Издания и мероприятия для банковских специалистов:
 
Методический журнал
Bнутренний контроль в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2009 г.
 
 
 

Принципы формирования систем обработки персональных данных

Размещено на сайте 31.03.2010
Одним из основных рисков, сопутствующих развитию экономических и социально-политических отношений, является риск утраты контроля за имеющейся у субъектов экономики конфиденциальной информацией. Операторы персональных данных, в частности банки, относятся к той категории, которой в первую очередь необходимо разработать системы, позволяющие минимизировать риски, связанные с обработкой таких данных.
 
М.В. Корнеев, ООО «ФБК», департамент аудиторских и консультационных услуг финансовым институтам, менеджер

Использование конфиденциальной информации необходимо для ведения текущей деятельности, анализа ее эффективности и исполнения прочих задач субъектами экономики. Ее разглашение приводит к довольно негативным последствиям, а именно: потере деловой репутации, возникновению оценочных обязательств, существенно снижающих уровень капитализации компании и являющихся одной из причин ее вероятного дефолта, а также уголовной ответственности.

Для решения вышеописанных проблем был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

На данном этапе развития социально-экономических отношений как общество в целом, так и отдельные субъекты только начинают осмысливать назначение этого закона и пока не готовы полностью исполнять его требования из-за «проблем неподготовленности».

Такие проблемы в основном выражены в низком уровне культуры получения, последующей обработки и хранения персональных данных контрагентов субъектами экономики, признанными в соответствии с требованиями Закона № 152-ФЗ «операторами персональных данных».

Оператор персональных данных должен заявить о себе и подготовить свою информационную систему в соответствии с требованиями действующего законодательства в области безопасной обработки персональных данных. Качество информационных систем с определенной периодичностью будет подвергаться тестированию и оценке со стороны контролирующих органов.

Согласно вышеописанным требованиям действующего законодательства основной целью оператора является построение адекватной поставленным перед ним задачам системы обработки персональных данных.

Следствием отсутствия таких систем у субъектов экономических отношений становится довольно высокая вероятность дефолта их деятельности за счет потери деловой репутации. Как правило, утечки конфиденциальной информации приводят к судебным разбирательствам и существенным выплатам в пользу пострадавших субъектов персональных данных.

В дополнение к этому могут пострадать как ресурсная база кредитной организации вследствие преждевременного оттока денежных средств со счетов клиентов, так и сегменты рынка по размещению средств ввиду сокращения доходности активных операций.

Таким образом, операторы персональных данных оказываются той категорией лиц, которой в большей степени необходимо задуматься о минимизации рисков своей деятельности за счет построения эффективной и безопасной системы обработки персональных данных.

Функции кредитных организаций как операторов персональных данных

Одной из крупнейших категорий операторов являются кредитные организации, осуществляющие обработку персональных данных. Можно предположить, что кредитные организации находятся на первом месте среди коммерческих организаций по объемам обрабатываемой информации, а именно — персональных данных.

Обработка персональных данных кредитными организациями неизбежна вследствие ведения ими текущей деятельности, начиная с расчетно-кассового обслуживания и заканчивая деривативными операциями.

Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, то есть физическому лицу, в том числе:

— фамилия, имя, отчество;

— год, месяц, дата и место рождения;

— адрес прописки и проживания;

— семейное, социальное, имущественное положение;

— образование;

— профессия;

— доходы (один из наиболее важных элементов для физических лиц, чьи персональные данные обрабатываются кредитными организациями);

— другая информация.

Очевидно, что список не является окончательным.

Процесс обработки персональных данных можно подразделить на следующие этапы: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Каждый этап обработки должен быть оценен с позиций выявления рисков потери контроля за обработкой персональных данных и их безопасностью.

Для контроля за обработкой персональных данных кредитной организацией должны осуществляться следующие действия:

— формирование исчерпывающих требований к системе защиты персональных данных, основанных на частной модели угроз;

— описание системы защиты персональных данных, основанной на предъявляемых требованиях;

— проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

— своевременное обнаружение фактов несанкционированного доступа к персональным данным;

— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

— возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— постоянный контроль за обеспечением уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах должны включать в себя:

— определение угроз безопасности персональных данных, формирование на их основе модели угроз;

— разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз;

— проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

— установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

— обучение лиц, использующих средства защиты информации, применяемые в информационных системах, работе с ними;

— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

— учет лиц, допущенных к работе с персональными данными в информационной системе;

— контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

— разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных, другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных негативных последствий таких нарушений.

Для исполнения вышеописанных действий кредитным организациям необходимо эффективное техническое и организационное обеспечение процесса обработки персональных данных.

В рамках технического обеспечения безопасности при обработке персональных данных должны быть реализованы мероприятия по защите от несанкционированного доступа и неправомерных действий. Такие мероприятия должны реализовываться в составе следующих подсистем:

— управления доступом;

— регистрации и учета;

— обеспечения целостности;

— контроля отсутствия недекларированных возможностей;

— антивирусной защиты;

— обеспечения безопасного межсетевого взаимодействия информационных систем, задействованных в обработке персональных данных;

— обнаружения вторжений.

Организация обработки персональных данных и документальная база

В целях исполнения организационных мер, обеспечивающих обработку персональных данных банка, необходимо разработать и соблюдать следующие положения, регламенты и порядки:

1) порядок проведения классификации информационных систем обработки персональных данных;

2) положение об обработке персональных данных в информационных системах;

3) положение об организации обеспечения безопасности персональных данных при их обработке в информационных системах, которое включает в себя:

— требования к системе защиты;

— описание системы защиты;

— порядок обеспечения контролируемого доступа в помещения обработки персональных данных и обеспечения сохранности технических средств их обработки;

— порядок обеспечения контролируемого доступа к информационным системам обработки персональных данных;

4) порядок формирования перечня и определения актуальности угроз безопасности обработки персональных данных в информационных системах;

5) модель угроз безопасности персональных данных;

6) модель нарушителя безопасности персональных данных;

7) порядок ведения журнала учета обращений субъектов персональных данных по вопросам соблюдения их законных прав;

8) порядок прохождения обучения (ознакомления) должностными лицами правилам эксплуатации средств обработки и средств защиты персональных данных;

9) порядок организации контроля за соблюдением условий использования средств защиты персональных данных, предусмотренных эксплуатационной и технической документацией;

10) изменения/дополнения в эксплуатационную документацию к средствам обработки и защиты информации.

Также кредитной организации необходимо составить соглашение о неразглашении персональных данных для сотрудников, допущенных к обработке персональных данных, внести дополнения в должностные инструкции и трудовые договоры.

Функции контроля за исполнением организационных и технических мероприятий можно возложить на начальника службы внутреннего контроля.

Проводимые службой внутреннего контроля проверки могут быть плановыми, которые рекомендуется проводить не реже чем два раза в год, и внеплановыми, которые проводятся по мере необходимости.

Основаниями для проведения проверки могут служить:

— наступление периода проведения плановой проверки;

— введение в действие в кредитной организации новых или переработанных (дополненных) внутрибанковских положений вследствие изменения законодательных и иных нормативных правовых актов по обработке персональных данных;

— изменения операционных процессов и замена оборудования информационных систем и прочего оборудования, как следствие — необходимость получения дополнительных знаний по обработке персональных данных сотрудниками;

— назначение или перевод на другую работу ответственных за проведение проверок специалистов банка;

— требование Роскомнадзора, администратора безопасности, службы внутреннего контроля при установлении недостаточных знаний сотрудников;

— потеря контроля за процессом обработки персональных данных, а также нарушение руководителями или подчиненными им работниками требований нормативных правовых актов по обработке персональных данных.

Использование вышеописанных организационно-технических мероприятий поможет кредитной организации самостоятельно подготовиться к проверке информационных систем со стороны контролирующих органов.

Алгоритм построения системы обработки персональных данных

Вступление в силу мер, которые могут быть применены к оператору персональных данных в случае неисполнения или неполного исполнения им требований Закона № 152-ФЗ, перенесено на начало 2011 г.

До этого момента кредитным организациям для построения системы безопасной обработки персональных данных предстоит:

1) выявить и классифицировать группы персональных данных, используемых в текущей деятельности;

2) определить области использования (обработки) персональных данных;

3) выявить необходимый и достаточный набор персональных данных и типовых операций с ними;

4) оценить качество и уровень подготовленности информационных систем, задействованных в обработке персональных данных;

5) выявить основные риски обработки необходимого и достаточного набора персональных данных и типовых операций с ними;

6) определить основные факторы возникновения рисков обработки персональных данных кредитными организациями;

7) построить риск-ориентированную модель обработки персональных данных и распределить ответственность обработки между уполномоченными сотрудниками;

8) разработать внутрибанковские документы, регламентирующие процесс обработки персональных данных;

9) провести обучение персонала, задействованного в обработке персональных данных;

10) наладить процессы внутреннего контроля за обработкой персональных данных.

Вышеописанный алгоритм построения эффективной системы обработки персональных данных сложен, поскольку является новым для кредитных организаций и требует в том числе привлечения сторонних специалистов.

Такая постановка вопроса продиктована в первую очередь тем, что кредитной организацией в текущей деятельности реализовывается достаточное количество профильных задач при ограниченном составе и квалификации персонала. Во-вторых, самостоятельная реализация отдельных пунктов невозможна (например, оценка соответствия имеющегося оборудования, помещений и квалификации сотрудников, обрабатывающих персональные данные), поскольку их осуществление требует получения лицензии на такие виды деятельности и наличия должной квалификации.

* * *

Процесс построения кредитными организациями эффективных систем обработки персональных данных будет в любом случае контролироваться государством, ввиду того что от функционирования кредитных организаций как самостоятельных социально значимых финансовых институтов напрямую зависит качество развития национальной экономики. Еще одним доводом в пользу построения таких систем становится риск потери деловой репутации.

Кредитным организациям следует принять необходимость исполнения требований Закона № 152-ФЗ как существенное условие для построения собственной конкурентоспособной риск-ориентированной корпоративной бизнес-модели и продолжить работать дальше.

 
 
 
 
Другие проекты группы «Регламент-Медиа»