"Кредитная кооперация: сегодня, завтра, всегда!"

 

Единственное бесплатное и независимое СМИ для кредитных кооперативов России. Скачать Все выпуски издания

Связаться с нами

Федерация СРО кредитных кооперативов
Чебоксары, Чувашская Республика

Телефон: +7 927 848 20 77

Факс: +7 8352 56 06 29

Skype: novista_450

Почта: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Последние новости

Все новости

Заметили ошибку? Нажмите Ctrl+Enter!

Вы здесь:

Понедельник, 29 февраля 2016 10:48

Основные аспекты защиты персональных данных в финансовых организациях

Автор Иовлев Кирилл
Оцените материал
(1 Голосовать)
Основные аспекты защиты персональных данных в финансовых организациях

Одним из основных и немаловажных вопросов для финансовых организаций, является вопрос защиты персональных данных. Законодательно определены виды персональных данных, способы их защиты в зависимости от значимости, и возможные каналы утечки персональных данных. Защита персональных данных относится к категории информационной безопасности финансового учреждения. Ее надежность во многом дает финансовому учреждению конкурентные преимущества в этом сегменте рынка, повышает стабильность для клиентов и служит залогом клиентского доверия.

Нормам и принципам защиты персональных данных граждан уделяется важнейшее значение в любой демократической стране. Законодательно в России эти нормы приняты в ст.2 Конституции РФ. Любое неумышленное либо преднамеренное распространение данной информации является серьезным орудием для людей и организаций, ставящих за цель использование такой информации в собственных либо корыстных целях. Обеспечение нераспространения и сохранности персональных данных, является проблемой для основной массы российских финансовых учреждений.

В нынешнее время деятельность любой организации невозможна без применения электронных систем, реестров контрагентов и всевозможных автоматизированных хранилищ информации. В большей степени тотальная компьютеризация, автоматизация и сведение к минимуму влияния человеческого фактора относится к финансово-кредитным, коммерческим и торговым структурам. Сложность технологических процессов и их автоматизация напрямую влияют на возможность утечек конфиденциальных данных. Сохранностью таких данных, как правило, занимается внутренняя безопасность предприятия. Утечка, некорректное использование, либо преднамеренная корректировка персональных данных в финансово-кредитных структурах, может привести к значительным финансовым потерям и полной остановке предприятия. Помимо всего прочего, такие действия могут привести к потере деловой репутации на рынке, оттоку клиентов, и, как следствие – материальным потерям финансовой организации и упущенной прибыли.

С развитием электронных платежей и разнообразных автоматизированных баз данных, увеличилось и количество правонарушений в этом секторе экономики. Злоумышленники активно применяют вредоносное программное обеспечение, всевозможные хакерские программы, а также электронные средства оперативной интеграции в существующие реестры персональных данных, целью работы которых является сбор и противозаконное использование данной конфиденциальной информации. Итогом такого стороннего вмешательства будут как негативные последствия для каждого клиента в отдельности, так и для финансового учреждения-оператора персональных данных в целом.

К персональным данным относят: паспортные данные, данные с места трудоустройства, данные из государственных органов о налоговых отчислениях субъекта, социально – жилищные данные, медицинские и страховые выписки. Фактически, персональные данные – это объективная и всесторонняя информация об определенном либо определяемом контрагенте. При умышленном незаконном ее применении, данная информация способна нанести клиенту финансового учреждения непоправимый вред, как в финансовом, так и в моральном плане.

Субъектами проверки для финансово-кредитных учреждений могут являться также сотрудники учреждения, в отношении которых осуществляется сбор персональных данных. Обычно финансовые структуры крайне скрупулезно изучают биографии своих сотрудников на предмет наличия в них каких-либо противоправных действий в прошлом. Обусловлено это тем, что в данные сотрудники будут являться ответственными за сохранение и нераспространение персональных данных клиентов финансового учреждения. И недобросовестное выполнение обязанностей по сохранению конфиденциальной информации чревато для финансовой структуры финансовыми потерями, убытками и негативной деловой репутацией на рынке.

Кредитные организации, в силу специфики работы, обязаны собирать, проверять и систематизировать персональные данные клиентов. Это обусловлено необходимостью тщательной проверки заемщиков на предмет несоответствия предоставленных данных действительности. Такими действиями кредитные организации минимизируют процент недобросовестных клиентов и, как следствие, потери денежных средств. Однако такие меры подразумевают под собой максимальное количество персональных данных заемщиков, и, как следствие, увеличивают количество возможностей для их несанкционированного распространения.

Отдельным сегментом финансовых организаций являются кредитные кооперативы. Они представляют собой объединение групп физических либо юридических лиц, деятельность которых направлена на финансовую взаимопомощь как структурам, входящим в кооператив, так и сторонним физическим лицам. В силу увеличения структуры, по сравнению со стандартной финансовой организацией, увеличиваются также возможности несанкционированного распространения персональных данных. Такое распространение может касаться как персональных данных членов финансового кооператива, так и конфиденциальной информации о клиентах финансового учреждения. Финансовым кооперативам, для сведения к минимуму возможностей утечки и разглашения конфиденциальной информации, необходимо выработать единую концепцию хранения и использования таких данных, единой для всей структуры и каждого субъекта, входящего в финансовый кооператив.

В финансово-кредитных организациях персональные данные хранятся в следующих информационных системах:

  • автоматизированная банковская система;
  • системы мгновенных денежных переводов;
  • электронные бухгалтерские системы учета;
  • данные отдела персонала о сотрудниках;
  • корпоративная информационная система;
  • внутренний портал предприятия.

Не исключено также хранение конфиденциальной информации и персональных данных на бумажных носителях. В таких случаях создаются специализированные архивы, доступ к которым предоставлен ограниченному числу сотрудников, которые, согласно Устава и внутренних правил финансовой структуры, несут персональную ответственность за сохранность конфиденциальной информации.

Федеральный закон «О персональных данных» РФ дает четкое определение юридическим и физическим лицам, которые могут являться операторами персональных данных граждан страны. Также в законе прописаны права и обязанности таких операторов по сбору, хранению и обработке конфиденциальных данных. Законом предусмотрены санкции, штрафы, а также административная и уголовная ответственности для финансовых структур-операторов, за несоблюдение правил такого хранения.
Из определения Федерального закона вытекает, что все без исключения организации являются операторами персональных данных. Помимо этого организации осуществляют систематизацию и обработку персональных данных клиентов, поставщиков, кредиторов, прочих физических и юридических лиц, связанных с непосредственной деятельностью организации.

Перечень персональных данных, подлежащих защите в коммерческом банке, формируется в соответствии с законом «О персональных данных» и Уставом финансовой организации. Финансовые организации выполняют сбор и обработку следующих видов персональных данных:

  • Данные клиентов финансовой организации;
  • Данные сотрудников предприятия;
  • Данные поставщиков услуг предприятия;
  • Данные поручителей заемщиков кредитной организации;
  • Прочих лиц, связанных с непосредственной деятельность структуры (Кредитованием).

Кроме того, финансовая структура обрабатывает информацию, необходимую ей для полного и своевременного выполнения своих обязательств по договорным отношениям, а также минимизации рисков, связанных с выдачей денежных кредитов.

Субъектами угроз информационной безопасности финансовой структуры могут выступать:

  • конкурирующие организации со схожими видами деятельности;
  • криминальные структуры, в задачу которых входит незаконное завладение информации с целью дальнейшего ее несанкционированного использования;
  • персонал самого финансового учреждения, который из корыстных, либо других мотивов нарушает правила хранения персональных данных;
  • государственные органы, которые незаконными способами стремятся получить информацию о клиентах финансового учреждения.

Отдельно в информационных угрозах выделяют персонал финансовых учреждений. В 70% случаев утечки информации именно он является способом получения доступа к персональным данным финансового учреждения.

  • отсутствие персональной ответственности должностных лиц банка за сохранность конфиденциальных сведений;
  • допуск к конфиденциальной информации необоснованно широкого круга лиц;
  • нарушение правил специализированных правил ведения делопроизводства;
  • отсутствие должного контроля над хранением персональных данных и конфиденциальной информации;
  • безответственное отношение должностных лиц к защите персональных данных.

Под угрозами безопасности персональных данных при их обработке в информационной системе понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к конфиденциальной информации, результатом которого может стать изменение, распространение, копирование, а также иные несанкционированные действия при их обработке в информационной системе персональных данных. Появление угроз безопасности может быть связано как с целенаправленными действиями злоумышленников, так и с непреднамеренными действиями персонала финансового учреждения или других пользователей информационной системы персональных данных. 

В нынешнее время развития высоких технологий, важнейшую роль в безопасности хранения персональных данных финансовыми учреждениями, служит кибер безопасность. Ежедневно сотрудники финансовых структур для передачи и обработки информации, содержащей коммерческую тайну и персональные данные, пользуются электронными средствами связи. В эти моменты возникает риск быть подвергнутыми хакерским атакам либо похожим видам кибепреступности. С развитием новых технологий кибер преступность становится всё опаснее, методы постоянно прогрессируют и службам внутренней безопасности финансовых учреждений порою сложно отследить и локализовать все угрозы. Есть ряд основных причин, которые, во избежание финансовых потерь в будущем, следует локализовать на этапе построения системы внутренней безопасности финансовой структуры:

  • ошибки при разработке программного обеспечения;
  • преднамеренные изменения программного обеспечения с целью внесения уязвимостей;
  • неправильные настройки программного обеспечения;
  • несанкционированное внедрение вредоносных программ;
  • неумышленные действия пользователей;
  • сбои в работе программного и аппаратного обеспечения.

Универсальным способом минимизации рисков кибер угроз являются превентивные меры максимального сокращения доступа к основным программным узлам финансовой структуры.

Также следует минимизировать внешний фактор воздействия несанкционированному распространению конфиденциальной информации со стороны сотрудников. Иными словами – ограничить возможность установки и эксплуатации любого стороннего программного обеспечения без согласования со службой экономической безопасности, запретить сбор конфиденциальной и коммерческой информации на внешние носители (смартфоны, флеш-карты, съемные накопители), строго регламентировать и ограничить количество сотрудников финансовой структуры, имеющих доступ к базам персональных данных.

Практическую реализацию мер, описанных выше, описывает и регламентирует приказ Федеральной службы по техническому и экспертному контролю РФ № 21.

Среди комплекса мероприятий по защите персональных данных, можно выделить следующие:

1) обеспечения конфиденциального делопроизводства в финансовых структур, личная ответственность сотрудников за хранение и передачу персональных данных клиентов;
2) систематический контроль и проверки выполнения приказов по соблюдению правил работы с персональными данными;
3) организация охранных мероприятий и принятие мер для обеспечения сохранности персональных данных в местах их сбора:
4) организация защиты от технической утечки конфиденциальной информации:
• изоляция и охрана помещений, предназначенных для ведения конфиденциальных переговоров;
• ограничение доступа к техническим объектам хранения персональных данных и конфиденциальной информации;
5) назначение лиц и отделов, напрямую ответственных за хранение персональных данных;
6) периодический анализ и аудит мер по сохранности персональных данных и конфиденциальной информации;
7) систематизация материальных объектов, несущих или имеющих отношение к конфиденциальной информации;
9) многоуровневая система доступа среди сотрудников к персональным данным;
10) установление персональной ответственности сотрудников за хранение, сбор и неразглашение персональных данных и конфиденциальной информации, касающейся деятельности финансового учреждения;
11) Назначение администратора системы безопасности, в полномочия которого будет входить распределение ответственности на каждом из этапов доступа к персональным данным;
12) установление порядка оформления документооборота, касающегося конфиденциальных сведений и персональных данных;
13) контроль поверхностной и внутренней целостности технологического и компьютерного оборудование в помещениях финансового учреждения;
14) ограничение возможностей получения паролей, ключей, носителей с конфиденциальной информацией;
15) ежедневное выявление изменений в средствах защиты конфиденциальной информации, произошедших в нерабочее время;
16) согласование с охранными организациями внешнего контроля за защитой помещений и зданий финансовой структуры, в которых находятся персональные данные;
17) обучение сотрудников принципам правильной работы с конфиденциальной информацией и методами защиты персональных данных.
18) организация информационной защиты финансового учреждения, в которой итоговое подтверждение операции, транзакции, согласования, остается за руководителем структуры;
19) организация доступа сотрудников финансового учреждения к носителям /хранилищам персональных данных путем биометрических методов идентификации;
20) настройка автоматического реагирования системы на попытки внешнего проникновения в электронные хранилища персональных данных с последующей блокировкой пользователя/группы пользователей/отдела/источника стороннего вмешательства.
Контроль над соблюдением, администрированием, развитием и выполнением мер по информационной защите финансовой структуры возложить на отдел внутренней (экономической) безопасности.
Прежде чем приступать к построению эффективной системы защиты информации, целесообразно провести анализ уязвимостей системы хранения персональных данных и попытаться сократить их количество, то есть использовать метод превентивности. Например, закрыть лишние порты, поставить «заплатки» на программное обеспечение, ввести более сильные методы аутентификации. Эти меры могут существенно сократить материальные, временные и трудовые затраты на построение системы защиты персональных данных в дальнейшем
В целом, система нормального функционирования механизма защиты персональных данных в финансовых структурах строится на многоуровневом контроле персонала, оборудования и упреждения воздействия сторонних факторов.
При осуществлении кредитно-финансовых операций, такие структуры должны учитывать, что понятие «персональные данные», входит в перечень сведений, составляющих банковскую тайну. На основании ст. 857 «Банковская тайна» Гражданского кодекса РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом «О кредитных историях». Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.
Согласно ст. 26 ФЗ «О банках и банковской деятельности» кредитная организация гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральным законам. Банковская тайна является частным видом коммерческой тайны банка. И коммерческая, и банковская тайны, и персональные данные являются конфиденциальной информацией, доступ к которой ограничен, утечка которой может нанести значительный ущерб кредитной организации.
В СМИ постоянно появляются репортажи об утечках и несанкционированному использованию персональных данных. Среди известных и наиболее резонансных случаев можно привести такие, как найденные в Сургуте сотни персональных дел заемщиков ОАО «Сибирский банк развития бизнеса», выброшенные на улицу копии паспортов клиентов «Сбербанка» в Озерске, взлом хакерами виртуальной сети знакомств, в которой насчитывалось порядка 20 миллионов пользователей, половина из которых была гражданами России.
Причины и природу таких случаев нужно рассматривать в комплексе. Задействована здесь как халатность и алчность персонала финансовых компаний, так и происки конкурирующих организаций, и банальное хулиганство.
Данные случаи являются поводом для пересмотра финансово-кредитными организациями мер и мероприятий, направленных на сохранение конфиденциальной информации и персональных данных клиентов. Потеря и распространение таких данных грозит финансовой организации, как лишением лицензии, так и прямой уголовной ответственностью руководства и акционеров.
Подводя итог, можно сказать, что для финансовых организаций, связанных с кредитованием физических и юридических лиц, вопросы безопасности персональных данных являются первостепенными. От качественного их решения напрямую зависит репутация финансовой структуры, ее прибыль и количество клиентов. Пренебрежение и отсутствие должного внимания к вопросам безопасного хранения конфиденциальной информации, может повлечь за собой необратимые последствия для финансовой структуры, убытки и испорченную навсегда репутацию на финансовом рынке Российской Федерации.
В большей степени соблюдение мер, упреждающих утечку конфиденциальной информации и персональных данных заемщиков, следует соблюдать финансовым кооперативом. Так как данные структуры представляют собой совокупность нескольких организаций, с разными подходами, средствами и возможностями для сохранения персональных данных, комплекс мероприятий для сохранения и неразглашения персональных данных у финансовых кооперативов должен быть единым для всех субъектов структуры.

 

Прочитано 304 раз Последнее изменение Вторник, 29 августа 2017 10:52
Авторизуйтесь, чтобы получить возможность оставлять комментарии
Федерация СРО кредитных кооперативов

Помните!

cred-zakon

Федеральный закон N 190-ФЗ

Федеральный закон о кредитной кооперации.

Подробнее...

russia

Федеральный закон № 115-ФЗ

Закон о противодействии легализации доходов...

Подробнее...

Возможности

Что вы получаете?

Вступив в наши члены, кооперативы получают ряд возможностей:

language classes

  • Единая стратегия развития
  • Обмен опытом с целью повышения качества управления

Подробнее...

Обучение

Прогресс гарантирован

Возможность существенно повысить производительность труда в КПК.

language classes

  • Проведение семинаров
  • Курсы повышения квалификации для кредитных инспекторов

Подробнее

Общайтесь!

  • Нет сообщений для показа