В настоящее время невозможно представить деятельность банка без работы с информацией о его клиентах. Финансово-кредитные организации хранят и обрабатывают информацию о сотрудниках, клиентах, партнерах и других лицах. Безусловно, любая утечка или потеря персональных данных способна привести к невосполнимому ущербу для бизнеса и репутации. Наряду с этим защита персональных данных – это требование законодательства. В условиях цифровизации экономики и перехода на удаленную идентификацию требования к безопасному хранению и обработке такой информации будут повышаться.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В РАМКАХ ЦИФРОВИЗАЦИИ ЭКОНОМИКИ
В конце прошлого года Правительственная комиссия по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности утвердилапланмероприятийпонаправлению «Информационная безопасность» программы «Цифровая экономика Российской Федерации» на 2018 – 2024 годы. Это одно из ее нескольких направлений, важность которого понимается и поддерживается на государственном уровне.
По словам премьер-министра России Дмитрия Медведева, план содержит меры, которые позволяют препятствовать киберпреступлениям на современном технологическом уровне: «Цифровая экономика является предметом воздействия не только государства, но и различных сил, которые пытаются в свою сторону развернуть эти процессы, добиться незаконных результатов. Понятно, что от киберпреступлений могут пострадать и государственные структуры, и бизнес, и обычные люди. Поэтому четвертый из планов содержит меры, которые позволяют этому препятствовать, во всяком случае на современном технологическом уровне. Причем мы говорим не только о безопасности в информационном пространстве, но и о правовой защите в условиях цифровой экономики. Одна из задач этого раздела – повысить грамотность рядовых пользователей, чтобы они комфортно себя чувствовали в цифровой среде, использовали интернет-сервисы, не терялись в разнообразии государственных услуг, не боялись современных технологий в этой сфере, но, с другой стороны, обладали необходимыми познаниями для того, чтобы совершать грамотные действия. Потому что в конечном счете это всегда решение одного человека, который взаимодействует с цифровой средой, и у него должны быть разносторонние представления о том, что делать».
Согласно разработанному плану, в текущем году необходимо провести анализ рисков и угроз безопасного функционирования единой сети электросвязи РФ, а также анализ элементов действующей инфраструктуры российского интернет-сегмента на территории страны, включая существующую схему маршрутизации интернет-трафика.
Должны быть определены потребности использования на территории нашей страны компьютерного, серверного и телекоммуникационного оборудования российского производства, проведен анализ возможностей отечественных производителей оборудования и электронных компонентов, определены необходимые ресурсы. Кроме того, ожидается принятие нормативных правовых актов, определяющих описание типовых объектов закупок программного обеспечения.
В 2018 году появится центр компетенций по вопросам межмашинного взаимодействия, включая киберфизические системы и интернет вещей, определены его подчиненность, полномочия, функции. Речь идет о том, чтобы создать единый государственный орган, ответственный за гармонизацию требований к информационной безопасности.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Важнейшей составной частью соблюдения политики ИБ практически на всех предприятиях является должный уровень обеспечения безопасности персональных данных. Политика государства нацелена на усиление мер контроля в этой сфере. Так, президент России Владимир Путин подписал закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья кодекса под номером 13.11 получила новую редакцию и новое название – «Нарушение законодательства РФ в области персональных данных». Изменения вступили в силу с 1 июля 2017 года. Принятые поправки устанавливают дифференциацию нарушений в сфере обработки персональных данных и новые, более высокие штрафы для каждого случая. Если раньше по результатам проверки налагался один штраф, то теперь их может быть сразу несколько.
Согласно информации регулятора, наиболее распространенным нарушением в данной сфере является предоставление оператором уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. На втором месте – непринятие мер для выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных».
По результатам 65% плановых проверок, проведенных в первом полугодии 2017 года, выявлены нарушения обязательных требований законодательства РФ в области персональных данных, свидетельствуют материалы Роскомнадзора.
Исходя из данных, которые предоставлены в презентации старшего государственного инспектора отдела организации контроля и надзора за соответствием обработки персональных данных управления по защите прав субъектов персональных данных ведомства Анастасии Клочковой, самым распространенным нарушением (11% случаев) стало представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.
На втором месте (9%) – непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Третье место (7%) разделили два вида нарушений. Во-первых, несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации. Во-вторых, непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных.
УДАЛЕННАЯ ИДЕНТИФИКАЦИЯ
Тема обработки и защиты биометрических персональных данных приобрела особую актуальность вследствие нарастающей тенденции использования биометрических сканеров и терминалов в повседневной жизни. Важным моментом стал тот факт, что в конце 2017 года Владимир Путин подписал закон, принятый Госдумой в третьем чтении и предусматривающий возможность открывать банковские счета клиентам – физическим лицам удаленно.
Новый закон устанавливает правовые основы для удаленной идентификации клиента банка – физлица с использованием его биометрических данных, а также сведений о нем, содержащихся в Единой системе идентификации и аутентификации (ЕСИА). Такой механизм позволяет банкам открывать счета клиенту-физлицу без его личного присутствия – через интернет.
Закон вводит обязанность банков (входящих в перечень, установленный Центральным банком РФ) по поручению и с согласия клиента – физического лица осуществлять сбор и передачу в ЕСИА различных персональных (в том числе биометрических) данных клиента. Однако хотя бы один раз гражданину придется пройти идентификацию офлайн, чтобы его биометрические данные были внесены в ЕСИА.
Предусматривается, что обработка биометрических персональных данных в государственных органах, банках и иных организациях осуществляется в соответствии с требованиями к защите биометрических персональных данных, установленными статьей 19 Федерального закона «О персональных данных».
Контролировать выполнение банками мер по обеспечению безопасности персональных данных при использовании единой биометрической системы будет Центральный банк.
Яков СТАВРИНОВ,
руководитель направления по работе с кредитно-финансовыми
организациями компании «Аладдин Р.Д.»
Если говорить о технологиях и методах удаленной идентификации (УИ) в банковской сфере, то основу должны составлять средства защиты идентификационных данных, их надежность и обеспечение защиты данных от компрометации. С внедрением УИ появятся атаки, которые будут направлены на хищение и несанкционированное использование идентификационных данных клиентов.
Основной тенденцией развития УИ в России является внедрение технологий Сбербанка. Возможной альтернативой мог бы быть путь построения УИ по аналогии с крупнейшим в мире индийским банком данных UIDAI, который хранит в себе имена, фамилии, адреса, телефонные номера и банковские данные физических лиц, а также их биометрические параметры – отпечатки пальцев и сканы радужной оболочки глаза. Всего в систему Aadhaar (уникальный персональный номер, присваиваемый системой UIDAI) занесено более миллиарда граждан, это самая крупная база биометрических данных в мире. Номер Aadhaar используется при совершении платежей пользователем, при получении им государственных выплат и в других подобных случаях. Однако и в этом случае стоит помнить о необходимости уделять первостепенное значение вопросам обеспечения безопасности: крупнейший в мире банк биометрических данных UIDAI был взломан за 8 долларов и всего за 10 минут. Поэтому прежде чем массово внедрять УИ, необходимо обеспечить высокий уровень защиты идентификационных данных.
