Круглый стол Информационная безопасность банков и страховых компаний

Зарегистрируйтесь, чтобы просмотреть полный документ!

Круглый стол «Информационная безопасность банков и страховых компаний» «Золотое кольцо» , 14 февраля 2008 года Реализация требований государственных регуляторов по защите персональных данных в кредитно-финансовых учреждениях М. Ю. Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА»

ЛЕГЕНДА ДОРОЖНОЙ КАРТЫ Цитаты законов, постановлений, иных нормативных актов Положения нормативных актов, на которые необходимо обратить особое внимание Комментарии, выводы, рекомендации

СОБЫТИЯ Поздравляю! С 26 января 2007 года все банки и страховые компании – операторы данных! К 1 января 2008 года большинство из них должны были уведомить об этом Россвязьохранкультуру! Вы рады? Нет? Почему? !

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ Принятие ФЗ «О персональных данных» повышает риски кредитнофинансовых учреждений: ü Сложность запроса специальных категорий персданных (судимость, состояние здоровья и др. ) ü Увеличение количества надзирающих и контролирующих органов, тематики проверок ü Усиление ответственности за утечку ü Технические сложности запросов персданных в ЦККИ

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Обязательные условия обработки персональных данных: ü согласие субъектов персональных данных ü наличие федерального закона, устанавливающего ее цель, условия получения персданных и круг субъектов, персданные которых подлежат обработке, а также определяющего полномочия оператора ü исполнение договора, одной из сторон которого является субъект персданных

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания Добровольное медицинское и пенсионное страхование Приобретение билетов для командировок и бронирование гостиниц On-line регистрация персданных Заключение договоров с контрагентами, затрагивающими физических лиц

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Обработка персданных осуществляется только с согласия в письменной форме субъекта. Письменное согласие субъекта должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персданных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование и адрес оператора, получающего согласие; 3) цель обработки персданных; 4) перечень персданных, на обработку которых дается согласие; 5) перечень действий с персданными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных; 6) срок, в течение которого действует согласие, а также порядок его отзыва.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Настоящим даю свое согласие АКБ «… банк …. » : • на обработку своих персональных данных в соответствии с требованиями ФЗ «О персональных данных» (под обработкой персональных данных в соответствии со ст. 3 ФЗ «О персональных данных» понимаются действия (операции) с персональными данными физических лиц, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных); • на получение АКБ «… банк …» необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом «О кредитных историях» № 218 -Ф 3 от 30. 12. 2004.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Настоящим Заемщик выражает свое согласие на обработку персданных, включая обработку Банком персданных Заемщика в целях продвижения на рынке услуг Банка путем осуществления с Заемщиком прямых контактов с помощью средств связи в соответствии со статьей 15 ФЗ от 27. 07. 2006 г. № 152 -ФЗ «О персональных данных» , а также распространение персданных Заемщика лицам, указанным в пункте Х. Х настоящего Договора. В случае отзыва Заемщиком данного согласия на обработку персданных Заемщика, Банк обязан прекратить обработку персданных Заемщика и уничтожить их после исполнения Заемщиком всех своих обязательств по настоящему Договору, за исключением персданных, дальнейшая обработка которых является обязанностью Банка, установленной законодательством Российской Федерации.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Пункт Х. Х Договора: Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, содержащуюся в настоящем Договоре, его приложениях и документах, представляемых Сторонами другу, включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе: …иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Статья 857 ГК РФ: Банковская тайна 1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. 2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом. 3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

БАНКОВСКАЯ ТАЙНА Гражданский кодекс Российской федерации Тайна банковского счета и банковского вклада, операций по счету и сведений о клиенте ФЗ «О банках и банковской деятельности» Тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, … а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону Сведения, составляющие БТ, Справки по счетам и вкладам предоставляются только самим физлиц выдаются кредитной клиентам или их представителям, организацией им самим, судам, а также могут быть представлены организации, осуществляющей в бюро кредитных историй на функции по обязательному основаниях и в порядке, которые страхованию вкладов, … а при предусмотрены законом. наличии согласия прокурора - Госорганам и их должностным органам предварительного лицам такие сведения могут быть следствия предоставлены исключительно в случаях и порядке, которые предусмотрены законом

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Как оформить Кредит наличными? ü Отправьте on-line заявку на получение Кредита наличными ü Сотрудник банка свяжется с вами и сообщит о возможной сумме кредита ü Придите в ближайшее отделение банка и заполните заявление на оформление Кредита наличными. Банк получает персональную информацию о Вас, когда Вы подаете заявление на банковское обслуживание и/или получение кредита, а также когда Вы пользуетесь некоторыми нашими службами или продуктами. Под персданными мы понимаем любую информацию, относящуюся к субъекту персональных данных, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и другую информацию. Мы обрабатываем ваши персданные, для того чтобы рассмотреть возможность предоставления запрошенной услуги, а также помочь вам осуществлять банковские операции. Под обработкой персональных данных нами понимается сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача) обезличивание, блокирование, уничтожение и любые другие действия (операции) с персональными данными. При обращении Банк вы даете свое личное согласие на обработку ваших персональных данных, которое может быть отозвано в соответствии с действующим законодательством РФ. Подлинник указанного отзыва, подписанный вами может быть представлен в офис Банка.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Подача заявления на кредит – это договор о намерениях заключить кредитный договор на условиях банковской оферты

ЗАКОНЫ, УСТАНАВЛИВАЮЩИЕ ЦЕЛЬ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ Цель Защита прав и законных интересов граждан, общества и государства путем создания правового механизма противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма Создание и определение условий для формирования, обработки, хранения и раскрытия бюро кредитных историй информации, характеризующей своевременность исполнения заемщиками своих обязательств по договорам займа(кредита), повышения защищенности кредиторов и заемщиков за счет общего снижения кредитных рисков, повышения эффективности работы кредитных организаций Основание ФЗ «О противодействии легализации(отмыванию) Доходов…» . Ст. 7 ФЗ «О кредитных историях» . Ст. 5 (только при наличии на это письменного или иным способом документально зафиксированного согласия заемщика)

ЧТО МОЖНО И НУЖНО СДЕЛАТЬ УЖЕ СЕЙЧАС Необходимые шаги 1. Выявить информационные системы, обрабатывающие персональные данные 2. Определить наличие оснований для обработки персональных данных (отдельный подвопрос – передача персональных данных) 3. Определить состав персональных данных для каждой системы (сформировать Перечень) 4. Определить пути получения согласия субъектов для тех баз данных, где это требуется

ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ТИПОВОГО БАНКА Система кадрового учета персонала База данных клиентовфизических лиц База данных контактов клиентов-юридических лиц Контактные списки работников (MS Outlook)

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ Содержание кредитной истории 2. В титульной части кредитной истории физического лица содержится следующая информация о субъекте кредитной истории: 1) фамилия, имя, отчество (если последнее имеется), дата и место рождения; 2) данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего органа); 3) ИНН (если лицо его указало); 4) страховой номер индивидуального лицевого счета (если лицо его указало) 3. В основной части кредитной истории физического лица содержатся следующие сведения (если таковые имеются): 1) в отношении субъекта кредитной истории: а) указание места регистрации и фактического места жительства; б) сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя;

БЕЗОПАСНОСТЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий.

БЕЗОПАСНОСТЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Трудовой кодекс РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты 7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами; 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; 9) работники не должны отказываться от своих прав на сохранение и защиту тайны; 10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 Об утверждение Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ФСБ России и ФСТЭК утвердить в пределах своей компетенции в 3 месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим Постановлением

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 2. …Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации 3. Достаточность принятых мер по обеспечению безопасности персданных при их обработке в ИС оценивается при проведении государственного контроля и надзора 5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия 6. ИС классифицируются госорганами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персданных … Порядок проведения классификации ИС устанавливается совместно ФСТЭК, ФСБ и Мининформсвязи.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 11. При обработке персданных в ИС должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение НСД к персданным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов НСД к персональным данным; в) недопущение воздействия на техсредства автоматизированной обработки персданных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персданных, модифицированных или уничтоженных вследствие НСД к ним; д) постоянный контроль за обеспечением уровня защищенности персданных.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 12. Мероприятия по обеспечению безопасности персданных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персданных, обеспечивающей нейтрализацию предполагаемых угроз …, предусмотренных для соответствующего класса ИС; в) проверку готовности СЗИ к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих СЗИ, применяемые в ИС, правилам работы с ними;

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 12. Мероприятия по обеспечению безопасности персданных при их обработке в ИС включают в себя: е) учет применяемых СЗИ, эксплуатационной и технической документации к ним, носителей персданных; ж) учет лиц, допущенных к работе с персданными в ИС; з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и техдокументацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персданных, использования СЗИ, которые могут привести к нарушению конфиденциальности персданных или другим нарушениям, приводящим к снижению уровня защищенности персданных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 17 ноября 2007 г. N 781 14. Лица, доступ которых к персданным, обрабатываемым в ИС, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом. 15. Запросы пользователей ИС на получение персданных…, а также факты предоставления персданных по этим запросам регистрируются автоматизированными средствами ИС в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

ЧТО МОЖНО СДЕЛАТЬ УЖЕ СЕЙЧАС Очередной шаг Определить всех пользователей информационной системы персональных данных, документально оформить их допуск к работе с персданными в виде утвержденного руководителем организации (предприятия) списка

ЧТО МОЖНО СДЕЛАТЬ УЖЕ СЕЙЧАС Очередной шаг Проанализировать существующие меры защиты АС и их сегментов, где ведется обработка персональных данных, наметить шаги по приведению их в соответствие с требованиями закона и начать реализацию таких мер

КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЗ «О персональных данных» Статья 23. Уполномоченный орган по защите прав субъектов персональных данных Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи [Россвязьохранкультура].

КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 2. Контроль и надзор за выполнением требований, установленных Правительством РФ …, осуществляются ФОИВ, уполномоченным в области обеспечения безопасности [ФСБ], и ФОИВ, уполномоченным в области противодействия техническим разведкам и технической защиты информации [ФСТЭК]

КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ Постановление Правительства РФ от 17 ноября 2007 г. N 781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных 6… Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК, ФСБ РФ и Министерством информационных технологий и связи Российской Федерации.

Положение о лицензировании деятельности по технической защите конфиденциальной информации 2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Кодекс РФ об административных правонарушениях Статья 13. Незаконная деятельность в области защиты информации Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа … на должностных лиц - от 20 до 30 МРОТ с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот МРОТ с конфискацией средств защиты информации или без таковой.

УГОЛОВНЫЙ КОДЕКС РФ Статья 171. Незаконное предпринимательство 1. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние … сопряжено с извлечением дохода в крупном размере 2. То же деяние: а) совершенное организованной группой; б) сопряженное с извлечением дохода в особо крупном размере Реализация режима коммерческой тайны на предприятии

Круглый стол «Информационная безопасность банков и страховых компаний» «Золотое кольцо» , 14 февраля 2008 года ВОПРОСЫ? М. Ю. Емельянников ( (495) 980 -2345 m. eme@infosec. ru

Скачать презентацию Круглый стол Информационная безопасность банков и страховых компаний

9469068e9d4addda23e3d1dd4d9a7d96.ppt

Количество слайдов: 36