Защита персональных данных в банковской деятельности

ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ Перечень персональных данных, подлежащих защите в Банке, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом Банка.

Защита персональных данных в кредитных организациях станет головной болью многих банков уже в ближайшее время. Перенос сроков вступления закона «О персональных данных» на середину 2011 года лишь отсрочило необходимость проведения мероприятий, однако эксперты не сомневаются, проблемы будут решаться в авральном порядке.
До недавнего времени кредитно-финансовые организации могли выполнять мероприятия по приведению своих систем в соответствие с требованиями законодательства исключительно на основе документов ФСТЭК и ФСБ России. Одним из недостатков данного подхода является тот факт, что документы этих регуляторов не учитывают специфики банковской отрасли и в ряде случаев их реализация сопряжена с целым рядом сложностей. Понимая это, Банк России выпустил новую версию отраслевого Стандарта СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", базирующегося на лучших практиках и принципах международных стандартов менеджмента. Данный Стандарт позволяет организациям, работающим в банковской системе РФ, выполнять требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Стандарт является открытым, и его текст доступен на сайте сообщества ABISS (Association of Banking Information Security Standards) - www.abiss.ru. В 2010 г. ЗАО "ДиалогНаука" получило статус организации - консультанта сообщества ABISS и аккредитацию Банка России на участие в конкурсах по направлению "Информационная безопасность".
Стандарт СТО БР ИББС-1.0-2010 основан на международных стандартах и опыте и определяет основные требования к структуре и основным элементам системы обеспечения информационной безопасности кредитной организации. Несмотря на рекомендательный характер, он стал основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности, в том числе и систем защиты персональных данных. Многие наши клиенты считают соответствие Стандарту СТО БР ИББС-1.0-2010 обязательным признаком успешного и надежного банка, заботящегося о своих клиентах. Одним из главных требований Стандарта СТО БР ИББС-1.0-2010 являются требования в части защиты персональных данных. Другими словами, соблюдение всех рекомендаций, выработанных Роскомнадзором, ФСБ России и ФСТЭК России, автоматически делает возможным и соответствие банка требованиям Закона о персональных данных.
Конечно же, многие компании на рынке информационной безопасности стараются своевременно реагировать на изменения в бизнесе, однако при выборе поставщика услуг следует обращать внимание в первую очередь на опыт и репутацию компании. Достойных представителей на рынке услуг огромное количество, однако, к сожалению, вместе с лидерами появляются компании-однодневки, компетенция которых не позволяет им оказывать качественные услуги. Нашей компании приходится сталкиваться с подобным итогом работ, поэтому особенно хочется отметить, что именно в области консалтинговых услуг следует выбирать известную и достойную компанию-партнера.

УТВЕРЖДЕНО Протоколом Правления КИВИ Банк (ЗАО) № 22 от 08 августа 2012 года Политика обработки и защиты персональных данных КИВИ Банк (закрытое акционерное общество) Москва 2012 а 1а 2а 3а 4а 5а

Что касается самих работ и порядка их проведения, то следует отметить, что лучше всего для организации кредитно-финансовой области пользоваться полным циклом работ от одной компании, что априори позволяет избежать возможных негативных последствий.
Как правило, система защиты включает в себя следующие основные подсистемы:
- подсистему антивирусной защиты, предназначенную для выявления и блокирования вредоносного кода;
- разграничения доступа, обеспечивающую защиту от несанкционированного доступа к персональным данным. Как правило, данная подсистема выполняет функции регистрации и учета, а также контроля целостности;
- криптографической защиты, предназначенную для обеспечения конфиденциальности персональных данных в процессе их передачи по каналам связи;
- межсетевого экранирования, которая устанавливается в точке сопряжения с Интернетом либо между информационными системами разных классов. Подсистема предназначена для фильтрации потенциально опасных пакетов данных, проходящих через межсетевой экран;
- обнаружения вторжений, предназначенную для выявления и блокирования сетевых атак в информационной системе;
- анализа уязвимостей, обеспечивающую обнаружение имеющихся уязвимостей в программном, аппаратном и телекоммуникационном обеспечении информационной системы, обрабатывающей персональные данные.
Каждый из этапов работ имеет свои особенности, которые необходимо учитывать для успешной реализации проекта. Так, на этапе обследования необходимо правильно определить и классифицировать информационные системы персональных данных, а также составить корректную модель угроз и модель нарушителя. На стадии проектирования основная задача заключается в правильном выборе средств защиты информации с учетом результатов стендовых испытаний. Кроме этого, в рамках проекта, безусловно, необходимо также разработать комплексный пакет документов, полностью соответствующий требованиям российского законодательства.
Каждый проект по защите ПДн является по-своему уникальным, поскольку всегда учитывает особенности бизнес-процессов организаций, а также тех информационных систем, при помощи которых они реализованы. Кроме этого, своя специфика также есть у банков и операторов связи, поскольку для защиты информации в этих организациях можно применять соответствующие отраслевые стандарты.

9. ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЗАПРЕЩАЕТСЯ 9.1 В целях обеспечения защиты обрабатываемых персональных данных в Банке и его подразделениях запрещается: – осуществлять обработку информации

Реализация требований российского законодательства по защите персональных данных является необходимым, но недостаточным условием для обеспечения высокого уровня реальной защищенности системы. Необходимо понимать, что даже аттестованная информационная система может быть потенциально взломана, если в рамках проекта был использован формальный подход, предусматривающий реализацию исключительно тех требований, которые изложены в нормативных документах регуляторов. Реальная защищенность информационной системы ПДн возможна только при комплексном подходе, который учитывал бы не только требования российского законодательства, но и рекомендации международных стандартов.
Безусловно, задача по защите ПДн и приведению информационной структуры к требованиям Стандарта СТО БР ИББС-1.0-2010, равно как и любая другая задача в области защиты информации, не должна рассматриваться как проект. Система защиты информации должна постоянно сопровождаться и совершенствоваться в рамках процессной модели управления информационной безопасностью. Это подразумевает администрирование средств защиты информации, актуализацию документов, регламентирующих вопросы защиты, проведение периодического аудита защищенности и т.д.
Именно поэтому со своей стороны мы можем посоветовать банкам и компаниям кредитно-финансовых сфер бизнеса как можно тщательней подходить к вопросам именно соответствия Стандарту СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и, конечно же, Закону о персональных данных.
Будучи системным интегратором в области информационной безопасности, наша компания оказывает максимально широкий комплекс услуг по защите информации, в частности по соблюдению требований вышеуказанных Стандарта и Закона. Конечно же, лучше всего для крупной финансовой организации - создать единый комплексный центр управления ИБ, так называемый ситуационный центр (SOC, Security Operations Center), предназначенный для сбора, анализа и реагирования на события информационной безопасности. Центры управления ИБ предназначены для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. Как правило, подобные центры функционируют 24 часа в сутки и позволяют анализировать данные, поступающие от средств защиты информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других источников.
Любой подобный центр состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM (www.arcsight.ru), который занимает одну из лидирующих позиций в данной области.
Опыт нашей компании по внедрению подобных комплексов в рамках проектов по приведению информационной системы к требованиям СТО БР ИББС-1.0-2010 или Закона о персональных данных свидетельствует о том, что именно подобный вариант контроля за происходящим в информационной среде компании является наиболее эффективным.
Сегодня также есть еще одна очень интересная услуга в области защиты информации - тест на проникновение. Каждый банк может проверить свою систему безопасности на надежность и, исходя из результатов этой проверки, принимать необходимые меры. Эта услуга представляет собой имитацию последовательности действий взломщика по осуществлению несанкционированного проникновения в информационную систему заказчика. Сегодня этот вид аудита активно применяется зарубежными компаниями для получения независимой оценки защищенности своей корпоративной сети. Необходимо отметить, что согласно стандарту PCI DSS рекомендуется проводить тест на проникновение не реже одного раза в год, а также после любого значимого изменения или обновления ИТ-инфраструктуры.
В отличие от традиционных схем проведения аудита информационной безопасности тестирование на проникновение позволяет взглянуть на безопасность банка глазами профессионального взломщика, мотивированного на эффективное и результативное проникновение. Перед "взломщиком" ставятся задачи, максимально приближенные к реальной действительности, и непосредственно перед началом работы "взломщик" имеет самое минимальное представление об объекте проникновения. Цель, преследуемая тестированием на проникновение, заключается в получении контроля над какими-либо заранее обусловленными компонентами атакуемой системы всеми доступными взломщику способами, и вся работа взл

1.2. Настоящий условий документ «Политика защиты персональных данных ОАО «БИНБАНК»» (далее - Политика) направлен на определение общих принципов и Открытого Акционерного Общества «БИНБАНК» (далее - Банк) в области обработки


Перечень персональных данных, подлежащих защите, в Банке формируется в соответствии с Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».

2.1. Перечень обрабатываемых персональных данных, подлежащих защите в Банке, формируется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», нормативными актами Банка России


Частичное признание иска ответчиком в гражданском процессе

Судебное мировое соглашение может быть заключено на любой стадии гражданского процесса.  Признание иска может быть полным или частичным. Фактически реализация ответчиком данного диспозитивного полномочия означает признание им

Заявление о признании Иска Ответчиком. Акция Работаем без предоплаты.Образцы процессуальных документов составлены юристами ГЮК Лекс .  Частичное признание исковых требований возможно в течение всего гражданского процесса

Подробнее...

Коллективный договор уренгой газпром

Справка: Коллективный договор ООО «Газпром добыча Уренгой» на — годы разработан в связи с окончанием срока действия Коллективного договора на 2010— годы.

коллективный договор газпром добыча уренгой. Скачали: 817, Комментариев:18.

Подробнее...

Защита гражданских прав курсовая 2014

16.05.2014. Пределы и способы осуществления гражданских прав. 11.04.2014. Наследование по закону.  Гражданско-правовой механизм защиты авторских прав в Российской Федерации.

Контрольные, курсовые, рефераты, тесты – готовые и на заказ!  3. Защита прав владельцев ценных бумаг. 3.1. Система способов защиты гражданских прав.

Подробнее...

Срок исковой давности о сносе самовольной постройки

О сносе самовольной постройки. Федеральный арбитражный суд Дальневосточного округа.  Судами установлено, что срок исковой давности по заявленному требованию администрации начал течь с 17.04.2007, поскольку именно с этого

9 На требования о сносе самовольной постройки, которая не создает угрозу для жизни и здоровья граждан, распространяются общие правила о сроке исковой давности. 7 декабря 2015

Подробнее...