перечня персональных данных для сегмента АБС, связанного с ведением кредитной истории клиента, перечень обрабатываемых персональных данных можно определить на основании ФЗ «О кредитных историях». Тогда к ПДн именно в этой ИСПДн будут относиться следующие сведения о заемщике:

• фамилия, имя, отчество;
• дата и место рождения;
• данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
• страховой номер индивидуального лицевого счета;
• места регистрации и фактического места жительства;
• сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

На этапе инвентаризации и классификации ИСПДн необходимо оценить необходимость и целесообразность отнесения ИСПДн к специальным системам, исходя их положений упомянутого выше совместного приказа и особенностей обработки данных в конкретной системе.

Формирование актуализированной модели угроз также является непростой и неформальной задачей. Есть мнение, что на данном этапе можно существенно снизить требования к безопасности и упростить систему защиты, признав большинство угроз неактуальными. Это не так. Актуализация угроз, безусловно, относится к полномочиям оператора, но не может выполняться произвольно. В ходе ее необходимо следовать методологии регуляторов, изложенной в нормативно-методических документах, и соблюдать установленные в них критерии оценки актуальности.

Правовые проблемы

Важной частью работы по приведению модели в соответствие с требованиями регуляторов является выявление и анализ законности оснований для обработки персональных данных, и, что особенно сложно, для передачи их 3-им лицам. Такими основаниями применительно к банкам являются:

• случаи, прямо предусмотренные федеральными законами;
• договор об оказании услуг физическому лицу;
• выполнение обязанностей работодателя по отношению к собственным работникам.

Договоры с физлицами должны содержать их прямое согласие на все случаи обработки данных, выходящие за пределы собственно оказания банковских услуг. Весьма сомнительными с юридической точки зрения выглядят положения договоров, предусматривающие передачу персональных данных в случаях, не предусмотренных законами, например: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, …, включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе … иным лицам , в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота» (выделено автором ). Нет в Федеральном законе такого основания передачи, как обычаи делового оборота.

Система безопасности ИСПДн банка

На основе исходных данных, указанных в акте классификации ИСПДн и актуализированной модели угроз, определяются механизмы безопасности, которые должны быть реализованы в системе защиты, и конкретные требования к функциональности этих механизмов.

Рассмотрим этот тезис на примере.

Для абсолютного большинства ИСПДн необходимо выполнение мероприятий по защите персданных от несанкционированного доступа (НСД) и иных неправомерных действий, включающих:

• Управление доступом;
• Регистрацию и учет;
• Обеспечение целостности;
• Контроль отсутствия недекларированных возможностей;
• Антивирусную защиту;
• Обеспечение безопасного межсетевого взаимодействия ИСПДн;
• Анализ защищенности;
• Обнаружение вторжений.

Подсистему управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации и регистрации (специальных, не входящих в ядро какой-либо ОС средств защиты самих ОС), электронных баз ПДн и прикладных программ, реализующих функции диагностики, регистрации, уничтожения, сигнализации, имитации.

В свою очередь, средства сигнализации должны обеспечивать предупреждения операторов при их обращении к защищаемым ПДн, а также предупреждения администратора об обнаружении фактов

• НСД к персональным данным;
• Искажения программных средств защиты;
• Выходе или выводе из строя аппаратных средств защиты;
• Других фактах нарушения штатного режима функционирования ИСПДн.

Такой же анализ должен быть проделан и при определении способов нейтрализации остальных актуальных угроз, на основании которого определяются сертифицированные средства защиты информации с требуемой функциональностью. Имеющихся в настоящее время сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных в нормативно-методических документах ФСТЭК и ФСБ, вопрос лишь в знании их возможностей и правильном сочетании.

Сегодня созданы все необходимые условия для выполнения требований по обеспечению безопасности персональных данных, и в оставшееся до 1 января 2010 г. время во всех кредитно-финансовых учреждениях требуется построить подсистему защиты этой категории сведений ограниченного доступа.

Джабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании ReignVox

Постоянная работа с огромными массивами клиентских данных требует от банка любого формата постоянной работы в области защиты этих данных.

Именно поэтому тема информационной безопасности, а вместе с ней и тема доверия, является особенно актуальной в финансовом секторе. Более того, требование защитить любые персональные данные, входящие в структуру информационной системы современной финансовой компании является и законодательно обоснованным – федеральный закон №152 «О персональных данных» совершенно четко обязывает каждую компанию, обрабатывающую эти данные, провести их защиту в строго определенные сроки. Как новые, так и уже существующие информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. Учитывая столь строго обозначенные временные рамки, у организаций, обрабатывающих такую информацию, остаётся все меньше времени, чтобы выполнить требования закона.

С чего следует начинать работу по защите персональных данных? На какие сроки работ рассчитывать? Кому поручить проведение работ? Какова средняя стоимость проекта и как минимизировать затраты? Все эти вопросы являются актуальными сегодня для любой компании, ведущей бизнес в финансовом секторе. Экспертные ответы на них позволяет дать обширный опыт компании ReignVox в области защиты персональных данных в финансовых структурах.

Жизнь в режиме обратного отсчета

Федеральный закон № 152 «О персональных данных» вступает в полную силу с 1 января 2011 года – более полугода впереди до обозначенного законотворцами срока. Но не стоит поддаваться обманчивому впечатлению об избытке времени.

Во-первых, внедрение проекта, направленного на выполнение требований по защите персональных данных, требует от четырех до шести месяцев в зависимости от его сложности. Но и эта цифра не окончательна - сроки могут увеличиться до шести-восьми месяцев за счет того периода, который банк потратит на выбор достойного интегратора для разработки и ведения проекта. Проведение такого типа работ своими силами чревато для банка потерей объективности на стадии обследования и анализа, существующих в нем средств защиты, а также необходимостью изыскать для данной работы отдельные трудовые ресурсы. В этом случае следует помнить и о таких факторах, как наличие подготовленных по тематике защиты персональных данных специалистов, необходимого объема нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных. Практика показывает, что обычно всем этим требованиям в комплексе отвечают именно сторонние интеграторы.

Во-вторых, возвращаясь к теме сроков, поставленных законом «О персональных данных» перед операторами данных (а о том, что банки как раз и являются такими операторами, вопрос уже не стоит в принципе), что бы там ни говорили об их «перенесении», первые проверки регуляторов уже имеют место быть. Вывод - вполне логичен: актуальность проблемы не просто сохранилась, она в разы возросла, и её решение становится насущной необходимостью.

«А ларчик просто открывался…»

Вокруг задачи по приведению ИСПДн в соответствие с положениями закона «О персональных данных» на протяжении последнего времени ведутся активные дискуссии, итог которых сводится в основном к одному: решение данной задачи весьма проблематично в силу совокупности её организационных и правовых особенностей. Такой вывод не вполне верен: практика применения требований по защите персональных данных, появившаяся в течение первого квартала 2010 года (в том числе и в банковской сфере), подтверждает понятность и интерпретируемость требований, предъявляемых к ИСПДн. Их формулирование, выполнение и документальное подтверждение последнего с минимальным риском каких-либо ошибок не столько сложно в своей реализации, сколько важно с точки зрения безопасности банковского бизнеса. Ещё более упрощает задачу возможность перепоручить её стороннему интегратору, чьи специалисты максимально оперативно и профессионально выполнят проект по защите персональных данных с учетом индивидуальных особенностей банковского бизнеса.

Таким образом, первоочередной задачей становится выбор компании-интегратора, которой и будет решено доверить ведение проекта.

«Типовой» = «Эксклюзивный»?

Такой знак равенства между данными взаимоисключающими друг друга понятиями имеет право на существование. Данное утверждение подкрепляется практическим опытом уже завершенных компанией ReignVox успешных проектов по защите персональных данных.

С одной стороны, каждый такой проект включает в себя стандартное количество этапов: этап обследования информационных систем персональных данных, этап проектирования системы защиты персональных данных, этап внедрения СЗПДн, этап оценки соответствия ИСПДн требованиям закона и этап поддержки созданной системы. Причем оценка соответствия ИСПДн, как этап, носит необязательный характер и проводится по усмотрению компании-заказчика. Равно как и этап поддержки созданной системы.

Типичность обычно заканчивается на первом этапе (этапе обследования информационных систем), так как именно он позволяет выявить и описать те требования, которые будут предъявлены в дальнейшем к системам . И эти параметры уже индивидуальны и ориентированы на каждого конкретного заказчика, оптимизированы в соответствии с его потребностями .

В ходе данного обследования анализируются информационные ресурсы, типовые решения, применяемые при построении IT-инфраструктуры, информационные потоки персональных данных, имеющиеся системы и средства защиты информации.

На этом же этапе разрабатывается модель угроз и нарушителя безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с использованием криптосредств.

Классическая схема проведения второго этапа включает в себя аудит нормативной базы и оценку её соответствия требованиям регуляторов. Его итогом становится разработка недостающих внутренних документов, а также разработка технического задания на разработку СЗПДн. На этом же этапе интегратор приступает к непосредственной разработке комплекса мероприятий по защите информации.

По окончанию этого этапа банк уже вполне способен успешно пройти проверку одного из регуляторов.

Суть третьего этапа сводится к внедрению систем и настройке существующих средств защиты. После тестирования, в случае необходимости, производится доработка комплекса технических и программных средств.

На каждом из описанных этапов перед компанией ReignVox , как перед интегратором, встают различные дополнительные задачи, обусловленные спецификой бизнеса, который ведет компания-заказчик ее размерами, инфраструктурой, активностью бизнес-процессов и многими другими пунктами. И из множества таких составляющих каждый раз складывается новая, индивидуально адаптированная концепция проекта по защите персональных данных.

«…и овцы целы»

Минимизация расходов, оптимизация бюджета, экономия – какое словосочетание ни подбери, суть останется одной – рациональный подход к использованию денежных ресурсов – именно он является вторым краеугольным камнем успешности финансовой структуры (после доверия, конечно же). А посему, стремление по возможности сократить расходы не в ущерб информационной безопасности является закономерным и вполне достижимым.

Стоимость среднестатистического типового проекта по созданию системы защиты персональных данных для банковской структуры составляет порядка 1,5 млн. руб. При расчете данной суммы учитывается и ряд принципов, следование которым позволяет сократить бюджет на создание системы защиты персональных данных.

В первую очередь мы стремимся максимально сохранить уже существующую в организации ИТ-инфраструктуру. Обычно говорят о двух полярных сценариях защиты ПДн. Первый – коренная переделка всех ИСПДн, а второй – формальный, заключающийся лишь в выпуске внутренних нормативных документов, без внесения каких-либо изменений в ИСПДн. Мы считаем оптимальным третий вариант, заключающийся именно в сохранении действующей ИТ-инфраструктуры банка, сопровождающейся видоизменением некоторых её элементов, добавлением новых, необходимых для обеспечения соответствия законодательству.

В данном случае речь идет о первом принципе, основанном на максимальном использовании существующих средств защиты информации при проектировании систем защиты информации. Средства защиты в любой компании применяются независимо от необходимости защиты персональных данных, это и системы антивирусной защиты, и встроенные средства контроля доступа операционной системы, и межсетевые экраны и многие другие средства. Поэтому максимальное количество требований закрывается существующими средствами защиты. И только в том случае, если какие-то требования не удовлетворяются текущими средствами защиты, необходимо закупить и внедрить дополнительные.

Второй принцип - принцип экономичного логического структурирования информационных систем персональных данных. Следуя этому принципу, в рамках внедрения проекта по защите персональных данных в банке, экономически обоснованным становится объединение нескольких систем, находящихся в одном помещении, в одну, в сочетании с понижением класса некритичных сегментов. Таким образом, создается ИСПДн «Центр обработки данных», защита в котором обеспечивается по периметру. Это позволяет в значительной мере минимизировать затраты на разделение потоков в рамках различных систем.

Принцип третий - защищаться только от актуальных угроз . При этом актуализация угроз описывается в обязательном для специальных систем документе, называющемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья вероятность низка, а ущерб при реализации – невелик.

При условии использования уже отработанных методик, задача по приведению ИСПДн любого банка в соответствие с требованиями законодательства в срок до 1 января 2011 года полностью реализуема. Для максимальной успешности внедрения подобных технологий в банковской сфере, все же необходимо помнить о комплексном подходе к работе над проектом. В данном случае имеется ввиду организация совместной работы специалистов самых различных подразделений – специалистов по IT-технологиям, по информационной безопасности и по управлению проектами, финансистов, юристов – гарантирующих соблюдение необходимого сбалансированности общего подхода к защите критичных данных в рамках финансовой структуры.

Справка: ReignVox – российская компания, специализирующаяся на инновационных проектах и разработках в области информационных технологий и обеспечении их информационной безопасности.

Целью создания компании является оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox является членом межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным членом «Инфокоммуникационного союза» (Infocommunication Union), а также членом Ассоциации региональных банков России.

Компания ReignVox обладает значительным опытом успешной реализации проектов по защите персональных данных в крупных коммерческих банках. В числе её клиентов НОТА-Банк, Внешэкономбанк, «ЦентроКредит», «Темпбанк», «Альта-Банк» и др.

Оценить:

контроль за исполнением необходимых правил. Список использованной литературы:

1. Федеральный закон «О банках и банковской деятельности»

2. www.Grandars.ru [Электронный ресурс] Режим доступа: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Дата обращения: 5.05.2016)

3. In-bank.ru [Электронный ресурс] Режим доступа: http://journal.ib-bank.ru/post/411 (Дата обращения: 5.05.2016)

Хлестова Дарья Робертовна

E-mail: popovkg@mail.ru

ОСОБЕННОСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКОВСКОЙ СФЕРЕ

Аннотация

В данной статье рассмотрены особенности защиты персональных данных клиента в банковской сфере. Перечислен ряд нормативно- правовых актов, на основе которого должна строиться система обработки и защиты персональных данных в банке. Выделен список мер для организации обеспечения безопасности данных в банковских учреждениях.

Ключевые слова

Персональные данные, обеспечение безопасности в банках, информационная безопасность,

защита персональных данных

Защита персональных данных в век информационных технологий стала особенно актуальной. Случаев, когда злоумышленники получают доступ к любой конфиденциальной информации, атакуя информационные системы организаций, становится всё больше. Несомненно, атаки не обходят стороной и банковскую сферу. Поскольку в банковских системах содержится большое число персональных данных клиентов, их безопасность должна находиться под пристальным вниманием государства и самих владельцев кредитно-финансовых учреждений.

Для начала стоит разобраться какие же персональные данные человека могут стать доступны банку, если он станет его клиентом. Итак, это обязательно: фамилия, имя и отчество; дата и место рождения; гражданство; место регистрации и фактического проживания; все данные паспорта (серия, номер, когда и кем выдан документ); номер мобильного и домашнего телефона; место работы, занимаемая должность. В большинстве случаев учреждения запрашивают у лица, и дополнительную информацию, но и без неё список данных, которые человек доверяет банку получается внушительным. Конечно, клиент надеется, что его персональные данные при обработке и хранении будут надежно защищены.

Для того чтобы кредитно-финансовые учреждения могли качественно организовать систему обработки и защиты персональных данных, необходимо обозначить перечень нормативно- правовых актов, на которые стоит опираться банку при работе с персональными данными клиентов: Конституция Российской Федерации- самый главный документ страны; Трудовой кодекс РФ; Гражданский кодекс и Уголовный кодекс РФ; федеральный закон № 152 «О персональных данных»; федеральный закон № 149 «Об

информации, информационных технологиях и о защите информации»; федеральный закон № 395-1 «О банках и банковской деятельности». Так же в банках при создании системы обработки и хранения персональных данных создаётся ряд локальных документов, обеспечивающий дополнительный контроль за работой с данными.

Банковская организация при получении от клиента его персональных данных принимает на себя обязанность проводить все организационно- технические мероприятия по защите, доверенной ему информации от несанкционированного доступа (случайного или преднамеренного), блокирования, модификации, уничтожения и иных противоправных действий. Стоит выделить ряд мер, для качественной организации обработки и защиты персональных данных в банках: назначение ответственных за обработку и обеспечение безопасности данных в информационной системе банка; осуществление мер контроля и ознакомление сотрудников с соответствующей нормативно- правовой базой и внутренними документами, на которых базируется система безопасности данных банка; определение угроз при обработке персональных данных в банке и мер их противодействию; оценка эффективности применяемых организационно-технических мер по обеспечению защиты данных, до введения системы защиты в эксплуатацию; учёт всех машинных носителей персональных данных; установление правил доступа к системе обработки и защиты для сотрудников; в случае выявления несанкционированного доступа к защищаемым данным принятие мер по ликвидации угрозы и восстановление утерянных данных. И обязательное мероприятие для банков с действующей системой хранения и защиты персональных данных клиента- постоянный контроль и совершенствование системы безопасности.

Таким образом, стоит отметить, что обработка, хранение и защита персональных данных в банках должна осуществляться на основании условий, определенных нормативно- правовой базой Российской Федерации. Каждая кредитно-финансовая организация должна: соблюдать принцип законности при организации защиты персональных данных своих клиентов; проводить полный комплекс мер по организационно- технической защите данных; при создании локальных документов, связанных с обеспечением информационной безопасности опираться на лучшие российские и международные практики в данной сфере; выполнять все требования контролирующих органов (ФСТЭК, Роскомнадзор, ФСБ) по обеспечению защиты персональных данных клиента.

Список использованной литературы:

1. Хлестова Д.Р., Попов К.Г. «К вопросу о правовых аспектах защиты персональных данных»

2. Федеральный закон «О банках и банковской деятельности»

3. Банк России [Электронный ресурс] Режим доступа: http://www.cbr.ru/ (Дата обращения: 06.05.2016)

©Хлестова Д.Р., Попов К.Г., 2016

Хлестова Дарья Робертовна

Студентка 2 курса ИУБП БашГУ, г. Уфа, РФ E-mail: dasha.hlestova@yandex.ru Попов Кирилл Геннадьевич к.э.н., доцент кафедры информационной безопасности БашГУ, г. Уфа, РФ

E-mail: popovkg@mail.ru

ДЕЛОВАЯ РАЗВЕДКА КАК НАИБОЛЕЕ ЛЕГАЛЬНЫЙ СПОСОБ ПОЛУЧЕНИЯ ИНФОРМАЦИИ

Аннотация

В статье рассмотрены методы деловой разведки. Также обосновано, почему деловая разведка является легальным родом деятельности в бизнесе. Выделенные основные принципы, которых стоит придерживаться,

ПОЛОЖЕНИЕ

о защите персональных данных

Клиентов (абонентов)

в ООО «Ортес-Финанс»

Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.

1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.11. Клиент (субъект персональных данных) - физическое лицо потребитель услуг ООО «Ортес-Финанс», далее «Организация».

1.12. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Ортес-Финанс»;

2. Общие положения.

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом 152-ФЗ "О персональных данных", иными федеральными законами.

2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В состав персональных данных Клиентов, в том числе входят:

3.1.1. Фамилия, имя, отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Место рождения.

3.1.6. Паспортные данные

3.1.7. Адрес электронной почты.

3.1.8. Номер телефона (домашний, сотовый).

3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Заявка на обследование о возможности подключения физического лица.

3.2.2. Договор (публичная оферта).

3.2.3. Подтверждение о присоединении к договору.

3.2.5. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.

3.2.6. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

4. Цель обработки персональных данных.

4.1. Цель обработки персональных данных - осуществление комплекса действий направленных на достижение цели, в том числе:

4.1.1. Оказание консультационных и информационных услуг.

4.1.2. Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.

4.1.3. В целях исполнения требований законодательства РФ.

4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональных данных:

5.1.1. Все персональные данные Клиента следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами РФ.

5.1.2. Согласие Клиента на использование его персональных данных хранится в Организации в бумажном и/или электронном виде.

5.1.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента с Организацией. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.

5.1.4. Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов.

5.1.5. Организация обязана сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.

5.1.6. Обработка персональных данных Клиентов без их согласия осуществляется в следующих случаях:

5.1.6.1. Персональные данные являются общедоступными.

5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных - Клиент.

5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

5.1.6.6. В иных случаях, предусмотренных законом.

5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.

5.2.3. Право доступа к персональным данным Клиента в Организации имеют:

 Генеральный директор Организации;

 Работники, ответственные за ведение финансовых расчетов (менеджер, бухгалтер).

 Работники Отдела по работе с Клиентами (начальник отдела продаж, менеджер).

 Работники IT (технический директор, системный администратор).

 Клиент, как субъект персональных данных.

5.2.3.1. Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Организации.

5.2.4. Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.5. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.

5.3. Защита персональных данных:

5.3.1. Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Клиента осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.

5.3.3. Организация при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

 Антивирусная защита.

 Анализ защищённости.

 Обнаружение и предотвращение вторжений.

 Управления доступом.

 Регистрация и учет.

 Обеспечение целостности.

 Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.

5.3.4. Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Организации.

5.3.5. Доступ к персональным данным Клиента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.

5.3.7. Процедура оформления доступа к персональным данным Клиента включает в себя:

 Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.

 Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

 Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.

 В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.

 При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

 В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Организации.

 При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.

 В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

5.3.9. Менеджер по кадровой работе обеспечивает:

 Ознакомление сотрудников под роспись с настоящим Положением.

 Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента (Соглашение о неразглашении) и соблюдении правил их обработки.

 Общий контроль за соблюдением сотрудниками мер по защите персональных данных Клиента.

5.3.10. Защита персональных данных Клиентов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

5.4. Хранение персональных данных:

5.4.1. Персональные данные Клиентов на бумажных носителях хранятся в сейфах.

5.4.2. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов.

5.4.3. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

5.4.4. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

 Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.

 Разграничением прав доступа с использованием учетной записи.

 Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

5.4.4.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.

5.4.4.2. Все электронные папки и файлы, содержащие персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Организации и сообщается Системному администратору.

5.4.4.3. Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.

5.4.5. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения Генерального директора Организации.

5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. Порядок блокировки и разблокировки персональных данных:

6.1.1. Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.

6.1.2. Блокировка персональных данных подразумевает:

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.4. Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.

6.1.4. Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.

6.1.5. Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

6.2. Порядок обезличивания и уничтожения персональных данных:

6.2.1. Обезличивание персональных данных Клиента происходит по письменному заявлению Клиента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.

6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту.

6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.

6.2.4. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

6.2.5. Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.

6.2.6. При уничтожении персональных данных Клиента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

6.2.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

6.2.8. Операция уничтожения персональных данных необратима.

6.2.9. Срок, после которого возможна операция уничтожения персональных данных Клиента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

7. Передача и хранение персональных данных

7.1. Передача персональных данных:

7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:

7.1.2.1. Не сообщать персональные данные Клиента в коммерческих целях.

7.1.2.2. Не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом РФ.

7.1.2.3. Предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлять передачу персональных данных Клиента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

7.1.2.6. Предоставлять доступ Клиента к своим персональным данным при обращении либо при получении запроса Клиента. Организация обязана сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

7.1.2.7. Передавать персональные данные Клиента представителям Клиента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

7.2. Хранение и использование персональных данных:

7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

7.2.2. Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК Генерального директора и работников, допущенных к обработке персональных данных Клиентов.

7.2.3. Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

7.3. Сроки хранения персональных данных:

7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.

7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном в Положении и действующем законодательстве РФ. (Приложение Акт об уничтожении персональных данных)

8. Права оператора персональных данных

Организация вправе:

8.1. Отстаивать свои интересы в суде.

8.2. Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

8.4. Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.

9. Права Клиента

Клиент имеет право:

9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.

Безопасность персональных данных в банке

Что такое персональные данные?

Согласно определению из федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Где находятся персональные данные?

Персональные данные (ПДн) в банке находятся в следующих системах:

Автоматизированная банковская система (АБС);

Системы Клиент-Банк;

Системы мгновенного перевода денег;

Бухгалтерские системы учета;

Кадровые системы учета;

Корпоративная информационная система;

Внутренний web-портал.

ПДн могут присутствовать на бумажных документах (договора, формы, приказы, инструкции, анкеты, соглашения и т.д.).

Какие документы устанавливают требования к защите персональных данных?

Федеральные законы

Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации»;

Постановления Правительства

Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства Российской Федерации № 957 от 29 декабря 2007 года «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

Постановление Правительства Российской Федерации № 687 от 15 сентября 2008 года «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ФСТЭК России

Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных».

ФСБ России

Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

Руководящий документ ФСБ России от 21 февраля 2008 г. №149/54-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

Руководящий документ ФСБ России от 21 февраля 2008 г. №149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

Стандарт Банка России

СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения»;

СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Аудит информационной безопасности»;

СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх»;

РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Руководство по самооценке соответствия информационной безопасности организаций банковской системы РФ требованиями СТО БР ИББС-1.0»;

РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ»;

РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ»;

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»).

Как нужно защищать персональные данные?

Согласно требованиям методических документов для защиты ПДн, общим для всех видов ИСПДн, являются следующие подсистемы:

Подсистема контроля доступа;

Подсистема регистрации и учета;

Подсистема обеспечения целостности;

Подсистема межсетевой безопасности.

Если ИСПДн подключена к сети Интернет, то необходимо дополнительно использовать следующие подсистемы:

Подсистема антивирусной безопасности;

Подсистема обнаружения вторжений;

Подсистема анализа защищенности.

Также необходимо использовать электронные замки и/или электронные ключи для надежной идентификации и аутентификации пользователей.

Если ИСПДн является распределенной дополнительно для предотвращения несанкционированного доступа, путем отделения защищаемой информации от общедоступной, необходимо использовать криптографию при передаче ПДн по незащищенным каналам связи, а также, ЭЦП, для подтверждения подлинности данных.

Такая разбивка на подсистемы и формирование на их основе перечня продуктов для защиты ПДн является общепринятой и используется в большинстве случаев.

От чего необходимо защищать персональные данные?

Если задачей является обеспечение только конфиденциальности ПДн, необходимо осуществлять мероприятия и/или использовать технические средства, направленные на предотвращения несанкционированного доступа, то такая ИСПДн становится типовой.

Если дополнительно предъявляются требования по обеспечению других свойств информационной безопасности, таких как обеспечение целостности, доступности, а также их производных (неотказуемость, подотчетность, адекватность, надежность и др.), то такая ИСПДн становится специальной. В большинстве случаев любая ИСПДн будет являться специальной, то есть помимо классов ПДн для определения механизмов защиты нужно руководствоваться создаваемой для этого моделью угроз.

Как уменьшить класс ПДн?

Для того чтобы уменьшить и упростить мероприятия по защите ПДн, Банки идут на различные ухищрения. Ниже я привожу наиболее типичные способы, позволяющие уменьшить стоимость средств защиты. Однако, сама по себе такая «перекройка» информационных систем Банка является довольно сложной и трудоёмкой задачей.

Уменьшение количества площадок

Как было показано выше, если ИСПДн является распределенной, то к её защите предъявляются повышенные требования, чтобы их уменьшить нужно попытаться уйти от распределенных ИСПДн.

При распределенной ИСПДн ПДн находятся на различных площадках, ПДн передаются по неконтролируемым Банком каналам связи, а в общем случае это означает, что ПДн выходят или покидают контролируемую зону. Тогда, прежде всего, необходимо локализовать ПДн, уменьшив количество площадок, на которых они будут находиться. В некоторых случаях это реально, но если рассматривать АБС, то такой возможности, скорее всего, не будет.

Уменьшение количества серверов

Если ИСПДн является локальной, то есть функционирует в пределах локальной сети Банка, то наиболее простым способом уменьшения стоимости затрат на защиту будет являться уменьшение количества серверного оборудования, на которых присутствуют и/или обрабатываются ПДн.

Уменьшение количества АРМ и персонала

При любом типе ИСПДн (в виде АРМ, локальной, распределенной) конечной обработкой ПДн, как правило, занимается персонал Банка. Если не использовать терминальный доступ, о котором будет сказано ниже, имеет смысл уменьшить количество персонала Банка, занимающегося обработкой ПДн или имеющего к ним доступ.

Разделение ИС при помощи МСЭ

Для того чтобы уменьшить количество ПДн, а значит и уменьшить стоимость средств защиты, хорошим способом является разделение информационных сетей на сегменты, в которых ведется обработка ПДн. Для этого необходимо установить и использовать межсетевые экраны, к портам которых следует подсоединить сегменты с ПДн. Часто всё серверное оборудование расположено в демилитаризованной зоне, то есть в сегментах отделенных от общедоступных и банковских сетей межсетевыми экранами. Этот способ также требует существенной «перекройки» информационных сетей. Существует метод, основанный на, так называемом, «линейном шифровании», то есть шифровании канала клиент-клиент, клиент-сервер, сервер-сервер. Такое шифрование сетевого трафика может быть реализовано как при использовании специальных средств защиты, так и при использовании стандартной технологии IPSec, однако она не является сертифицированной ФСБ России, что является её существенным минусом.

Другим способом разделения ИСПДн в масштабах всей сети могла бы стать технология виртуальных сетей – VLAN, однако фактически VLAN это лишь идентификатор в одном из полей сетевого пакета, что позволяет говорить о данной технологии как об «айтишной». Поэтому разделение сетей при помощи VLAN не освобождает от использования технологий защиты информации.

Деление баз данных на части

Предположим, что есть база данных, состоящая из тысячей записей: Ф.И.О. и сумма вклада.

Создадим две другие базы данных. Введем дополнительный уникальный идентификатор. Разделим таблицу на две части, в первую поместим поля Ф.И.О и идентификатор, в другую идентификатор и сумму вклада.

Таким образом, если каждый сотрудник может обрабатывать только одну из этих новых баз данных, то защита ПДн существенно упрощается, если не сводится на нет. Очевидно, что ценность такой базы данных существенно ниже, чем исходной. Обе же базы данных будут находиться на наиболее защищенном сервере. В реальности, полей в базе данных гораздо больше, однако данный принцип может работать практически в каждом случае, т.к. количество значимых с точки зрения безопасности ПДн полей не так уж и велико, а скорее весьма ограничено. В предельном случае можно хранить ключевые соответствия на ПК, не входящем в локальную сеть или даже не использовать автоматизированную обработку.

Обезличивание ПДн

Согласно определению из 152-ФЗ, обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн. Из этого определения следует серия способов, при помощи которых можно получить ПДн, по которым невозможно определить принадлежность ПДн. Например, если для целей обработки не важны точные данные определенных полей, их можно или не отображать, или отображать лишь диапазоны, в которые они попадают. Например, возраст 20-30, 30-40 и т.д. Адрес можно «округлить» до района, округа или города: Царицыно, Южный, Москва. В зависимости от необходимости, процесс обезличивания ПДн может быть обратимым или необратимым. К необратимому относятся вышеперечисленные способы «округления», а к обратимому, например, шифрование. С моей точки зрения шифрование (кодирование) может являться способом обезличивания данных и должно применяться для этих целей.

«Тонкие клиенты» и терминальный доступ

Использование технологий «тонкого клиента» и соответствующей ей технологии терминального доступа на серверах позволяет существенно снизить требования к защите ПДн. Дело в том, что при использовании «тонких» клиентов» и терминального доступа на ПК сотрудников Банка не нужно устанавливать специализированное ПО, такое как клиентские части баз данных, клиентские части АБС, и т.д. Более того, на ПК сотрудников Банка не нужно устанавливать никакие специальные средства защиты. Данные технологии позволяют отображать на своем рабочем месте информацию из баз данных, хранящихся на серверах и осуществлять управление обработкой ПДн. Эти технологии априори являются безопасными, т.к. терминальными политиками легко ограничить возможности конечных клиентов (персонала Банка) по копированию, а значит и распространению ПДн. Канал связи между серверами и ПК с «тонким клиентом» легко поддается шифрованию, то есть простыми способами можно обеспечить конфиденциальность передаваемых данных.

Скорость же потенциальных утечек данных будет ограничиваться лишь визуальным каналом, что определяется скоростью фотоаппарата или видеокамеры, однако при введении специальных организационных мероприятий такое копирование становится весьма затруднительным.

Чем можно защитить персональные данные?

В широком смысле под обеспечением защиты от несанкционированного доступа понимается комплекс организационных и технических мероприятий. Эти мероприятия основываются на понимании механизмов предотвращения несанкционированного доступа на самых разных уровнях:

Идентификация и аутентификация (также двухфакторная или строгая). Это может быть (операционная система, инфраструктурное ПО, прикладное ПО, аппаратные средства, например электронные ключи);

Регистрация и учет. Это может быть журналирование (логирование, протоколирование) событий во всех вышеперечисленных системах, ПО и средствах);

Обеспечение целостности. Это может быть расчет по контрольным суммам контролируемых файлов, обеспечение целостности программных компонент, использование замкнутой программной среды, а также обеспечение доверенной загрузки ОС);

Межсетевой экран, как шлюзовой, так и локальный;

Антивирусная безопасность(применяется до трех уровней обороны, так называемый эшелонированный или мультивендорный подход);

Криптография (функционально применяется на разных уровнях модели OSI (сетевой, транспортный и выше), и обеспечивает различный защитный функционал).

Есть несколько комплексных продуктов, имеющих развитый НСД функционал. Все они отличаются типами применения, поддержкой оборудования, ПО и топологией реализации.

При распределенной или имеющей подключение к сети общего пользования (Интернет, Ростелеком и др.) ИСПДн применяются продукты анализа защищенности (MaxPatrol от ПозитивТехнолоджис, которая не имеет прямых конкуретнов в РФ), а также обнаружение и предотвращение вторжений (IDS/IPS) – как на уровне шлюза, так и на уровне конечного узла.

Как можно передавать персональные данные?

Если ИСПДн является распределенной, это означает необходимость передавать ПДн по незащищенным каналам связи. К слову сказать, к незащищенному каналу также относится и «воздушный». Для защиты ПДн в каналах связи могут использоваться различные способы:

Шифрование канала связи. Может обеспечиваться любым способом, таким как VPN между шлюзами, VPN между серверами, VPN между рабочими станциями (InfoTecs ViPNet Custom, Информзащита АПКШ Континент и др.);

Пакетная коммутация MPLS. Передача пакетов происходит по различным путям в соответствии с метками, которые присваиваются сетевым оборудованием. Например, MPLS-сеть Ростелеком имеет сертификат соответствия сети пакетной коммутации требованиям информационной безопасности ФСТЭК России, что является гарантией высокой защищенности услуг, предоставляемых на ее основе;

Шифрование документов. Может применяться различное программное обеспечение для шифрования файлов с данными, а также файлы-контейнеры (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt и др.);

Шифрование архивов. Могут применяться различные архиваторы, которые позволяют архивировать и шифровать файлы, используя криптостойкие алгоритмы, такие как AES. (WinRAR, WinZIP, 7-ZIP и др.).

Нужно ли использовать сертифицированные средства защиты?

На сегодняшний день есть единственное требование ФСТЭК России в части сертификации средств защиты ПДн. Требование касается обеспечения 4 уровня недекларированных возможностей, поэтому по последнему вопросу приведу лишь три тезиса:

Система сертификации средств защиты добровольная;

Достаточно выполнить требования законодательства;

Сертифицировать информационную систему персональных данных в целом не нужно.

Шауро Евгений