Безпека персональних даних у банку
Що таке особисті дані?
Згідно з визначенням з федерального закону, персональні дані - будь-яка інформація, що відноситься до певної або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних), в тому числі його прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи, інша інформація.
Де є персональні дані?
Персональні дані (ПДн) у банку перебувають у таких системах:
Автоматизована банківська система (АБС);
Системи Клієнт-Банк;
Системи миттєвого переказу грошей;
Бухгалтерські системи обліку;
Кадрові системи обліку;
Корпоративна інформаційна система;
Внутрішній веб-портал.
ПДн можуть бути присутніми на паперових документах (договори, форми, накази, інструкції, анкети, угоди тощо).
Які документи встановлюють вимоги щодо захисту персональних даних?
Федеральні закони
Федеральний закон № 149-ФЗ від 27 липня 2006 року інформаційних технологійта захисту інформації»;
Постанови Уряду
Постанова Уряду Російської Федерації № 781 від 17 листопада 2007 року «Про затвердження положення про забезпечення безпеки персональних даних під час їх обробки інформаційних системахперсональних даних»;
Постанова Уряду Російської Федерації № 957 від 29 грудня 2007 року "Про затвердження положень про ліцензування окремих видів діяльності, пов'язаних із шифрувальними (криптографічними) засобами";
Постанова Уряду Російської Федерації № 687 від 15 вересня 2008 року "Про затвердження положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації".
ФСТЕК Росії
Спільний наказ ФСТЕК Росії, ФСБ Росії та Мінінформзв'язку Росії від 13 лютого 2008 р. № 55/86/20 "Про затвердження порядку проведення класифікації інформаційних систем персональних даних";
Керівний документ ФСТЕК Росії «Базова модель загроз безпеки персональних даних під час їх обробки у інформаційних системах персональних даних»;
Керівний документ ФСТЕК Росії «Методика визначення актуальних загроз безпеці персональних даних під час їхньої обробки в інформаційних системах персональних даних»;
Наказ ФСТЕК Росії від 5 лютого 2010 р. № 58 «Про затвердження положення про методи та засоби захисту інформації в інформаційних персональних даних».
ФСБ Росії
Наказ ФАПСІ від 13 червня 2001 р. № 152 «Про затвердження інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницю»;
Наказ ФСБ РФ від 9 лютого 2005 р. № 66 «Про затвердження положення про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (становище ПКЗ-2005)»;
Керівний документ ФСБ Росії від 21 лютого 2008 р. №149/54-144 « Методичні рекомендаціїщодо забезпечення за допомогою криптосредств безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів автоматизації»;
Керівний документ ФСБ Росії від 21 лютого 2008 р. №149/6/6-622 «Типові вимоги щодо організації та забезпечення функціонування шифрувальних (криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю, у разі їх використання забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних»;
Стандарт Банку Росії
СТО БР ІББС-1.0-2010 «Забезпечення інформаційної безпекиорганізацій банківської системи РФ. Загальні положення";
СТО БР ІББС-1.1-2007 «Забезпечення інформаційної безпеки організацій банківської системи РФ. Аудит інформаційної безпеки»;
СТО БР ІББС-1.2-2010 «Забезпечення інформаційної безпеки організацій банківської системи РФ. Методика оцінки відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР ІББС-1.0-20хх»;
РС БР ІББС-2.0-2007 «Забезпечення інформаційної безпеки організацій банківської системи РФ. Методичні рекомендації щодо документації у сфері забезпечення інформаційної безпеки відповідно до вимог СТО БР ІББС-1.0»;
РС БР ІББС-2.1-2007 «Забезпечення інформаційної безпеки організацій банківської системи РФ. Посібник із самооцінки відповідності інформаційної безпеки організацій банківської системи РФ вимогами СТО БР ІББС-1.0»;
РС БР ІББС-2.3-2010 «Забезпечення ІБ організацій банківської системи РФ. Вимоги щодо забезпечення безпеки персональних даних в інформаційних системах персональних даних організацій банківської системи РФ»;
РС БР ІББС-2.4-2010 «Забезпечення ІБ організацій банківської системи РФ. Галузева приватна модель загроз безпеці персональних даних під час їхньої обробки в інформаційних системах ПД організацій банків банківської системи РФ»;
Методичні рекомендації щодо виконання законодавчих вимог при обробці персональних даних в організаціях БС РФ, розроблені спільно Банком Росії, АРБ та Асоціацією регіональних банків Росії (Асоціацією «Росія»).
Як слід захищати персональні дані?
Відповідно до вимог методичних документів для захисту ПДН, загальним для всіх видів ІСПДН, є такі підсистеми:
Підсистема контролю доступу;
Підсистема реєстрації та обліку;
Підсистема забезпечення цілісності;
Підсистема міжмережевої безпеки.
Якщо ІСПДн підключено до мережі Інтернет, необхідно додатково використовувати наступні підсистеми:
Підсистема антивірусної безпеки;
Підсистема виявлення вторгнень;
Підсистема аналізу захищеності.
Також необхідно використовувати електронні замки та/або електронні ключі для надійної ідентифікаціїта аутентифікації користувачів.
Якщо ІСПДн є розподіленою додатково для запобігання несанкціонованого доступу, шляхом відділення інформації, що захищається від загальнодоступної, необхідно використовувати криптографію при передачі ПДн незахищеними каналами зв'язку, а також, ЕЦП, для підтвердження справжності даних.
Така розбивка на підсистеми та формування на їх основі переліку продуктів для захисту ПДН є загальноприйнятою та використовується у більшості випадків.
Від чого потрібно захищати персональні дані?
Якщо завданням є забезпечення лише конфіденційності ПДН, необхідно здійснювати заходи та/або використовувати технічні засоби, спрямовані на запобігання несанкціонованому доступу, то така ІСПД стає типовою.
Якщо додатково пред'являються вимоги щодо забезпечення інших властивостей інформаційної безпеки, таких як забезпечення цілісності, доступності, а також їх похідних (невідмовність, підзвітність, адекватність, надійність та ін), то така ІСПД стає спеціальною. У більшості випадків будь-яка ІСПДн буде спеціальною, тобто крім класів ПДн для визначення механізмів захисту потрібно керуватися створюваною для цього моделлю загроз.
Як зменшити клас ПДН?
Для того щоб зменшити та спростити заходи щодо захисту ПДН, Банки йдуть на різні хитрощі. Нижче наводжу найбільш типові способи, що дозволяють зменшити вартість засобів захисту. Однак, саме по собі таке «перекроювання» інформаційних систем Банку є досить складним та трудомістким завданням.
Зменшення кількості майданчиків
Як було показано вище, якщо ІСПДн є розподіленою, то до її захисту пред'являються підвищені вимоги, щоб їх зменшити потрібно спробувати уникнути розподілених ІСПДн.
При розподіленій ІСПДн ПДн знаходяться на різних майданчиках, ПДн передаються по неконтрольованих Банком каналах зв'язку, а в загальному випадку це означає, що ПДн виходять або залишають контрольовану зону. Тоді, перш за все, необхідно локалізувати ПДН, зменшивши кількість майданчиків, на яких вони будуть. У деяких випадках це реально, але якщо розглядати АБС, то такої можливості швидше за все не буде.
Зменшення кількості серверів
Якщо ІСПД є локальною, тобто функціонує в межах локальної мережі Банку, то найбільш простим способом зменшення вартості витрат на захист буде зменшення кількості серверного обладнання, на яких присутні та/або обробляються ПДн.
Зменшення кількості АРМ та персоналу
За будь-якого типу ІСПДн (у вигляді АРМ, локальної, розподіленої) кінцевою обробкою ПДН, як правило, займається персонал Банку. Якщо не використовувати термінальний доступ, про який буде сказано нижче, має сенс зменшити кількість персоналу Банку, який займається обробкою ПДН або має доступ до них.
Поділ ІС за допомогою МСЕ
Для того, щоб зменшити кількість ПДн, а значить і зменшити вартість засобів захисту, гарним способомє поділ інформаційних мережна сегменти, у яких ведеться обробка ПДН. Для цього необхідно встановити та використовувати міжмережові екрани, до портів яких слід приєднати сегменти з ПДН. Часто все серверне обладнання розташоване в демілітаризованій зоні, тобто в сегментах відокремлених від загальнодоступних та банківських мереж міжмережевими екранами. Цей спосіб також вимагає суттєвого «перекроювання» інформаційних мереж. Існує метод, заснований на так званому «лінійному шифруванні», тобто шифруванні каналу клієнт-клієнт, клієнт-сервер, сервер-сервер. Таке шифрування мережного трафіку може бути реалізовано як при використанні спеціальних засобів захисту, так і при використанні стандартної технології IPSec, однак вона не є сертифікованою ФСБ Росії, що є істотним її мінусом.
Іншим способом поділу ІСПД в масштабах всієї мережі могла б стати технологія віртуальних мереж– VLAN, проте фактично VLAN це лише ідентифікатор в одному з полів мережного пакета, що дозволяє говорити про цю технологію як про «айтішну». Тому розподіл мереж за допомогою VLAN не звільняє від використання технологій захисту інформації.
Розподіл баз даних на частини
Припустимо, що є база даних, що складається з тисячі записів: П.І.Б. та сума вкладу.
Створимо дві інші бази даних. Введемо додатковий унікальний ідентифікатор. Розділимо таблицю на дві частини, в першу помістимо поля П.І.Б та ідентифікатор, в іншу ідентифікатор та суму вкладу.
Таким чином, якщо кожен співробітник може обробляти лише одну з цих нових баз даних, то захист ПДН суттєво спрощується, якщо не зводиться нанівець. Очевидно, що цінність такої бази даних суттєво нижча, ніж вихідна. Обидві ж бази даних будуть на найбільш захищеному сервері. Насправді полів у базі даних набагато більше, однак даний принципможе працювати майже кожному разі, т.к. кількість значущих з погляду безпеки ПДн полів не така вже й велика, а скоріше дуже обмежена. У граничному випадку можна зберігати ключові відповідності на ПК, що не входить до локальну мережуабо навіть не використовувати автоматизовану обробку.
Знеособлення ПДН
Відповідно до визначення з 152-ФЗ, знеособлення ПДН – дії, у яких неможливо визначити належність ПДн конкретному суб'єкту ПДн. З цього визначення випливає серія способів, з яких можна отримати ПДн, якими неможливо визначити належність ПДн. Наприклад, якщо для цілей обробки не важливі точні дані певних полів, їх можна або не відображати або відображати лише діапазони, в які вони потрапляють. Наприклад, вік 20-30, 30-40 і т.д. Адресу можна «округлити» до району, округу або міста: Царицино, Південний, Москва. Залежно від необхідності процес знеособлення ПДн може бути оборотним або незворотним. До незворотного належать перераховані вище способи «округлення», а до оборотного, наприклад, шифрування. З моєї точки зору, шифрування (кодування) може бути способом знеособлення даних і повинно застосовуватися для цих цілей.
«Тонкі клієнти» та термінальний доступ
Використання технологій «тонкого клієнта» і відповідної технології термінального доступу на серверах дозволяє істотно знизити вимоги до захисту ПДн. Справа в тому, що при використанні «тонких» клієнтів та термінального доступу на ПК співробітників Банку не потрібно встановлювати спеціалізоване ПЗ, таке як клієнтські частини баз даних, клієнтські частини АБС і т.д. Більше того, на ПК співробітників Банку не потрібно встановлювати жодні спеціальні засобизахисту. Дані технології дозволяють відображати на своєму робочому місці інформацію з баз даних, що зберігаються на серверах та здійснювати управління обробкою ПДН. Ці технології апріорі безпечні, т.к. термінальними політиками легко обмежити можливості кінцевих клієнтів (персоналу Банку) з копіювання, отже, і поширення ПДн. Канал зв'язку між серверами та ПК з « тонким клієнтом» легко піддається шифруванню, тобто простими способамиможна забезпечити конфіденційність переданих даних.
Швидкість потенційних витоків даних обмежуватиметься лише візуальним каналом, що визначається швидкістю фотоапарата або відеокамери, проте при введенні спеціальних організаційних заходів таке копіювання стає дуже скрутним.
Чим можна захистити особисті дані?
У широкому значенні під забезпеченням захисту від несанкціонованого доступу розуміється комплекс організаційних та технічних заходів. Ці заходи ґрунтуються на розумінні механізмів запобігання несанкціонованому доступу на самих різних рівнях:
Ідентифікація та аутентифікація (також двофакторна або строга). Це може бути ( операційна система, інфраструктурне ПЗ, прикладне ПЗ, апаратні засоби, наприклад електронні ключі);
Реєстрація та облік. Це може бути журналування (логування, протоколювання) подій у всіх перерахованих вище системах, ПЗ та засобах);
Забезпечення цілісності. Це може бути розрахунок за контрольним сумамконтрольованих файлів, забезпечення цілісності програмних компонент, використання замкнутої програмного середовища, а також забезпечення довіреного завантаженняОС);
Міжмережевий екран, як шлюзовий, і локальний;
Антивірусна безпека (застосовується до трьох рівнів оборони, так званий ешелонований або мультивендорний підхід);
Криптографія (функціонально застосовується на різних рівнях моделі OSI (мережевий, транспортний та вище), та забезпечує різний захисний функціонал).
Існує кілька комплексних продуктів, що мають розвинений НСД функціонал. Всі вони відрізняються типами застосування, підтримкою обладнання, ПЗ та топологією реалізації.
При розподіленій мережі, що має підключення до мережі загального користування(Інтернет, Ростелеком та ін.) ІСПДн застосовуються продукти аналізу захищеності (MaxPatrol від ПозитивТехнолоджис, яка не має прямих конкурентів у РФ), а також виявлення та запобігання вторгненням (IDS/IPS) – як на рівні шлюзу, так і на рівні кінцевого вузла .
Як можна передавати персональні дані?
Якщо ІСПДн є розподіленою, це означає необхідність передавати ПДН незахищеними каналами зв'язку. До речі, до незахищеного каналу відноситься і «повітряний». Для захисту ПДн у каналах зв'язку можуть використовуватись різні способи:
Шифрування каналу зв'язку. Може забезпечуватися будь-яким способом, таким як VPN між шлюзами, VPN між серверами, VPN між робочими станціями (InfoTecs ViPNet Custom, Інформзахист АПКШ Континент та ін.);
Пакетна комутація MPLS Передача пакетів відбувається різними шляхами відповідно до міток, які присвоюються мережевим обладнанням. Наприклад, MPLS-мережа Ростелеком має сертифікат відповідності мережі пакетної комутації вимогам інформаційної безпеки ФСТЭК Росії, що гарантією високої захищеності послуг, що надаються її основі;
Шифрування документів. Може застосовуватись різне програмне забезпеченнядля шифрування файлів із даними, а також файли-контейнери (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt та ін.);
Шифрування архівів. Можуть застосовуватися різні архіватори, які дозволяють архівувати та шифрувати файли, використовуючи криптостійкі алгоритми, такі як AES. (WinRAR, WinZIP, 7-ZIP та ін.).
Чи потрібно використати сертифіковані засоби захисту?
На сьогоднішній день є єдина вимога ФСТЕК Росії щодо сертифікації засобів захисту ПДн. Вимога стосується забезпечення 4 рівня недекларованих можливостей, тому з останнього питання наведу лише три тези:
Система сертифікації засобів захисту;
Достатньо виконати вимоги законодавства;
Сертифікувати інформаційну систему персональних даних загалом не потрібно.
Шауро Євген
контроль за виконанням необхідних правил. Список використаної литературы:
1. Федеральний закон «Про банки та банківську діяльність»
2. www.Grandars.ru [ Електронний ресурс] Режим доступу: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Дата звернення: 5.05.2016)
3. In-bank.ru [Електронний ресурс] Режим доступу: http://journal.ib-bank.ru/post/411 (Дата звернення: 5.05.2016)
Хлєстова Дар'я Робертівна
E-mail: [email protected]
ОСОБЛИВОСТІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У БАНКІВСЬКІЙ СФЕРІ
Анотація
У цій статті розглянуто особливості захисту персональних даних клієнта у банківській сфері. Перераховано низку нормативно-правових актів, на основі якого має будуватися система обробки та захисту персональних даних у банку. Виділено список заходів для організації забезпечення безпеки даних у банківських установах.
Персональні дані, забезпечення безпеки в банках, інформаційна безпека,
захист персональних даних
Захист персональних даних у вік інформаційних технологій став особливо актуальним. Випадків, коли зловмисники отримують доступ до будь-якої конфіденційної інформації, атакуючи інформаційні системи організацій, стає дедалі більше. Безперечно, атаки не обходять стороною і банківську сферу. Оскільки в банківських системахміститься велика кількість персональних даних клієнтів, їхня безпека повинна перебувати під пильною увагою держави та самих власників кредитно-фінансових установ.
Для початку варто розібратися, які ж персональні дані людини можуть стати доступні банку, якщо він стане його клієнтом. Отже, це обов'язково: прізвище, ім'я та по батькові; Дата та місце народження; громадянство; місце реєстрації та фактичного проживання; всі дані паспорта (серія, номер, коли та ким виданий документ); номер мобільного та домашнього телефону; місце роботи, посада. Найчастіше установи запитують в особи, і додаткову інформацію, але й неї список даних, які людина довіряє банку виходить значним. Звичайно, клієнт сподівається, що його персональні дані при обробці та зберіганні будуть надійно захищені.
Для того щоб кредитно-фінансові установи могли якісно організувати систему обробки та захисту персональних даних, необхідно позначити перелік нормативно-правових актів, на які варто спиратися банку під час роботи з персональними даними клієнтів: Конституція Російської Федерації - найголовніший документ країни; Трудовий кодекс РФ; Цивільний кодекс та Кримінальний кодекс РФ; федеральний закон № 152 "Про персональні дані"; федеральний закон № 149 «Про
інформації, інформаційних технологій та захисту інформації»; федеральний закон № 395-1 «Про банки та банківську діяльність». Так само в банках при створенні системи обробки та зберігання персональних даних створюється низка локальних документів, що забезпечує додатковий контроль за роботою з даними.
Банківська організаціяпри отриманні від клієнта його персональних даних бере на себе обов'язок проводити всі організаційно-технічні заходи щодо захисту, довіреної йому інформації від несанкціонованого доступу (випадкового чи навмисного), блокування, модифікації, знищення та інших протиправних дій. Варто виділити низку заходів для якісної організації обробки та захисту персональних даних у банках: призначення відповідальних за обробку та забезпечення безпеки даних в інформаційній системі банку; здійснення заходів контролю та ознайомлення співробітників з відповідною нормативно-правовою базою та внутрішніми документами, на яких базується система безпеки даних банку; визначення загроз при обробці персональних даних у банку та заходів їх протидії; оцінка ефективності застосовуваних організаційно-технічних заходів щодо забезпечення захисту даних до введення системи захисту в експлуатацію; облік усіх машинних носіїв персональних даних; встановлення правил доступу до системи обробки та захисту для працівників; у разі виявлення несанкціонованого доступу до даних, що захищаються, вжиття заходів щодо ліквідації загрози та відновлення втрачених даних. І обов'язковий захід для банків з чинною системою зберігання та захисту персональних даних клієнта - постійний контроль та вдосконалення системи безпеки.
Таким чином, слід зазначити, що обробка, зберігання та захист персональних даних у банках має здійснюватися на підставі умов, визначених нормативно-правовою базою Російської Федерації. Кожна кредитно-фінансова організація повинна: дотримуватись принципу законності при організації захисту персональних даних своїх клієнтів; проводити повний комплекс заходів щодо організаційно-технічного захисту даних; при створенні локальних документів, пов'язаних із забезпеченням інформаційної безпеки спиратися на найкращі російські та міжнародні практики у цій сфері; виконувати всі вимоги контролюючих органів (ФСТЕК, Роскомнагляд, ФСБ) щодо забезпечення захисту персональних даних клієнта.
Список використаної литературы:
1. Хлєстова Д.Р., Попов К.Г. «До питання про правові аспекти захисту персональних даних»
2. Федеральний закон «Про банки та банківську діяльність»
3. Банк Росії [Електронний ресурс] Режим доступу: http://www.cbr.ru/ (Дата звернення: 06.05.2016)
©Хлєстова Д.Р., Попов К.Г., 2016
Хлєстова Дар'я Робертівна
Студентка 2 курсу ІУБП БашДУ, м. Уфа, РФ E-mail: [email protected]Попов Кирило Геннадійович к.е.н., доцент кафедри інформаційної безпеки БашДУ, м. Уфа, РФ
E-mail: [email protected]
Ділова розвідка як найбільш легальний спосіб отримання інформації.
Анотація
У статті розглянуто методи ділової розвідки. Також обґрунтовано, чому ділова розвідка є легальним видом діяльності в бізнесі. Виділені основні принципи, яких варто дотримуватись,
ПОЛОЖЕННЯ
про захист персональних даних
Клієнтів (абонентів)
у ТОВ «Ортес-Фінанс»
терміни та визначення
1.1. Персональні дані— будь-яка інформація, що відноситься до певної або визначеної на підставі такої інформації фізичної особи (суб'єкта персональних даних), у тому числі її прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, адреса електронної пошти, телефонний номер, сімейний, соціальний, майновий стан, освіта, професія, доходи, інша інформація.
1.2. Обробка персональних даних- дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), використання, поширення (у тому числі передачу), знеособлення, блокування.
1.3. Конфіденційність персональних даних— обов'язкова для дотримання призначеної відповідальної особи, яка отримала доступ до персональних даних, вимога не допускати їх розповсюдження без згоди суб'єкта чи іншої законної підстави.
1.4. Поширення персональних даних— дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, у тому числі оприлюднення персональних даних у засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних яких -або іншим способом.
1.5. Використання персональних даних— дії (операції) з персональними даними, що здійснюються з метою прийняття рішень або вчинення інших дій, що породжують юридичні наслідки щодо суб'єктів персональних даних або іншим чином зачіпають їх права та свободи або права та свободи інших осіб.
1.6. Блокування персональних даних— тимчасове припинення збору, систематизації, накопичення, використання, розповсюдження персональних даних, зокрема їх передачі.
1.7. Знищення персональних даних- дії, внаслідок яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних або внаслідок яких знищуються матеріальні носії персональних даних.
1.8. Знеособлення персональних даних— дії, внаслідок яких неможливо без використання додаткової інформаціївизначити належність персональних даних конкретному суб'єкту.
1.9. Загальнодоступні персональні дані- Персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.
1.10. Інформація- Відомості (повідомлення, дані) незалежно від форми їх подання.
1.11. Клієнт (суб'єкт персональних даних)- фізична особа - споживач послуг ТОВ «Ортес-Фінанс», далі «Організація».
1.12. Оператор- державний орган, муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними. У межах цього Положення Оператором визнається Товариство з обмеженою відповідальністю «Ортес-Фінанс»;
2. Загальні засади.
2.1. Це Положення про обробку персональних даних (далі - Положення) розроблено відповідно до Конституції Російської Федерації, Цивільного кодексу Російської Федерації, Федерального закону "Про інформацію, інформаційні технології та захисту інформації", Федерального закону 152-ФЗ "Про персональні дані", іншими федеральними законами.
2.2. Мета розробки Положення – визначення порядку обробки та захисту персональних даних усіх Клієнтів Організації, дані яких підлягають обробці, на підставі повноважень оператора; забезпечення захисту прав і свобод людини та громадянина при обробці його персональних даних, у тому числі захисту прав на недоторканність приватного життя, особисту та сімейну таємницю, а також встановлення відповідальності посадових осіб, які мають доступ до персональних даних, за невиконання вимог норм, що регулюють обробку та захист персональних даних.
2.3. Порядок введення в дію та зміни Положення.
2.3.1. Це Положення набирає чинності з моменту його затвердження Генеральним директором Організації та діє безстроково, до заміни його новим Положенням.
2.3.2. Зміни до Положення вносяться виходячи з Наказів Генерального директора Організації.
3. Склад персональних даних.
3.1. До складу персональних даних Клієнтів у тому числі входять:
3.1.1. Прізвище ім'я по батькові.
3.1.2. Рік народження.
3.1.3. Місяць народження.
3.1.4. Дата народження.
3.1.5. Місце народження.
3.1.6. Паспортні данні
3.1.7. Адреса електронної пошти.
3.1.8. Номер телефону (домашній, стільниковий).
3.2. В Організації можуть створюватися (створюються, збираються) та зберігаються такі документи та відомості, у тому числі в електронному вигляді, що містять дані про Клієнтів:
3.2.1. Заявка на обстеження щодо можливості підключення фізичної особи.
3.2.2. Договір (публічна оферта).
3.2.3. Доказ про приєднання до договору.
3.2.5. Копії документів, що засвідчують особу, а також інших документів, що надаються Клієнтом, та містять персональні дані.
3.2.6. Дані щодо оплати замовлень (товарів/послуг), що містять платіжні та інші реквізити Клієнта.
4. Ціль обробки персональних даних.
4.1. Ціль обробки персональних даних - здійснення комплексу дій спрямованих на досягнення мети, в тому числі:
4.1.1. Надання консультаційних та інформаційних послуг.
4.1.2. Інші угоди, не заборонені законодавством, і навіть комплекс дій із персональними даними, необхідні виконання вищезгаданих угод.
4.1.3. З метою виконання вимог законодавства РФ.
4.2. Умовою припинення обробки персональних даних є ліквідація Організації, а також відповідна вимога Клієнта.
5. Збір, обробка та захист персональних даних.
5.1. Порядок отримання (збору) персональних даних:
5.1.1. Усі персональні дані Клієнта слід отримувати в нього особисто за його письмовою згодою, крім випадків, визначених у п. 5.1.4 та 5.1.6 цього Положення та в інших випадках, передбачених законами РФ.
5.1.2. Згода Клієнта на використання його персональних даних зберігається в Організації у паперовому та/або електронному вигляді.
5.1.3. Згода суб'єкта на обробку персональних даних діє протягом усього терміну дії договору, а також протягом 5 роківз дати припинення дії договірних відносин Клієнта та Організації. Після закінчення зазначеного строку дія згоди вважається продовженою на кожні наступні п'ять років за відсутності відомостей про її відкликання.
5.1.4. Якщо персональні дані Клієнта можна отримати лише у третьої сторони, Клієнт повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Третя особа, яка надає персональні дані Клієнта, повинна мати згоду суб'єкта на передачу персональних даних Організації. Організація зобов'язана отримати підтвердження від третьої особи, яка передає персональні дані Клієнта про те, що персональні дані передаються за її згодою. Організація зобов'язана при взаємодії з третіми особами укласти з ними угоду про конфіденційність інформації щодо персональних даних Клієнтів.
5.1.5. Організація зобов'язана повідомити Клієнта про цілі, передбачувані джерела та способи отримання персональних даних, а також про характер підлягають отриманню персональних даних та наслідки відмови Клієнта персональних даних дати письмову згоду на їх отримання.
5.1.6. Обробка персональних даних Клієнтів без їхньої згоди здійснюється у таких випадках:
5.1.6.1. Персональні дані загальнодоступні.
5.1.6.2. На вимогу повноважних державні органи у випадках, передбачених федеральним законом.
5.1.6.3. Обробка персональних даних складає підставі федерального закону, встановлює її мета, умови отримання персональних даних, і коло суб'єктів, персональні дані яких підлягають обробці, і навіть визначального повноваження оператора.
5.1.6.4. Обробка персональних даних здійснюється з метою укладання та виконання договору, однією зі сторін якого є суб'єкт персональних даних – Клієнт.
5.1.6.5. Обробка персональних даних здійснюється для статистичних цілей за умови обов'язкового знеособлення персональних даних.
5.1.6.6. В інших випадках передбачених законом.
5.1.7. Організація не має права отримувати та обробляти персональні дані Клієнта про його расову, національну приналежність, політичні погляди, релігійні або філософські переконання, стан здоров'я, інтимне життя.
5.2. Порядок обробки персональних даних:
5.2.1. Суб'єкт персональних даних надає Організації достовірну інформацію про себе.
5.2.2. До обробки персональних даних Клієнтів можуть мати доступ лише співробітники Організації, які допущені до роботи з персональними даними Клієнта та підписали Угоду про нерозголошення персональних даних Клієнта.
5.2.3. Право доступу до персональних даних Клієнта в Організації мають:
Генеральний директор Організації;
Працівники, відповідальні за фінансові розрахунки (менеджер, бухгалтер).
Працівники Відділу роботи з Клієнтами (начальник відділу продажу, менеджер).
Працівники ІТ (технічний директор, системний адміністратор).
Клієнт як суб'єкт персональних даних.
5.2.3.1. Поімовий перелік співробітників Організації, які мають доступ до персональних даних Клієнтів, визначається наказом Генерального директора Організації.
5.2.4. Обробка персональних даних Клієнта може здійснюватися виключно з метою встановлених Положенням та дотримання законів та інших нормативних правових актів РФ.
5.2.5. При визначенні обсягу та змісту, оброблюваних персональних даних Організація керуватиметься Конституцією Російської Федерації, законом про персональні дані та іншими федеральними законами.
5.3. Захист персональних даних:
5.3.1. Під захистом персональних даних Клієнта розуміється комплекс заходів (організаційно-розпорядчих, технічних, юридичних), спрямованих на запобігання неправомірному або випадковому доступу до них, знищення, зміни, блокування, копіювання, розповсюдження персональних даних суб'єктів, а також інших неправомірних дій.
5.3.2. Захист персональних даних Клієнта здійснюється рахунок Організації у порядку, встановленому федеральним законом РФ.
5.3.3. Організація при захисті персональних даних Клієнтів вживає всіх необхідних організаційно-розпорядчих, юридичних та технічних заходів, у тому числі:
Антивірусний захист.
Аналіз захищеності.
Виявлення та запобігання вторгненням.
Управління доступом.
Реєстрація та облік.
Забезпечення цілісності.
Організація нормативно-методичних локальних актів, що регулюють захист персональних даних.
5.3.4. Загальну організацію захисту персональних даних Клієнтів здійснює Генеральний директор Організації.
5.3.5. Доступ до персональних даних Клієнта мають співробітники Організації, яким персональні дані потрібні у зв'язку з виконанням ними трудових обов'язків.
5.3.6. Усі працівники, пов'язані з отриманням, обробкою та захистом персональних даних Клієнтів, зобов'язані підписати Угоду про нерозголошення персональних даних Клієнтів.
5.3.7. Процедура оформлення доступу до персональних даних Клієнта включає:
Ознайомлення співробітника під розпис із цим Положенням. За наявності інших нормативних актів (наказів, розпоряджень, інструкцій тощо), що регулюють обробку та захист персональних даних Клієнта, з цими актами також проводиться ознайомлення під розпис.
Вимагання з працівника (за винятком Генерального директора) письмового зобов'язання щодо дотримання конфіденційності персональних даних Клієнтів та дотримання правил їх обробки відповідно до внутрішніх локальних актів Організації, що регулюють питання забезпечення безпеки конфіденційної інформації.
5.3.8. Співробітник Організації, який має доступ до персональних даних Клієнтів у зв'язку з виконанням трудових обов'язків:
Забезпечує зберігання інформації, що містить персональні дані Клієнта, що унеможливлює доступ до них третіх осіб.
За відсутності працівника на його робочому місці не повинно бути документів, які містять персональні дані Клієнтів.
Під час відпустки, під час службового відрядження та в інших випадках тривалої відсутності співробітника на своєму робочому місці, він зобов'язаний передати документи та інші носії, що містять персональні дані Клієнтів особі, на яку локальним актом Товариства (наказом, розпорядженням) буде покладено виконання його трудових обов'язків
Якщо така особа не призначена, документи та інші носії, що містять персональні дані Клієнтів, передаються іншому співробітнику, який має доступ до персональних даних Клієнтів за вказівкою Генерального директора Організації.
При звільненні співробітника, який має доступ до персональних даних Клієнтів, документи та інші носії, що містять персональні дані Клієнтів, передаються іншому співробітнику, який має доступ до персональних даних Клієнтів за вказівкою Генерального директора.
З метою виконання дорученого завдання та на підставі службової записки з позитивною резолюцією Генерального директора, доступ до персональних даних Клієнта може бути наданий іншому співробітнику. Допуск до персональних даних Клієнта інших співробітників Організації, які не мають належного оформленого доступу, забороняється.
5.3.9. Менеджер з кадрової роботи забезпечує:
Ознайомлення працівників під розпис із цим Положенням.
Вимагання з працівників письмового зобов'язання щодо дотримання конфіденційності персональних даних Клієнта (Угода про нерозголошення) та дотримання правил їх обробки.
Загальний контроль за дотриманням працівниками заходів щодо захисту персональних даних Клієнта.
5.3.10. Захист персональних даних Клієнтів, що зберігаються в електронних базах даних Організації, від несанкціонованого доступу, спотворення та знищення інформації, а також інших неправомірних дій, забезпечується Системним адміністратором.
5.4. Зберігання персональних даних:
5.4.1. Персональні дані Клієнтів на паперових носіях зберігаються у сейфах.
5.4.2. Персональні дані Клієнтів в електронному вигляді зберігаються у локальній комп'ютерної мережіОрганізації, в електронних папках та файлах у персональних комп'ютерахГенерального директора та співробітників, допущених до обробки персональних даних Клієнтів.
5.4.3. Документи, що містять персональні дані Клієнтів, зберігаються в шафах (сейфах), що замикаються, що забезпечують захист від несанкціонованого доступу. Наприкінці робочого дня всі документи, що містять персональні дані Клієнтів, поміщаються до шаф (сейфів), що забезпечують захист від несанкціонованого доступу.
5.4.4. Захист доступу до електронних баз даних, що містить персональні дані Клієнтів, забезпечується:
Використання ліцензованих антивірусних та антихакерських програм, що не допускають несанкціонованого входу до локальної мережі Організації.
Розмежуванням прав доступу за допомогою облікового запису.
Двох ступінчастою системою паролів: на рівні локальної комп'ютерної мережі та на рівні баз даних. Паролі встановлюються Системним адміністратором Організації та повідомляються індивідуально співробітникам, які мають доступ до персональних даних Клієнтів.
5.4.4.1. Несанкціонований вхід до ПК, у яких містяться персональні дані Клієнтів, блокується паролем, який встановлюється Системним адміністратором та не підлягає розголошенню.
5.4.4.2. Усі електронні папки та файли, що містять персональні дані Клієнтів, захищаються паролем, який встановлюється відповідальним за ПК співробітником Організації та повідомляється Системному адміністратору.
5.4.4.3. Зміна паролів Системним адміністратором здійснюється не рідше 1 разу на 3 місяці.
5.4.5. Копіювати та робити виписки персональних даних Клієнта дозволяється виключно у службових цілях з письмового дозволу Генерального директора Організації.
5.4.6. Відповіді на письмові запити інших організацій та установ щодо персональних даних Клієнтів надаються лише за письмовою згодою самого Клієнта, якщо інше не встановлено законодавством. Відповіді оформлюються письмово, на бланку Організації, і в тому обсязі, який дозволяє не розголошувати зайвий обсяг персональних даних Клієнта.
6. Блокування, знеособлення, знищення персональних даних
6.1. Порядок блокування та розблокування персональних даних:
6.1.1. Блокування персональних даних Клієнтів здійснюється за письмовою заявою Клієнта.
6.1.2. Блокування персональних даних передбачає:
6.1.2.2. Заборона розповсюдження персональних даних будь-якими засобами (e-mail, стільниковий зв'язок, Матеріальні носії).
6.1.2.4. Вилучення паперових документів, що належать до Клієнта та містять його персональні дані з внутрішнього документообігу Організації та заборони їх використання.
6.1.3. Блокування персональних даних Клієнта може бути тимчасово знято, якщо це потрібно дотримання законодавства РФ.
6.1.4. Розблокування персональних даних Клієнта здійснюється за його письмовою згодою (за наявності необхідності отримання згоди) або заявою Клієнта.
6.1.5. Повторна згода Клієнта на обробку його персональних даних (при необхідності його отримання) тягне за собою розблокування його персональних даних.
6.2. Порядок знеособлення та знищення персональних даних:
6.2.1. Знеособлення персональних даних Клієнта відбувається за письмовою заявою Клієнта, за умови, що всі договірні відносини завершено та від дати закінчення останнього договору минуло не менше 5 років.
6.2.2. При знеособленні персональні дані в інформаційних системах замінюються набором символів, яким неможливо визначити належність персональних даних до конкретного Клієнта.
6.2.3. Паперові носії документів у разі знеособлення персональних даних знищуються.
6.2.4. Організація зобов'язана забезпечити конфіденційність щодо персональних даних за необхідності проведення випробувань інформаційних систем на території розробника та зробити знеособлення персональних даних у інформаційних системах, що передаються розробнику.
6.2.5. Знищення персональних даних Клієнта передбачає припинення будь-якого доступу до персональних даних Клієнта.
6.2.6. У разі знищення персональних даних Клієнта працівники Організації не можуть отримати доступ до персональних даних суб'єкта в інформаційних системах.
6.2.7. Паперові носії документів у разі знищення персональних даних знищуються, персональні дані в інформаційних системах знеособлюються. Персональні дані поновленню не підлягають.
6.2.8. Операція знищення персональних даних необоротна.
6.2.9. Строк, після якого можлива операція знищення персональних даних Клієнта, визначається закінченням строку, зазначеним у пункті 7.3 цього Положення.
7. Передача та зберігання персональних даних
7.1. Передача персональних даних:
7.1.1. Під передачею персональних даних суб'єкта розуміється поширення інформації каналами зв'язку і матеріальних носіях.
7.1.2. При передачі персональних даних працівники Організації повинні дотримуватися таких вимог:
7.1.2.1. Не повідомляти персональні дані Клієнта з комерційною метою.
7.1.2.2. Не повідомляти персональні дані Клієнта третій стороні без письмової згоди Клієнта, крім випадків, встановлених федеральним законом РФ.
7.1.2.3. Попередити осіб, які отримують персональні дані Клієнта про те, що ці дані можуть бути використані лише з метою, для яких вони повідомлені, та вимагати від цих осіб підтвердження того, що це правило дотримано;
7.1.2.4. Дозволяти доступ до персональних даних Клієнтів лише спеціально уповноваженим особам, при цьому зазначені особи повинні мати право отримувати лише ті персональні дані Клієнтів, які необхідні для виконання конкретних функцій.
7.1.2.5. Здійснювати передачу персональних даних Клієнта в межах Організації відповідно до цього Положення, нормативно-технологічної документації та посадових інструкцій.
7.1.2.6. Надавати доступ Клієнта до своїх персональних даних при зверненні або отриманні запиту Клієнта. Організація зобов'язана повідомити Клієнта інформацію про наявність персональних даних про нього, а також надати можливість ознайомлення з ними протягом десяти робочих днів з моменту звернення.
7.1.2.7. Передавати персональні дані Клієнта представникам Клієнта у порядку, встановленому законодавством та нормативно-технологічною документацією та обмежувати цю інформацію лише тими персональними даними суб'єкта, які необхідні для виконання зазначеними представниками їхньої функції.
7.2. Зберігання та використання персональних даних:
7.2.1. Під зберіганням персональних даних розуміється існування записів в інформаційних системах та матеріальних носіях.
7.2.2. Персональні дані Клієнтів обробляються та зберігаються в інформаційних системах, а також на паперових носіях в Організації. Персональні дані Клієнтів також зберігаються в електронному вигляді: у локальній комп'ютерній мережі Організації, в електронних папках та файлах у ПК Генерального директора та працівників, допущених до обробки персональних даних Клієнтів.
7.2.3. Зберігання персональних даних Клієнта може здійснюватися не довше, ніж цього вимагають мети обробки, якщо інше не передбачено федеральними законами РФ.
7.3. Термін зберігання персональних даних:
7.3.1. Строки зберігання цивільно-правових договорів, що містять персональні дані Клієнтів, а також супутніх їх укладання, виконання документів – 5 років з моменту закінчення дії договорів.
7.3.2. Протягом терміну зберігання персональні дані неможливо знайти знеособлені чи знищені.
7.3.3. Після закінчення терміну зберігання персональні дані можуть бути знеособлені в інформаційних системах та знищені на паперовому носії в порядку встановленому у Положенні та чинному законодавстві РФ. (Додаток Акт про знищення персональних даних)
8. Права оператора персональних даних
Організація має право:
8.1. Відстоювати свої інтереси у суді.
8.2. Надавати персональні дані Клієнтів третім особам, якщо це передбачено чинним законодавством (податкові, правоохоронні органи та ін.).
8.3. Відмовити у наданні персональних даних у випадках, передбачених законом.
8.4. Використовувати персональні дані Клієнта без його згоди, у випадках, передбачених законодавством РФ.
9. Права Клієнта
Клієнт має право:
9.1. Вимагати уточнення своїх персональних даних, їхнього блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, недостовірними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів щодо захисту своїх прав;
9.2. Вимагати перелік оброблюваних персональних даних, що є в Організації та джерело їх отримання.
9.3. Отримувати інформацію про терміни обробки персональних даних, у тому числі терміни їх зберігання.
9.4. Вимагати сповіщення всіх осіб, яким раніше були повідомлені невірні або неповні його персональні дані, про всі зроблені в них винятки, виправлення або доповнення.
9.5. Оскаржувати до уповноваженого органу захисту прав суб'єктів персональних даних або в судовому порядку неправомірні дії або бездіяльності при обробці його персональних даних.
10. Відповідальність за порушення норм, що регулюють обробку та захист персональних даних
10.1. Працівники Організації, винні у порушенні норм, що регулюють отримання, обробку та захист персональних даних, несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність відповідно до чинного законодавства Російської Федерації та внутрішніми локальними актами Організації.
Марина Прохорова,редактор журналу "Персональні дані"
Наталія Самойлова,юрист компанії "ІнфоТехноПроект"
Нормативно-правова база, що склалася до теперішнього часу у сфері обробки персональних даних, документи, які ще належить прийняти для більш ефективної організації роботи із захисту персональних даних в організаціях, технічні аспекти підготовки інформаційних систем операторів персональних даних - саме ці теми останнім часом торкалися багатьох газетних та журнальних публікаціях, присвячених проблематиці персональних даних. У цій статті хотілося б зупинитися на такому аспекті організації роботи банківських та кредитних установ, як "нетехнічний" захист персональних даних, що обробляються в цих організаціях.
Почнемо з конкретного прикладу
Йдеться про судовий розгляд справи про захист персональних даних, порушений щодо Ощадбанку у червні 2008 р. Суть судового розгляду зводилася до наступного. Між громадянином та банком було укладено договір поруки, відповідно до якого громадянин прийняв зобов'язання відповідати перед банком за виконання позичальником зобов'язань за кредитним договором. Останній не виконав свої зобов'язання у встановлений кредитним договором термін, відомості про поручителя як про неблагонадійного клієнта було занесено до автоматизованої інформаційної системи банку "Стоп-лист", що, своєю чергою, стало підставою для відмови у наданні йому кредиту. При цьому банк навіть не повідомив громадянина про неналежне виконання позичальником своїх зобов'язань за кредитним договором. Крім того, у договорі поруки не було зазначено, що у разі неналежного виконання позичальником своїх зобов'язань банк має право вносити відомості про доручителя до інформаційної системи "Стоп-лист". Таким чином, банком здійснювалося опрацювання персональних даних громадянина шляхом включення відомостей про нього до інформаційної системи "Стоп-лист" без його згоди, що порушує вимоги ч. 1 ст. 9 Федерального закону № 152-ФЗ від 27 липня 2006 р. "Про персональні дані", згідно з якою суб'єкт персональних даних приймає рішення про надання своїх персональних даних і дає згоду на їх обробку своєю волею та у своєму інтересі. Крім цього, у порядку, передбаченому ч. 1 ст. 14 цього ж закону, громадянин звертався до банку з вимогою надати йому можливість ознайомлення з відомостями, занесеними про нього до інформаційної системи "Стоп-лист", а також щодо блокування цих відомостей та їх знищення. Банком було відмовлено у задоволенні вимог громадянина.
За результатами розгляду справи Ленінський районний суд м. Владивостока задовольнив позовні вимоги Управління Роскомнагляду приморського краю до Ощадбанку Росії про захист порушених прав громадянина і зобов'язав банк знищити відомості про громадянина з інформаційної системи "Стоп-лист".
Чим цей приклад показовий? Банки, зберігаючи персональні дані значної кількості своїх клієнтів, не замислюючись, переміщують їх з однієї бази даних до іншої, причому найчастіше не повідомляючи про це суб'єкта персональних даних, не кажучи вже про те, щоб отримати у нього згоду на такі дії з його персональними даними. Звичайно, банківська діяльність має ряд особливостей, і часто персональні дані клієнтів використовуються не тільки для виконання укладених банком договорів, але і для здійснення контролю банку за виконанням клієнтом його зобов'язань, але це означає, що на будь-які маніпуляції з персональними даними вже потрібна згода їхнього суб'єкта .
Труднощі у тлумаченні положень
Чому ж не зробити будь-які операції із персональними даними законними? Безумовно, для цього, швидше за все, буде потрібно залучення сторонніх фахівців, оскільки навіть юристи правових управлінь великих банків є першокласними професіоналами лише у певній галузі, і зі специфікою роботи у сфері персональних даних їм доводиться знайомитись практично з нуля. Отже найкращий вихід - залучення до робіт з організації системи захисту персональних даних компаній, що спеціалізуються в галузі надання послуг з організації роботи з персональними даними, у тому числі здатних провести аудит на предмет відповідності заходів нетехнічного захисту вимогам законодавця, які ви вживаєте.
Результати аналітичних досліджень дозволяють зробити висновки про те, що тлумачення яких положень Федерального закону № 152-ФЗ "Про персональні дані" викликає найбільші труднощі.
Відповідно до частини 1 статті 22 цього нормативного документа, оператор зобов'язаний повідомити уповноважений орган про здійснення обробки персональних даних. Серед винятків - випадок, коли оброблювані персональні дані були отримані у зв'язку із укладанням договору, стороною якого є суб'єкт персональних даних... і використовуються оператором виключно для виконання зазначеного договору на підставі пункту 2 частини 2 статті 22 Федерального закону № 152-ФЗ "Про персональних даних. Оперуючи саме цим становищем, деякі банки не подають повідомлення про обробку персональних даних, а багато хто і не вважає себе операторами, що докорінно неправильно.
Також ще одна поширена помилка банків як операторів персональних даних, пов'язана з договором, полягає в наступному. Відповідно до ст. 6 вищезгаданого закону обробка персональних даних може здійснюватися оператором за згодою суб'єктів персональних даних за винятком випадків, серед яких здійснення обробки з метою виконання договору, однією із сторін якого є суб'єкт персональних даних. Тому багато банківських установ пояснюють відсутність у них згоди суб'єкта персональних даних саме фактом укладання такого договору.
Але давайте замислимося, хіба банк, будучи оператором, не використовує отримані під час укладання договору персональні дані суб'єкта, наприклад, для розсилки повідомлень про нові послуги, для ведення "Стоп-листів"? Отже, обробка персональних даних здійснюється у цілях виконання договору, а й у інших цілях, досягнення яких представляє банків комерційний інтерес, отже:
- банки зобов'язані подавати повідомлення про обробку персональних даних до уповноваженого органу;
- банки повинні здійснювати обробку персональних даних лише за згодою суб'єкта.
А це означає, що банки мають організувати систему роботи з персональними даними своїх клієнтів, тобто забезпечити нетехнічний захист таких даних.
Письмова згода на обробку персональних даних
Що стосується згоди суб'єкта персональних даних на обробку персональних даних, то Федеральний закон № 152-ФЗ "Про персональні дані" зобов'язує операторів отримувати письмову згоду на обробку персональних даних лише у визначених законом випадках. Водночас відповідно до ч. 3 ст. 9 обов'язок доводити отримання згоди суб'єкта на обробку його персональних даних покладається на оператора. Щоб при необхідності не витрачати час на збирання таких доказів (наприклад, на пошук свідків), на наш погляд, краще у будь-якому випадку отримувати згоду від суб'єктів у письмовій формі.
Наведемо ще один аргумент за письмову формуобробки персональних даних Найчастіше діяльність банків передбачає передачу даних (зокрема персональних) на територію іноземної держави. З цього приводу ч. 1 ст. 12 Федерального закону № 152-ФЗ "Про персональні дані" говорить, що на початок здійснення транскордонної передачі персональних даних оператор зобов'язаний переконатися у тому, що іноземним державою, територію якого здійснюється передача персональних даних, забезпечується адекватна захист прав суб'єктів персональних даних. Якщо такого захисту не забезпечується, транскордонна передача персональних даних можлива лише за письмовою згодою суб'єкта персональних даних. Можна припустити, що співробітникові банку простіше отримати письмову згоду клієнта на обробку персональних даних, ніж встановлювати рівень адекватності їх захисту в іноземній державі.
Звертаємо вашу увагу на те, що відомості, які мають міститись у письмовій згоді, перераховані у ч. 4 ст. 9 вищезгаданого Федерального закону, і цей перелік є вичерпним. А підпис під фразою, наприклад, у кредитному договорі: "Я згоден на використання своїх персональних даних", згідно з Федеральним законом № 152-ФЗ "Про персональні дані", згодою на їх обробку не є!
Здавалося б, лише кілька пунктів закону, а скільки ускладнень, аж до судових позовів, може викликати їхнє неправильне тлумачення. До того ж, сьогодні, коли персональні дані суб'єктів найчастіше стають товаром у конкурентній боротьбі різних структур, успішне вирішення питань їх захисту, забезпечення безпеки інформаційних систем банківських та кредитних установ стає запорукою збереження репутації, чесного імені будь-якої організації.
З кожним днем підвищується поінформованість громадян про можливі негативні наслідки розповсюдження їх персональних даних, що сприяє появі профільних видань. Є та інформаційні ресурси різних компаній. Одні з них загалом висвітлюють весь широкий спектр питань, пов'язаних з поняттям "інформаційної безпеки", інші - присвячені оглядам заходів та засобів технічного захисту, хтось, навпаки, наголошує на проблемах, пов'язаних з нетехнічним захистом. Інакше кажучи, інформація з питань захисту персональних даних стає дедалі доступнішою, отже, громадяни, більш підковані у сфері захисту своїх прав.
Особливо затребуваною для російських підрозділів іноземних компаній вона стала у зв'язку з додаванням частини 5 статті 18 до 152-ФЗ «Про персональні дані»: «…оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних данихгромадян Російської Федерації з використанням баз даних, що знаходяться на території Російської Федерації» . У законі є низка винятків, але погодьтеся, на випадок перевірки регулятором хочеться мати козирі надійніше, ніж «а нас це не стосується».
Покарання для порушників дуже серйозні. Онлайн-магазини, соціальні мережі, інформаційні сайти, інші бізнеси, пов'язані з інтернетому разі претензій з боку наглядових органів може бути фактично закрито. Ймовірно, при першій перевірці регулятором буде дано час на усунення недоліків, але термін зазвичай обмежений. Якщо проблему не буде вирішено дуже швидко (що без попередньої підготовки зробити важко), збитки вже ніяк не компенсувати. Блокування сайтів призводить не тільки до паузи у продажах, це означає втрату ринкової частки.
Поява в «чорному списку» порушників закону про ПДН для офлайн-компаній проходить менш драматично. Але це спричиняє репутаційні ризики, що для іноземних компаній є суттєвим фактором. Крім того, зараз майже не залишилося видів діяльності, яких взагалі не стосується захисту персональних даних. Банки, торгівля, навіть виробництво – усі ведуть клієнтські бази, а отже, підпадають під дію відповідних законів.
Тут важливо розуміти, що всередині компаній питання також не можна розглядати ізольовано. Захист ПДн не вдасться обмежити встановленням сертифікованих засобів захисту на серверах та замиканням паперових карток у сейфи. У персональних даних багато точок входу в компанію - відділи продажів, HR, служби обслуговування клієнтів, іноді також навчальні центри, закупівельні комісії та інші підрозділи. Управління захистом ПДН – комплексний процес, який торкається IT, документообіг, регламенти, юридичне оформлення
Давайте розглянемо, що потрібно для запуску та обслуговування такого процесу.
Які дані вважаються персональними
Строго кажучи, будь-яка інформація, яка стосується прямо чи опосередковано до певної фізичної особи – це її персональні дані. Зауважте, мова йдепро людей, не про юридичних осіб. Виходить, достатньо вказати ПІБ та адресу проживання, щоб ініціювати захист цих (а також пов'язаних із ними) даних. Тим не менш, отримання електронного листаз чиїмись персональними даними у вигляді підпису та телефонного номераще не привід їх боронити. Ключовий термін: "Поняття збору персональних даних". Для прояснення контексту кілька статей Закону «Про персональні дані» хочу виділити окремо.
Стаття 5. Принципи опрацювання персональних даних. Слід мати чіткі цілі, з яких ясно слідує, навіщо ця інформація збирається. Інакше навіть за повного дотримання решти і правил можливі санкції.
Стаття 10. Спеціальні категорії персональних даних. Наприклад, кадрова служба може фіксувати обмеження для відряджень, зокрема вагітність співробітниць. Зрозуміло, такі додаткові відомостітакож підлягають захисту. Це сильно розширює розуміння ПДН, а також список відділів та інформаційних сховищ компанії, в яких потрібно приділяти увагу захисту.
Стаття 12. Транскордонна передача персональних даних. Якщо інформаційна система з даними громадян РФ знаходиться на території країни, яка не ратифікувала Конвенцію про захист персональних даних (наприклад, в Ізраїлі), слід дотримуватися положень російського законодавства.
Стаття 22. Повідомлення про обробку персональних даних. Обов'язкова умова для того, щоб не привертати надмірну увагу регулятора. Ведете підприємницьку діяльність, пов'язану з ПДН – повідомте про це самі, не чекаючи перевірок.
Де можуть бути персональні дані
Технічно ПДн можуть бути де завгодно, починаючи з друкованих носіїв (паперові картотеки) до машинних носіїв ( жорсткі диски, флешки, компакт-диски та інше). Тобто у фокусі уваги будь-які сховища даних, які під визначення ІСПДн (інформаційні системи персональних даних).
Географія розташування – окреме велике питання. З одного боку, персональні дані росіян ( фізичних осіб, що є громадянами РФ) повинні зберігатися на території Російської Федерації. З іншого боку, на даний момент це швидше вектор розвитку ситуації, ніж факт, що відбувся. Багато міжнародних та експортних компаній, різні холдинги, спільні підприємства історично мають розподілену інфраструктуру – і одразу це не зміниться. На відміну від методів зберігання та захисту ПДН, які мають бути скориговані практично зараз, одразу.
Мінімальний список відділів, що беруть участь у записі, систематизації, накопиченні, зберіганні, уточненні (оновленні, зміні), витягу ПДН:
- Кадрова служба.
- Відділ продажу.
- Юридичний відділ.
Оскільки рідко де панує ідеальний порядок, насправді до цього «очікуваного» списку часто можуть додаватися найнепередбачуваніші підрозділи. Наприклад, на складі можуть бути записані персоніфіковані відомості про постачальників, або служба охорони може вести власний докладний облік усіх, хто входить на територію. Таким чином, до речі, склад ПДН для співробітників може бути доповнений даними щодо клієнтів, партнерів, підрядників, а також випадкових і навіть чужих відвідувачів – ПДн яких стають «криміналом» при фотографуванні на перепустку, скануванні посвідчення особи та в деяких інших випадках. СКУД (системи контролю та управління доступом) запросто можуть стати джерелом проблем у контексті захисту ПДн. Тому відповідь на запитання "Де?" з погляду дотримання Закону звучить так: повсюдно на підзвітній території. Точніше можна відповісти лише провівши відповідний аудит. Це перший етап проектуіз захисту персональних даних. Повний списокйого ключових фаз:
1) Аудит поточної ситуації у компанії.
2) Проектування технічного рішення.
3) Підготовка процесу захисту персональних даних.
4) Перевірка технічного рішення та процесу захисту ПДн на відповідність законодавству РФ і регламентам підприємства.
5) Використання технічного рішення.
6) Запуск процесу захисту персональних даних.
1. Аудит поточної ситуації у компанії
Насамперед, уточніть у кадровій службі та в інших підрозділах, які використовують паперові носії з персональними даними:
- Чи є форми згоди на обробку персональних даних? Вони заповнені та підписані?
- Чи дотримується Положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації від 15 вересня 2008 року № 687?
Визначте географічне розташування ІСПДн:
- У яких країнах вони?
- На якій підставі?
- Чи є договори щодо їх використання?
- Який технологічний захист застосовується для запобігання витоку ПДН?
- Які організаційні заходи вживаються для захисту ПДН?
В ідеалі, інформаційна система з ПДН росіян має відповідати всім вимогам закону 152-ФЗ «Про персональні дані», навіть якщо перебуває за кордоном.
Зрештою, зверніть увагу на значний список документів, який потрібен у разі перевірки (це ще не все, тільки основний перелік):
- Повідомлення про обробку ПДН.
- Документ, що визначає відповідального за організацію обробки ПДН.
- Перелік співробітників, допущених до обробки ПДН.
- Документ, що визначає місця зберігання ПДН.
- Довідка про обробку спеціальних та біометричних категорій ПДн.
- Довідка про здійснення транскордонної передачі ПДН.
- Типові форми документів із ПДн.
- Типова форма згоди на обробку ПДН.
- Порядок передачі ПДН третім особам.
- Порядок обліку звернень суб'єктів ПДН.
- Перелік інформаційних систем персональних даних (ІСПД).
- Документи, що регламентують резервування даних в ІСПД.
- Перелік засобів захисту інформації, що використовуються.
- Порядок знищення ПДН.
- Матриця доступу.
- Модель загроз.
- Журнал обліку машинних носіїв ПДН.
- Документ, що визначає рівні захищеності для кожної ІСПДн відповідно до ПП-1119 від 1 листопада 2012 року «Про затвердження вимог щодо захисту персональних даних під час їх обробки в інформаційних системах персональних даних».
2. Проектування технічного рішення
Опис організаційних та технічних заходів, які мають бути вжиті для захисту ПДН, наводиться у Главі 4. «Обов'язки оператора» Закону 152-ФЗ «Про персональні дані». Технічне рішення має базуватись на положеннях статті 2 Закону 242-ФЗ від 21 липня 2014 року.
Але як дотримати закон і обробляти ПДН громадян РФ на території Росії у разі, коли ІСПДн все ж таки знаходиться за кордоном? Тут є кілька варіантів:
- Фізичний перенесення інформаційної системи та БД на територію РФ. Якщо технічно реалізовано – це буде найпростіше.
- Залишаємо ІСПД за кордоном, але в Росії створюємо її копію і налагоджуємо односторонню реплікацію ПДН громадян РФ з російської копії в іноземну. При цьому в зарубіжній системі треба виключити можливість модифікації ПДН громадян РФ, всі правки лише через російську ІСПДн.
- ІСПДн дещо і всі вони за кордоном. Перенесення може бути дорогим, або взагалі технічно неможливий (наприклад, не можна виділити частину бази з ПДН громадян РФ і винести її в Росію). У цьому випадку рішенням може стати створення нової ІСПДн на будь-якій доступній платформі на сервері в Росії, звідки здійснюватиметься одностороння реплікація в кожну зарубіжну ІСПДн. Відзначу, що вибір платформи залишається за компанією.
Якщо ІСПДн повністю і монопольно не перенесено до Росії, не забудьте в довідці про транскордонну передачу даних вказати, кому і який саме набір ПДн надсилається. В повідомленні про обробку потрібно вказати мету передачі персональних даних. Повторюся, ця мета має бути законною та чітко обґрунтованою.
3. Підготовка процесу захисту персональних даних
Процес захисту персональних даних повинен визначати щонайменше такі моменти:
- Список відповідальних за обробку персональних даних у компанії.
- Порядок надання доступу до ІСПД. В ідеалі це матриця доступу з рівнем доступу для кожної посади або конкретного співробітника (читання/читання-запис/модифікація). Або список доступних ПДн кожної посади. Тут все залежить від реалізації ІВ та вимог компанії.
- Аудит доступу до персональних даних та аналіз спроб доступу з порушенням рівнів доступу.
- Аналіз причин недоступності персональних даних.
- Порядок реагування на запити суб'єктів ПДН щодо своїх ПДн.
- Перегляд переліку персональних даних, що передаються за межі компанії.
- Перегляд одержувачів персональних даних, зокрема за кордоном.
- Періодичний перегляд моделі загроз для ПДН, а також зміна рівня захищеності персональних даних через зміну моделі загроз.
- Підтримка документів компанії в актуальному стані (список вищий, і його можна доповнювати, при необхідності).
Тут можна деталізувати кожен пункт, але особливу увагу хочу звернути до рівня захищеності. Він визначається на основі наступних документів (читати послідовно):
1. «Методика визначення актуальних загроз безпекиперсональних даних під час їхньої обробки в інформаційних системах персональних даних» (ФСТЕК РФ 14 лютого 2008 року).
2. Постанова Уряду РФ № 1119 від 1 листопада 2012 «Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних».
3. Наказ ФСТЕК № 21 від 18 лютого 2013 року «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних».
Також, не забудьте врахувати необхідність наявності таких категорій витрат, як:
- Організація проектної командита управління проектом.
- Розробники для кожної із платформ ІСПДн.
- Серверні потужності (власні або орендовані в дата-центрі).
До завершення другого та третього етапів проекту ви повинні мати:
- Розрахунок витрат.
- Вимоги до якості.
- Строки та календарний план проекту.
- Технічні та організаційні ризики проекту.
4. Перевірка технічного рішення та процесу щодо захисту ПДн на відповідність законодавству РФ та регламентам компанії
Короткий за формулюванням, але важливий етап, в рамках якого потрібно переконатися, що всі заплановані дії не суперечать законодавству РФ і правилам компанії (наприклад, політикам безпеки). Якщо цього не зробити, у фундамент проекту буде закладено бомбу, яка може «рванути» надалі, знищивши користь від досягнутих результатів.
5. Впровадження технічного рішення
Тут все більш-менш очевидно. Конкретика залежить від вихідної ситуації та рішень. Але в загальному випадку має вийти приблизно така картина:
- Виділено серверні потужності.
- Мережеві інженери надали достатню пропускну спроможністьканалів між приймачем та передавачем ПДн.
- Розробники налагодили реплікацію між базами даних ІСПДН.
- Адміністратори запобігли змінам в ІСПДн, які перебувають за кордоном.
Відповідальна особа за захист ПДН або «власник процесу» може бути однією і тією ж особою або різними. Сам факт, що «власник процесу» має підготувати всю документацію та організувати весь процес захисту ПДН. Для цього мають бути повідомлені усі зацікавлені особи, співробітники проінструктовані, а IT-служба сприятиме впровадженню технічних заходів щодо захисту даних.
6. Запуск процесу захисту персональних даних
Це важливий етап, і в певному сенсі мета всього проекту – встановити контроль на потік. Крім технічних рішень та нормативної документаціїтут критично важлива роль власника процесу. Він має відслідковувати зміни не лише у законодавстві, а й у IT-інфраструктурі. Отже, необхідні відповідні навички та компетенції.
Крім того, що критично важливо в умовах реальної роботи, власнику процесу захисту ПДН потрібні всі необхідні повноваження та адміністративна підтримка керівництва компанії. Інакше він буде вічним прохачем, на якого ніхто не звертає уваги, і через деякий час проект можна буде перезапускати, знову починаючи з аудиту.
Нюанси
Кілька моментів, які легко випустити з уваги:
- Якщо ви працюєте з дата-центром, потрібен договір про надання послуг надання серверних потужностей, згідно з яким ваша компанія зберігає дані на легальних засадах та контролює їх.
- Потрібні ліцензії на програмне забезпечення, що використовується для збирання, зберігання та обробки ПДН, або договори про його оренду.
- У разі розташування ИСПДн за кордоном необхідний договір з компанією, що володіє там системою - для гарантії дотримання законодавства РФ стосовно персональних даних росіян.
- Якщо персональні дані передаються підряднику вашої компанії (наприклад, партнеру з IT-аутсорсингу), то у разі витоку ПДн від аутсорсера ви нестимете відповідальність за претензіями. У свою чергу ваша компанія може пред'явити претензії аутсорсеру. Можливо, цей фактор може вплинути на факт передачі робіт на аутсорс.
І ще раз найголовніше – захист персональних даних не можна взяти та забезпечити. Це процес. Безперервний ітераційний процес, який сильно залежатиме від подальших змін у законодавстві, а також від формату та суворості застосування цих норм на практиці.
