Правовые вопросы защиты персональных баз данных в банковской сфере

Правовые вопросы защиты персональных баз данных в банковской сфере

Значительный прогресс в развитии информационных технологий в двадцатом и двадцать первом веках, а именно: практически повсеместное внедрение информационно-компьютерных технологий и телекоммуникационных сетей, связанное с этим увеличение объемов и направлений использования персональных данных в различных сферах общественной жизни, их передача новейшими коммуникационными средствами, существенно расширили возможности сбора, хранения и обработки информации относительно физических лиц, а также быстрое получение данных из других источников.Исследование проблемы правового регулирования отношений в банковской сфере, возникающие в связи с обработкой (сбором, хранением, использованием, распространением) и защитой персональных данных, является необходимым для введения адекватного юридического механизма в национальную юридическую практику, что будет способствовать эффективной реализации положений Конституции Украины.Вопросы защиты персональных данных в банковской сфере, после принятия Закона Украины "О защите персональных данных", стало весьма актуальным. Возникла и необходимость в решении вопросов защиты персональных данных в банковской сфере в государстве согласно принципам европейских стандартов.

Вместе теоретические и практические вопросы правового регулирования отношений по защите персональных данных именно в банковской сфере до сих пор оставались без внимания представителей науки.Правовое регулирование защиты персональных данных осуществляется на основе национальных законодательных актов, среди которых Законы Украины "О защите персональных данных", "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных", "Об информации", "О банках и банковской деятельности" и ряда разъяснений к ним, а также подзаконных нормативных актов и рекомендаций Национального банка Украины и Государственной службы Украины по вопросам защиты персональных данных.

К сожалению, проблемные вопросы, связанные с защитой персональных данных в банковской сфере, остаются нерешенными. Вопросы защиты персональных данных физического лица исследуют отечественные ученые: А. Баранов, В. Брижко, Ю. Базанов, В. Галаган, М. Гуцалюк, А. Жуковская, В. Лужецкий, А. Пазюк, В. Цимбалюк, Т. С. Шалига и др.

Не решена ранее часть общей проблемы. Механизм защиты персональных данных в банковской сфере на сегодня не достаточно совершенен и требует существенной доработки не только в Украине, но и в таких зарубежных представительствах, как банк БелВЭБ. Процесс работы банковских учреждений с персональными данными должна регулироваться не только путем принятия локальных процедурных документов, но и на государственном уровне (в частности, путем принятия соответствующего совместного документа Национальным банком Украины и Государственной службой Украины по вопросам защиты персональных данных).Целью статьи является анализ современного состояния правового регулирования защиты персональных данных в банковской сфере и поиск новых предложений и рекомендаций по построению результативной государственной и внутрибанковской системы защиты персональных данных клиентов.

Изложение основного материала. Банковская деятельность тесно связана с использованием информации, в том числе персональных данных. Банковские учреждения в ходе своей деятельности становятся распорядителями и мультипликаторами многочисленных информационных массивов различного формата и назначения, для каждого из которых должен быть установлен отдельный контролируемый режим использования.

Важность урегулирования процессов работы с информацией в банках имеет корни прежде всего в конфиденциальном характере данных, которыми распоряжается финансовое учреждение. Конфиденциальная информация, содержащая персональные данные, характерна тем, что может быть распространена только с разрешения и в порядке, согласованном с владельцем информации. Поэтому в рамках банковской деятельности соглашение банка с клиентом и является тем основополагающим документом, который предусматривает порядок использования персональных данных.Во нормативно-правовым регулированием защиты персональных данных следует понимать осуществляемое государством с помощью права и совокупности правовых средств упорядочения, юридическое закрепление, охрану и развитие общественных отношений в сфере защиты персональных данных.

Исследование значительного количества дефиниций понятия персональных данных, показало, что все они почти тождественны. Действующее национальное законодательство дает такое определение понятию персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (ст. 2 Закона Украины "О защите персональных данных").По нашему мнению, под понятием «персональные данные» следует понимать данные о живом человеке, которое идентифицировано или может быть идентифицировано на основе этих данных или на основе этих данных и дополнительной информации, которая может попасть в лица, контролирующего данные, и содержащие выражения отношение к этому человеку и указание на определенную цель или планы относительно этого человека со стороны лица, контролирующего данные, или другого лица.Почти тождественное определение содержит Акт о защите персональных данных Великобритании ( Data Protection Act 1998) . Данное определение является конкретизированным и, что самое главное - делает акцент именно на цели использования информации о лице, которое в соответствии с положениями ст.

6 Закона Украины "О защите персональных данных", обязательно должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.Проект Типового порядка обработки персональных данных в базах персональных данных (далее - Типовой порядок ) определяет следующую классификацию персональных данных:по природе - объективные и субъективные сведения о физическом лицепо способам обработки - текстовые, графические сведения, сведения в фото-, кино-, аудио-, пред- и видеоформатепо носителям - на бумаге или в электронной формепо степени связи с лицом - данные, касающиеся ее прямо или косвеннопо сроку обработки (хранения) - краткосрочные, среднесрочные, долгосрочные и бессрочныепо содержанию - идентификационные данные, паспортные данные, личные сведения, состав семьи, образование, профессия, биометрические данные, психологические данные, жилищные условия, образ жизни, финансовая информация и др.по субъектному составу - сведения граждан, наемных работников, должностных лиц, плательщиков налогов и сборов, клиентов, покупателей, потребителей, абонентов, пациентов, пассажиров, родителей, субъектов отношений в сфере страхования, субъектов финансовых отношений и других лиц.Соглашаясь с мнением ученых Д. А. Гетманцева и Н.Г.

Шуклиной, следует отметить, что персональные данные являются неотъемлемой частью сведений, составляющих банковскую тайну, и гораздо шире, чем понятие "персональные данные, которые стали известны банку". Все обстоятельства жизни клиента не могут быть известны банку. Корректно было бы охватывать режимом банковской тайны не все персональные данные, а лишь те, предоставление которых банк требует от своих клиентов. Режимом банковской тайны должны охватываться только те персональные данные клиента, банк получает официально, то есть в ходе непосредственного осуществления своей деятельности.Положение международных стандартов предусматривают для всех субъектов информационных отношений обязанность, при котором персональные данные должны:Быть получены законным путемОбрабатываться с согласием на это субъекта данных и количества минимально необходимой для определенной деятельностиБыть точными и обновлятьсяИспользоваться только в строго определенных целяхБыть доступными для субъекта данных и защищены от несанкционированного доступа.

Нормативно-правовое регулирование защиты персональных данных в Украине осуществляется на основе Конституции Украины, Законов Украины "О защите персональных данных", "Об информации", "О нотариате", "О банках и банковской деятельности" и др. Национальные стандарты защиты персональных данных в Украине находятся на зачаточном уровне. Украина только пытается на правовом уровне закрепить общие принципы защиты (определить информацию, относящуюся к персональным данным, порядок работы уполномоченного государственного органа по вопросам защиты персональных данных построения механизма защиты и т.д.).Закон Украины "О защите персональных данных" ввел прогрессивные нормы, которые призваны охранять конфиденциальные данные и личную информацию граждан при их обработке и хранения в различных базах данных. При этом Закон все же является базовым документом, на основе которого началась и продолжается активная работа по разработке целого ряда подзаконных актов, детализирующие нормы Закона на стадии их практического применения.

Правовой механизм защиты персональных представляет собой систему взаимодействующих между собой элементов, среди которых выделяют правовые средства реализации прав человека, а также средства охраны и защиты. Правовые средства реализации включают в себя совокупность полномочий субъекта персональных данных. Средства охраны включают меры, которые направлены на недопущение нарушения прав личности связанных с ее персональными данными.

Ими являются : наличие специально уполномоченного органа по вопросам защиты персональных - Государственной службы по вопросам защиты персональных данных Украины специальный Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных и др. Средства защиты приводят к восстановлению нарушенных прав вызванных неправомерными действиями и привлечения к ответственности лиц, виновных в совершении правонарушений.Согласно п. 3.6 . Типового порядка банк, как владелец базы персональных данных, с целью надлежащего функционирования системы управления персональными данными должна обеспечивать:утверждение необходимых процедур ( методических рекомендаций и правил и т.д. ) о принятии мер по обеспечению текущего функционирования системы управления персональными данными в базах персональных данных защита персональных данных в базе персональных данных от незаконной обработки , а также от незаконного доступа к ним осуществление периодической и текущей оценки эффективности функционирования системы управления персональными данными в базах персональных данныхорганизацию внесение предложений руководству владельца по совершенствованию системы управления персональными данными в базах персональных данныхобязательную регистрацию баз персональных данных в Государственном реестре баз персональных данныхразработку, внедрение и обеспечение надлежащего функционирования системы управления персональными даннымиподдержку требований бизнеса процедурами защиты персональных данных в базах персональных данныхрегистрации инцидентов в системе управления персональными данными.Анализ Закона Украины "О защите персональных данных" (далее - Закон ), в разрезе его влияния на банковскую сферу, показал, что именно его принятия обеспокоило игроков рынка финансовых услуг. Дискуссии вокруг положений Закона усугубляются, особенно с приближением даты введения в действие Закона Украины "О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных".

Поддерживая мнения членов Ассоциация украинских банков и Ассоциации "Украинский Кредитно-Банковский Союз" следует обратить внимание на то, что терминологический блок Закона не освещает ряда понятий, о которых идет речь в документе. Так, дано определение понятия, процесса и параметров проведения идентификации, с которой связан ряд направлений работы с персональными данными.Трактовка персональных данных как сведений, по которым лицо может быть идентифицировано, является неполным, поскольку принципы идентификации не установлено. Расплывчатым является формулировка признаков третьего лица как субъекта отношений по использованию персональных данных, поскольку тесно пересекается с определением альтернативного распорядителя данных.

Провозглашенные требования Закона по работе с персональными данными в некоторых направлениях корне деформируют установленные процедуры информационной деятельности банков. При этом со ссылкой на требования Закона "О защите персональных данных" банки лишены возможности осуществлять в отношении клиента маркетинговые и другие инициативные активности , если такая цель обработки персональных данных клиента не определена в договоре. Поэтому, противоречивые несогласованные положения действующих законодательных актов вызывают осложнения и невозможным информационную, в том числе и маркетинговую деятельность банковских учреждений.

Установлено, что система защиты персональных данных в банковской сфере представляет собой в единстве и согласованности совокупность правовых норм и институтов , направленных на обеспечение защиты персональных данных при осуществлении банковской деятельности и должна включать следующие элементы - получение согласия субъекта персональных данных, регистрации баз персональных данных, меры по защите персональных данных в соответствии с Типовым порядком обработки персональных данных в базах персональных данных и др.Продолжая исследования системы защиты персональных данных в банковской сфере, по нашему мнению, целесообразно было бы рассмотреть Проект Рекомендации по обеспечению защиты персональных данных в базах персональных данных от незаконной обработки , а также от незаконного доступа к ним (далее - Проект Рекомендаций) .Согласно положениям вышеупомянутого проекта именно банк, как владелец базы персональных данных, должен создавать условия для защиты персональных данных и обеспечивать защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним. В каждом случае банк может провести детальный анализ угроз и факторов, влияющих на уровень риска. На основе анализа рисков он должен решить, какой уровень защищенности базы персональных данных является необходимым для создания условий по защите персональных данных.

Обеспечение банком условий для защиты персональных данных в базах персональных данных является постоянным процессом, который обычно должен включать:Разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий по обработке персональных данных с учетом серьезности последствий таких нежелательных событийВнедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечение функционирования мероприятий, процессов и процедур защиты персональных данныхОценки и, по возможности, измерения производительности процессов защиты персональных данных в соответствии с принятой политикой, целями и практическим опытом, подготовка предложений по корректирующих мероприятийПринятие корректирующих и предупреждающих действий по защите персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное совершенствование мер, процессов и процедур.Следует отметить , что такой элемент национального механизма защиты персональных данных как применение юридической ответственности занимает особое место. Законом Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" установлена административная и уголовная ответственность за нарушение законодательства в сфере защиты персональных данных, которая выступает в качестве принудительного средства реализации государственного управления в сфере защиты персональных данных, как средство обеспечения охраны прав субъектов персональных данных и как средство применения санкций за совершение административных правонарушений и преступления.Возможность применения ответственности за нарушение законодательства в сфере защиты персональных данных стала той мотивацией и рычагом, которые ускоряют приведения владельцами баз персональных данных своей деятельности в соответствие с положениями действующих нормативных актов, тем самым создавая более надежные условия для реализации субъектами персональных данным свои законных прав в этой сфере.

В соответствии с положениями Кодекса Украины об административных правонарушениях , лицами, имеют право составлять протоколы об административных правонарушениях по делам о нарушении законодательства в сфере защиты персональных данных являются уполномоченные на то должностные лица специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных - Государственной службы Украины по вопросам защиты персональных данных. Проанализировав ее структуру, мы считаем , что фиксация правонарушений в сфере защиты персональных данных будет осуществляться недостаточно эффективной, в связи с тем , что весь штат работников данного органа находится в Киеве, а проводить работу по выявлению правонарушений необходимо будет осуществлять по всей территории Украины.Таким образом установлено, что на сегодня осуществления полного анализа системы защиты персональных данных в банковской сфере остается проблематичным . На сегодня кроме Закона Украины "О защите персональных данных" и других подзаконных актов общего характера, существует только один Письмо Национального банка Украины относительно урегулирования вопроса защиты персональных данных в банковской сфере, в котором сказано , что порядок обработки персональных данных , относящихся к банковской тайны, утверждается Национальным банком Украины. Причем, Национальный банк Украины только после принятия соответствующими органами нормативных актов в сфере защиты персональных данных, в случае необходимости, внесет изменения в действующие Правила хранения, защиты, использования и раскрытия банковской тайны, утвержденных постановлением Правления Национального банка Украины № 267 от 14.07.2006, или утвердит новые. До этого момента банки должны обеспечивать хранение, защиту, использования и раскрытия банковской тайны (в том числе персональных данных) в соответствии с действующими Правилами.

Положение же вышеупомянутых Правил по хранению, защите информации, содержащей банковскую тайну, не охватывают всех проблемных вопросов, связанных с защитой персональных данных.Подчеркиваем, что Государственной службой Украины по вопросам защиты персональных данных совместно с Национальным банком Украины должно ускориться принятия мер по разработке Порядка обработки персональных данных, относящихся к банковской тайн . При этом разработка профессиональными банковскими объединениями корпоративных кодексов поведения в целях обеспечения эффективной защиты прав субъектов персональных данных может стать важным фактором обеспечения соблюдения законодательства в банковской сфере.

Регистрация базы персональных данных

Имеет ли Государственная служба Украины по вопросам защиты персональных данных региональные подразделения?

Государственная служба Украины по вопросам защиты персональных данных (ГСЗПД) в настоящее время региональных подразделений не имеет . и все её структурные подразделения располагаются по адресу: 02660, г. Киев, ул. М. Расковой, 15.

Какие сведения относятся к персональным данным?

Для использования положений ЗУ «О защите персональных данных» в различных ситуациях законодательством Украины не установлено (и не может быть установлено) четкого (конкретного) перечня сведений о физическом лице, которые относятся к ПД этого физического лица.

В то же время ГСЗПД рекомендует классифицировать ПД в зависимости от:

  • природы сведений:
  • объективные сведения о физическом лице (биометрические данные, состояние счетов другое)
  • субъективные сведения о физическом лице (автобиография, характеристика, досье и т.д.)
  • источника сведений:
  • сведения, которые содержатся в первичных источниках (паспорт, документы об образовании, свидетельства, справки другое)
  • сведения, которые содержатся в других источниках (характеристики, анкеты, информация в интернете).
  • способа обработки сведений:
  • сведения в алфавитно-цифровом формате
  • сведения в графическом формате
  • сведения в аудио-, фото-, кино-, теле- или видеоформате (других форматах)
  • формы обработки сведений:
  • сведения на бумажных носителях
  • сведения на электронных носителях
  • сведения на магнитных носителях
  • сведения на оптических носителях и т.д.
  • требований к обработке сведений:
  • сведения, к которым предъявляются общие требования обработки в соответствии с законодательством
  • сведения, к которым в соответствии со ст. 7 ЗУ «О защите персональных данных» предъявляются особые условия обработки (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в партиях и союзах, а также сведения о здоровье или половой жизни)
  • связи с физическим лицом:
  • сведения, которые касаются физического лица непосредственно (личное дело работника, запись в базе данных медицинского заведения, банковский счет и т.д.)
  • сведения, которые касаются физического лица косвенно (запись о праве собственности на недвижимость, запись видеонаблюдения в общественных местах, запись о техническом обслуживании автомобиля и т.д.).
  • Какие базы персональных данных и в каком виде могут быть на предприятии?

    Согласно ст. 2 ЗУ «О защите персональных данных» база персональных данных - это именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных (далее - ПД).

    Т.е. база ПД - упорядоченная совокупность логически связанных данных о физическом лице, которая хранится и обрабатывается:

  • определённой программой (это база ПД в электронной форме)
  • на бумажных носителях информации (это база ПД в форме картотеки).
  • Данные о физическом лице должны быть структурированы по определённым критериям, которые касаются физического лица, чтобы обеспечить лёгкий доступ до соответствующих ПД.

    ПД на предприятии одновременно могут быть упорядочены и в электронной форме, и в форме картотек.

    Название базы ПД на предприятии зависит от содержащейся в ней информации. Наиболее распространёнными на предприятиях могут быть следующие базы ПД: база сотрудников предприятия, база клиентов или контрагентов предприятия, база учредителей компании, база членов кооператива, база акционеров компании и т.д.).

    Какие базы персональных данных необходимо регистрировать на предприятии?

    Каждая база ПД предприятия подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственном реестре баз ПД. Исключений в регистрации баз ПД Закон Украины «О защите персональных данных» не содержит .

    Следует обратить внимание на то, что различные типы отчетов и форм . содержащих определенную совокупность сведений о физических лицах из баз ПД владельца, и которые, в соответствии с законодательством, периодически подаются в органы государственной власти – не рассматриваются как отдельные базы ПД.

    Необходимо ли отдельно регистрировать базы персональных данных филиалов юридического лица, если филиалы расположены не по адресу этого юридического лица?

    Если субъект хозяйствования имеет отдельные структурные подразделения, имеющие базы ПД и которые не имеют статуса юридического лица, расположены не по адресу этого субъекта хозяйствования (юридического лица), то в заявлении на регистрацию базы ПД необходимо указывать адреса месторасположения баз ПД каждого отдельного структурного подразделения при условии, если эти базы ПД имеют одинаковое наименование и к ним применимы требования одних и тех же нормативно-правовых актов.

    Если базы ПД имеют разное наименование, их функционирование регламентируется разными нормативно-правовыми актами, то такие базы ПД отдельных структурных подразделений должны регистрироваться как отдельные базы ПД конкретного отдельного структурного подразделения.

    Какие существуют формы согласия субъекта персональных данных?

    Согласно ст. 2 ЗУ «О защите персональных данных» согласием субъекта ПД является любое документированное, в частности, письменное добровольное волеизъявление физического лица о предоставлении разрешения на обработку его ПД согласно сформулированной цели их обработки и с учётом того, что субъект ПД имеет право при предоставлении согласия внести предупреждения об ограничениях права на обработку своих ПД.

    ГСЗПД рекомендует считать формами предоставления согласия субъекта ПД:

    1. документ на бумажном носителе с реквизитами, которые могут идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта ПД целесообразно закреплять его подписью
    2. электронный документ, включая обязательные реквизиты документа, которые дают возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта ПД целесообразно закреплять его электронной подписью
    3. отметку на электронной странице документа или в электронном файле, обрабатывающемся в информационной системе на основе документированных программно-технических решений, которые:
    4. не позволяют обработку ПД до того момента, пока субъект ПД не выполнит действия, подтверждающие предоставление им соответствующего согласия
    5. обеспечивают регистрацию действий субъект ПД и целостность протоколов регистрации таких действий.

    Кто является владельцем, а кто – распорядителем базы персональных данных?

    Согласно ст. 2 ЗУ «О защите персональных данных»:

    Владелец базы ПД – физическое или юридическое лицо, которому законом или по согласию субъекта ПД дано право на обработку этих данных, и которое утверждает цель обработки ПД в этих базах данных, устанавливает состав этих данных и процедуры их обработки, если другое не определено законом.

    Распорядитель базы ПД – физическое или юридическое лицо, которому владельцем базы ПД или законом предоставлено право обрабатывать эти данные.

    Владелец базы ПД может поручить обработку ПД распорядителю базы ПД в соответствии с договором в письменном виде .

    Сравнительная таблица прав и обязанностей владельца и распорядителя:

    Особенности применения нормативной базы в области персональных данных в банковской сфере

    Автор: Александр Астахов - опубликовано: 22-01-2011 - последнее изменение: 24-01-2011

    После согласования Комплекса БР ИББС с регуляторами и опубликования нашумевшего "письма шестерых" о присоединении к СТО БР, банковское сообщество по отношению к выполнению требований в области персональных данных фактически раскололось на две части: на присоединившихся и на неприсоединившихся. Почему так произошло и кому из них лучше живется?

    Этот миф мы рассмотрели в следующей формулировке:

    Однако, данный миф оказался несколько более сложным и глубже укоренившимся, поэтому рассмотрим его теперь в следующей формулировке:

    Заблуждение 6. Присоединение к отраслевому стандарту СТО БР ИББС дает банкам существенное преимущество (перед неприсоединившимися банками) в виде упрощения реализации нормативных требований в области персональных данных

    Опубликование "письма шестерых ", а также разработка и согласование с регуляторами документов Комплекса БР ИББС, на которые оно ссылается, имеет две очевидные цели (не берусь судить о том, какая из них превалирует):

    1. Сподвигнуть банки к введению СТО БР ИББС в качестве обязательного для выполнения
    2. Облегчить банкам бремя обеспечения соответствия требованиям законодательства и нормативной базы в области персональных данных

    По замыслу разработчиков Комплекса БР ИББС достижение второй цели должно вытекать из первой, другими словами, внедряя СТО БР ИББС банки облегчают себе задачу обеспечения соответствия законодательным требованиям в области персональных данных. Возможно это так и есть, но возникает ряд закономерных вопросов:

    1. За счет чего внедрение СТО БР облегчает задачу обеспечения соответствия в области ПДн?
    2. Можно ли достигнуть того же результата не вводя СТО БР в качестве обязательного и не беря на себя связанных с этим дополнительных обязательств?
    3. Область действия СТО БР значительно шире, чем задача обеспечения безопасности персональных данных. Можно ли воспользоваться только теми рекомендациями СТО БР, которые относятся к персональным данным, не внедряя стандарта в полном объеме? (Например, если банк уже использует другие стандарты в области ИБ).
    4. Не придется ли вместо одного проекта по созданию СЗПДн и обеспечению соответствия требованиям в области персональных данных, реализовывать сразу два проекта: и внедрения СТО БР и обеспечения соответствия требованиям законодательства и нормативной базы в области ПДн? Не дороже ли это выйдет?
    5. Регуляторы подтвердили, подписав "письме шестерых", что Комплекс БР ИББС не содержит противоречий с их требованиями. Однако не понятно, охватывают ли эти документы все требования регуляторов. Выполняя требования СТО БР, выполняем ли мы при этом все требования регуляторов?
    6. и т.д.

    Если бы не было первой цели, связанной с продвижением СТО БР, не просто путем его популяризации, а путем введения его в качестве обязательного в организациях БС РФ, то не возникало бы и всех перечисленных выше вопросов. Можно было просто выпустить те же самые рекомендации для банков по наиболее затратным и спорным вопросам, связанным с выполнением требований действующего законодательства и нормативной базы в области ПДн, согласовать эти рекомендации (трактовки нормативных требований) с регуляторами, предложить Правительству РФ и законодателям рассмотреть соответствующие поправки и т.д.

    Это и было сделано и будет делаться далее. Ни в коем случае не хотелось бы умолять заслуг тех людей и со стороны ЦБ и со стороны АРБ и других организаций, которые принимают участие в работе над совершенствованием законодательства и нормативной базы в области защиты информации вообще и персональных данных, в частности. Однако весьма естественное стремление ЦБ непременно присоединить все банки к СТО БР портит все дело, т.к. намеренно перемешиваются два вопроса, между которыми нет прямой связи: вопрос об использовании согласованных с регуляторами рекомендаций Банка России в области персональных данных и вопрос о присоединении к стандарту СТО БР.

    Получается, что согласованные с регуляторами "послабления" предлагаются банкам не задаром, а взамен обязательного присоединения к СТО БР, что означает для банков проведение значительно более широкого и затратного комплекса мероприятий по защите информации, выходящего далеко за рамки вопросов защиты ПДн, регулярное проведение оценок и самооценок по СТО БР с предоставлением соответствующей отчености регуляторам. Никто не говорит о том, что эти мероприятия не полезны для банков и что их не надо реализовывать. Внедрение СТО БР наверняка приведет к повышению уровня защищенности информационных активов банка по сравнению с банком, который не реализует никаких особенных систематических мер в области защиты информации. Однако не стоит забывать о том, что по закону каждая организация имеет право сама выбирать какие стандарты и в каком объеме ей использовать, а также о том, что помимо СТО БР, существует еще большое количество стандартов, которые с успехом могут применяться в банке и также способствовать повышению уровня защищенности его информационных активов.

    Банкам, не желающим присоединяться к СТО БР и делать его для себя обязательным (хотя возможно и использующим отдельные рекомендации из данного стандарта), никто помогать оказывается и не собирался. Мол не хотите принимать наш стандарт целиком в добровольно-принудительном порядке - крутитесь тогда сами. В результате происходит раскол банковского сообщества на две части: на присоединившихся и на неприсоединившихся к СТО БР. Для первой группы регулирование вопросов защиты ПДн, а заодно и других вопросов защиты информации, берет на себя Банк России через СТО БР, который урегулирует возникающие несостыковки с регуляторами. Вторая группа существует сама по себе, не обращая внимания на рекомендации ЦБ в области персональных данных. При этом обе группы подвержены проверкам со стороны всех регуляторов: и ЦБ и ФСТЭК и ФСБ и Роскомнадзора. Различие только в том, что для первой группы согласованы "поблажки", но зато обязательны требования СТО БР, а для второй "поблажки" не согласованы", зато не обязательно выполнение требований СТО БР.

    Вот и опухают мозги у банкиров. Что им делать? "Уйти под крыло ЦБ", присоединившись к СТО БР и взяв на себя дополнительные обязательства и немалые расходы, связанные с их выполнением, или остаться один на один с регуляторами в области персональных данных без поддержки ЦБ? Кто для банка страшнее: ЦБ или прочие регуляторы и в чем заключается поддержка ЦБ в случае присоединение к СТО БР?

    Поддержка ЦБ, предоставляемая банкам, присоединившимся к СТО БР, выражается в некотором упрощении требований нормативной базы в области персональных данных. Упрощения эти представляют собой согласованные с регуляторами трактовки требований законодательства и нормативной базы, смягчающие эти требования. Поверхностный анализ Комплекса БР ИББС позволяет выделить четыре основных упрощения:

    1. Банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации
    2. Банки могут не относить АБС к ИСПДн
    3. Банки могут не разрабатывать частные модели угроз безопасности ПДн, а присоединиться к общей отраслевой модели угроз
    4. Банки могут реализовывать упрощенные наборы требований по защите персональных данных, состав которых зависит только от категории обрабатываемых ПДн

    Эти упрощения заметно сокращают объем работы и соответствующие затраты на обеспечение соответствия в области персональных данных. Упрощения эти согласованы с регуляторами. И, наконец, самое главное, что упрощения эти могут использоваться всеми банками, независимо от того, к чему они присоединились! Для этого, в своей внутренней политике безопасности (или в Положении об обработке и защите персональных данных или в Концепции обеспечения безопасности персональных данных) банку следует прописать те положения СТО БР, которыми он руководствуется при осуществлении мероприятий по обеспечению безопасности персональных данных (наряду с положениями прочих стандартов и нормативных документов, которыми банк руководствуется в данных вопросах). Оспаривать правомочность такого решения никто не сможет.

    Действительно, кто мешает любому банку на законных основаниях использовать те рекомендации СТО БР, которые он считает для себя полезными и не использовать прочие? С регуляторами эти рекомендации согласованы. Несмотря на то, что ко всем этим рекомендациям имеются приписки, что они действуют только для "присоединившихся" банков, но мы в это не верим. Как такое может быть, чтобы АБС относилась к ИСПДн для одних банков и не относилась к ИСПДн для других или чтобы лицензирование в области ТЗКИ зависело от использования тех или иных стандартов или чтобы согласованная с регуляторами отраслевая модель угроз могла использоваться в одних банках и не могла использоваться в других? Этого быть не может, т.к. противоречит здравому смыслу. Уверен, что никто из регуляторов не будет настаивать на подобных абсурдных утверждениях. Да потом, сами регуляторы не имеют заинтересованности в том, чтобы банки непременно внедряли СТО БР. Это их хлеб отнимает.

    Обобщая все приведенные выше рассуждения можно сделать следующие выводы:

    1. Банк России совместно с АРБ проделал (и продолжает) достаточно серьезную и полезную работу по стандартизации в области информационной безопасности и персональных данных. Согласованные им с регуляторами "упрощения" нормативных требований в области персональных данных, позволяют значительно сократить расходы банков на обеспечения соответствия в данной области. За это им даже можно простить некоторое лукавство, имеющее целью сподвигнуть банки к внедрению СТО БР. Ведь цели эти благие и, в конечном счете, должны способствовать повышению защищенности банковской системы РФ.
    2. Любые банки, независимо от того, к каким стандартам они присоединились или не присоединились, могут использовать любые рекомендации СТО БР в области персональных данных в том объеме, в котором они считают нужным. Мы можем рекомендовать всем банкам с целью минимизации своих расходов на защиту ПДн использовать те согласованные с регуляторами "упрощения" (в виде соответствующих рекомендаций СТО БР), о которых говорилось выше.
    3. Вопрос относительно присоединения к СТО БР или к любому другому стандарту, путем введения этого стандарта у себя в качестве обязательного, никак не связан ни с возможностью использования банком согласованных с регуляторами рекомендаций в области персональных данных, ни с необходимостью выполнения всех обязательных требований законодательства и нормативной базы в области персональных данных. Нормативные требования необходимо выполнять. Любые рекомендации можно использовать по своему усмотрению в том случае, если они не противоречат законодательным или нормативным требованиям.

    Пунк 1 из перечисленных выше "поблажек", говорящий о том, что "банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации", при ближайшем рассмотрении, "поблажкой" не является. Данный вопрос разбирается в статье:

    Остальные три "поблажки": насчет не отнесения АБС к ИСПДн, отраслевой модели угроз и упрощения требований 58 приказа ФСТЭК, также вызывают множество сомнений.

    Источники:
    law-clinic.net, bpd.masterkey.ua, www.iso27000.ru

    Следующие в разделе:

    27 июля 2021 года


    Комментариев пока нет!

    Поделитесь своим мнением

    Сумма цифр: код подтверждения

    Другие статьи: