Защита персональных данных в банковском деле: тонкости и советы

Защита персональных данных в банковском деле: тонкости и советы

Ещё Григорий Остер говорил, что есть ситуации, когда нужно давать не полезные, а вредные советы. Люди все сделают наоборот, и получится как раз правильно. Вот и мы попробуем. В этой рубрике мы будем предлагать материалы, разборы, трактовки, альтернативные пути реализации «проблемных» регуляторных требований по ИБ. Начнём с тех, которые выберем на своё усмотрение, а дальше надеемся, будут поступать и вопросы от читателей.

Защита персональных данных в банковском деле: тонкости и советы

В каких случаях банки обязаны использовать сертифицированные СКЗИ при передаче ПДн по каналам связи общего пользования, а в каких этого можно не делать?

Что вы точно должны по законодательству:

Подпункт 13 г), включая ссылки на него из пунктов 14, 15, 16, Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в соответствии с частью 3 статьи 19 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ устанавливает необходимость использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Статья 19 часть 4 Федерального закона «О персональных данных» от 27.07.2006№152-ФЗ определяет, что состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии требований к защите персональных данных (далее – ПДн) устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК и ФСБ России), в пределах их полномочий.

По линии ФСТЭК:

В соответствии с требованиями ЗИС.3 Приказа ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказа ФСТЭК России от 11.02.2013  №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», должна обеспечиваться защита ПДн от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

Защита персональных данных в банковском деле: тонкости и советы

Здесь надо отметить, что ФСТЭК поддерживает тенденцию регуляторов задавать базовый набор требований ИБ, который организация при разумном формализованном обосновании вправе адаптировать к своей технологической и экономической специфике.

Т.е. если по всей форме разработать и утвердить у руководства банка обоснование, почему выполнить это требование технически невозможно или экономически нецелесообразно, но применить компенсационные меры, направленные на минимизацию вероятности или потерь от реализации соответствующих угроз. Более жёсткий сценарий —  вообще принять регуляторные и операционные риски, связанные с невыполнением этих требований, но тогда надо быть готовым к возможным последствиям согласно части 6 (и части 2 в некоторых случаях) статьи 13.12, части 1 статьи 19.5 КоАП РФ, а также перспективам возмещать клиентам средства, если угрозы безопасности реализуются, и клиент обратится в суд. Если банк оценивает совокупные затраты на выполнение требования регулятора меньше возможных потерь от реализации угроз от его невыполнения, то риск скорее всего будет обработан именно путём принятия.

По линии ФСБ:

Пункт 2 «Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденных руководством 8 Центра ФСБ России 31.03.2015 № 149/7/2/6-432, указывает, что использование средств криптографической защиты информации для обеспечения безопасности ПДн необходимо, если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, в этом же пункте отнесена передача ПДн по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования).

Кроме того в том же пункте указано, что для обеспечения безопасности ПДн при их обработке в информационных системах должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

В силу Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15.05.2010 №330, на которое ссылается Информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701, оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств, в которых они реализованы, а также средств контроля эффективности защиты информации, используемых в целях защиты государственного информационного ресурса и (или) ПДн, осуществляется в форме обязательной сертификации.

ФСБ даёт рекомендации. Для кого они обязательны?

Указанные Методические рекомендации согласно разделу Введение предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Закона, в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке ПДн в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учётом содержания ПДн, характера и способов их обработки.

Защита персональных данных в банковском деле: тонкости и советы

Во Введении также указано, что настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам ИСПДн, принявшим решение об использовании СКЗИ для обеспечения безопасности ПДн.

Если банк не подпадает под указанные выше условия и(или) решения об использовании СКЗИ для обеспечения безопасности ПДн не принимал, Методические рекомендации для него не являются обязательным к исполнению документом, а соответственно и пункт 2 Методических рекомендаций не является обязательным к выполнению в банке.

А как быть, если персональные данные обрабатываются в платёжной системе (например, ДБО)?

Если передача ПДн осуществляется системой, выполняющей банковский платежный технологический процесс, то в соответствии с действующим законодательством Российской Федерации и требованием Б.3 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» банк устанавливает критерии отнесения автоматизированных информационных систем к ИСПДн банка. При этом Банком России в пункте 7.10.3 СТО БР ИББС-1.0-2014 дана рекомендация не относить к ИСПДн системы, реализующие банковский платежный технологический процесс. Весомость этого аргумента усилится, если в своё время банк ввел у себя комплекс стандартов Банка России приказом («присоединился» к стандарту).

Защита персональных данных в банковском деле: тонкости и советы

Система, выполняющая банковский платежный технологический процесс, попадёт в область действия Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно пункту 2.9.1 Положения №382-П, только в случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа. Там же указано, что обеспечение защиты ПДн с помощью СКЗИ должно осуществляться в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

В соответствии с пунктом 16 с учётом ссылки из него на пункт 5г Приказа №378 для защиты ПДн при их обработке в ИСПДн необходимо использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Этот пункт снова приводит нас к Методическим рекомендациям, о применимости которых было сказано выше.

 

Защита персональных данных в банковском деле: тонкости и советыВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *