Научная статья на тему 'Организация защиты персональных данных в банковских информационных системах Российской Федерации'

Организация защиты персональных данных в банковских информационных системах Российской Федерации Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
875
139
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЦИФРОВАЯ ЭКОНОМИКА / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / ОРГАНИЗАЦИЯ ЗАЩИТЫ / ПРАВОВАЯ ЗАЩИТА / ТЕХНИЧЕСКАЯ ЗАЩИТА / ОРГАНИЗАЦИОННЫЕ МЕТОДЫ ЗАЩИТЫ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / БАНКОВСКАЯ СИСТЕМА / DIG ITAL ECONOMY / PERSONAL DATA / PROTECTION ORGANIZ ATION / LEGAL PROTECTION / TECHNICAL PROTECTION / ORGANIZATIONAL PROTECTION METHODS / INFORMATION SECURITY / BANKING SYSTEM

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Еникеева Лилия Аубакировна, Дурандина Анна Павловна

В статье обоснована необходимость защиты персональных данных, выявлены проблемы, причины и типичные ошибки организации их защиты.Приведен перечень персональных цифровых данных, нуждающихся в организации их защиты в банковских информационных системах. Дан анализ ключевых методов защиты персональных данных. Рассмотрена политика организации защиты персональных данных в ПАО «Сбербанк». Систематизированы инструменты и методы правовой, технической и организационной защиты персональных данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ORGANIZATION OF THE PERSONAL DATA PROTECTION IN THE BANKING INFORMATION SYSTEMS IN THE RUSSIAN FEDERATION

The article identifies the need to protect personal data, identifies the problems,causes and typical errors of the organization protection. The list of personal digitaldata needed to be protected in banking information systems is given. An analysisof key methods for the personal data protection is shown. The policy of organizingthe protection of personal data in PAO Sberbank has been considered. The toolsand methods of legal, technical and organizational protection of personal data aresystematized.

Текст научной работы на тему «Организация защиты персональных данных в банковских информационных системах Российской Федерации»

ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКОВСКИХ

ИНФОРМАЦИОННЫХ СИСТЕМАХ РОССИЙСКОЙ ФЕДЕРАЦИИ

ORGANIZATION OF THE PERSONAL DATA PROTECTION IN THE BANKING INFORMATION SYSTEMS IN THE RUSSIAN FEDERATION

УДК 336.719:004.413 DOI: 10.25631/PEJ.2018.4.11

ЕНИКЕЕВА Лилия Аубакировна

профессор кафедры управления экономическими и социальными процессами в кино- и телеиндустрии Санкт-Петербургского государственного института кино и телевидения, доктор экономических наук, профессор, Enikeeva_lilia@mail.ru

ENIKEEVA, Lilia Aubakirovna

Professor at the Department of Economic and Social Processes Management in Film and TV Industry, Saint-Petersburg State Institute of Film and Television, Doctor of Economics, Professor, Enikeeva_lilia@mail.ru

ДУРАНДИНА Анна Павловна

доцент кафедры правового обеспечения экономической безопасности Санкт-Петербургского государственного архитектурно-строительного университета, кандидат экономических наук, доцент, Anna_durandina@mail.ru

DURANDINA, Anna Pavlovna

Associate Professor at the Department of Legal Support for Economic Security, Saint-Petersburg State University of Architecture and Civil Engineering, Candidate of Economic Sciences, Associate Professor, Anna_durandina@mail.ru

Аннотация.

В статье обоснована необходимость защиты персональных данных, выявлены проблемы, причины и типичные ошибки организации их защиты. Приведен перечень персональных цифровых данных, нуждающихся в организации их защиты в банковских информационных системах. Дан анализ ключевых методов защиты персональных данных. Рассмотрена политика организации защиты персональных данных в ПАО «Сбербанк». Систематизированы инструменты и методы правовой, технической и организационной защиты персональных данных.

Ключевые слова: цифровая экономика, персональные данные, организация защиты, правовая защита, техническая защита, организационные методы защиты, информационная безопасность, банковская система.

© Еникеева Л. А., Дурандина А. П., 2018.

Abstract.

The article identifies the need to protect personal data, identifies the problems, causes and typical errors of the organization protection. The list of personal digital data needed to be protected in banking information systems is given. An analysis of key methods for the personal data protection is shown. The policy of organizing the protection of personal data in PAO Sberbank has been considered. The tools and methods of legal, technical and organizational protection of personal data are systematized.

Key words: digital economy, personal data, protection organization, legal protection, technical protection, organizational protection methods, information security, banking system.

В современных условиях развития цифровой экономики и цифровизации бизнес-процессов кибербезопасность является одним из необходимых базовых условий развития. Актуальность проблемы обеспечения информационной безопасности субъектов информационных отношений, необходимость защиты законных интересов физических лиц отмечается рядом авторов [1; 2]. Эксперты считают, что 80% успеха при обеспечении кибербезо-пасности зависит от того, насколько правильно выстроены процессы в организациях и на 20% - от технологий [3; 4; 5]. Ряд первостепенных причин и проблем, требующих решения и определяющих необходимость обеспечения информационной безопасности и защиты законных интересов субъектов персональных данных, представлен на рисунке 1.

Актуальность темы защиты персональных данных (ПДн) в РФ возросла после подписания в 2001 г. и ратификации в 2005 г. Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных [6].

Действующий в настоящее время в ЕС Регламент о защите персональных данных граждан ЕС (вБРЯ) содержательно сопоставим с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» [6; 7; 8]. Сравнительный анализ данных документов представлен на рисунке 2.

В Российской Федерации на сегодняшний день уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии с п. 1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в ред. от 22.02.2017 № 16-ФЗ и п.1 «Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 № 228 (в ред. Постановления Правительства РФ от 25.09.2018 № 1138) [6, 9; 10].

Роскомнадзор должен обеспечивать организацию и контроль со стороны государства за соответствием обработки персональных данных требованиям федерального закона и принятых в соответствии с ним всех нормативных правовых актов в сфере средств массовой информации, в том числе электронных и массовых коммуникаций, информационных технологий и связи, а также реализует отдельные функции по организации деятельности радиочастотной службы [9; 10].

В редакции Постановления Правительства РФ от 25.09.2018 № 1138 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций нахо-

Причина 1: увеличение различных баз данных, содержащих информацию персонального характера (персональные данные), держателями которой являются государственные, частные, коммерческие структуры

Причина 2: доступность средств вычислительной техники и персональных ЭВМ привела к распространению компьютерной грамотности и расширению сферы применения средств вычислительной техники и автоматизированных систем управления и обработки информации (работа атомных электростанций, управление движением самолетов и поездов, финансовые операции и др.)

Причина 3: широкое распространение вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам

Проблема 1: увеличение числа попыток неправомерного вмешательства в работу государственных и коммерческих

автоматизированных систем

Проблема 2: серьезное отставание нормативно-правового обеспечения защиты интересов субъектов информационных отношений от потребностей личности, общества и государства

Проблема 3: рост рисков утечки персональных данных и недобросовестного использования персональных данных против их

субъекта

Проблема 4: сложность безопасного использования цифровых устройств и услуг в эпоху удобной и одновременно представляющей угрозу частной жизни

технологии больших данных (ВшПМа)

Рисунок 1

Причины и проблемы организации защиты персональных данных [1; 3]

дится в подчинении Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации [10].

Руководствуясь положениями ст. 22 Федерального закона «О персональных данных», Роскомнадзором разработана форма уве-

домления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень установленных обязательных полей для заполнения, и соответствующие рекомендации по заполнению формы уведомления [6; 11].

Генеральный регламент о защите персональных данных (СЮРЯ)

Прозрачность сбора персональных данных. Ограничение цели сбора данных.

Ограничение объема персональных данных заявленными целями. Управление данными и возможность их отзыва владельцем.

Безопасность использования и ограниченность хранения

Экстерриториальность и наднациональность, теперь требования должны фактически соблюдаться по всему миру, в том числе и в РФ.

Уведомление надзорных органов об утечке персональных данных в течение трех суток с момента выявления такой утечки и предоставление информации субъекту данных

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Прозрачность сбора персональных данных. Ограничение цели сбора данных.

Ограничение объема персональных данных заявленными целями. Управление данными и возможность их отзыва владельцем.

Безопасность использования и и ограниченность хранения

Рисунок 2

Сравнительная характеристика документов о защите персональных данных на территориях Евросоюза и РФ [6; 7; 8]

На официальном сайте Роскомнадзора Консультативным советом при уполномоченном органе по защите прав субъектов персональных данных также представлены методические рекомендации по организационной защите физическим лицом своих персональных данных, разработанные рабочей группой в составе: И. Г Алехиной, А. В. Понявиной, С. В. Черниковой [9]. В данных методических рекомендациях отмечается важность персональных данных, как ключевого фактора цифрового присутствия, т. е. участия и взаимодействия в обмене информацией, а «эффективность и безопасность цифрового присутствия во многом зависят от культуры

производства и распространения персональных данных» [9, с 4]. При этом цифровое присутствие может быть как контролируемым, так и вынужденным, то есть осуществляющимся без участия самого физического лица за счет деятельности и устройств третьих лиц [9].

Например, бесконтрольное распространение персональных данных может стать реальной угрозой как для частной жизни лица, так и клиентов, сотрудников государственных, частных, коммерческих организаций. При этом активное обращение персональных данных в условиях цифровой экономики является необходимым и базовым условием динамичного развития технологии больших данных (BigData) [9, с 4].

Классификация персональных данных представлена на рисунке 3.

Сроки обработки указанных на рисунке 3 персональных данных определяются в соответствии со сроком действия договора с субъектом ПДн и приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства и нормативными документами Банка России [11; 12].

Законодательством о защите прав субъектов персональных данных предусмотрены три группы методов защиты, применяемых в информационных системах персональных данных:

• правовые - посредством нормативно-правовых актов (рисунок 12);

• технические, предполагающие использование технических и программных средств защиты (рисунок 13);

• организационные - контроль действий на любых этапах организации цифрового присутствия (рисунок 14).

Например, в организациях банковской системы Российской Федерации, согласно

методическим рекомендациям по выполнению законодательных требований при обработке персональных данных, составленных на основе комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» для организаций банковской системы Российской Федерации (БС РФ), и общих требований по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные, предусматривается использование частных моделей угроз безопасности персональных данных, содержащих актуальные для организации БС РФ угрозы безопасности персональных данных [13; 14; 15].

Отраслевая модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы безопасности персональных данных (УБПДн), действовала до 2014 г. и была ориентиром для оценки рисков нарушения безопасности персональных данных, учитывающей особенности их обработки в конкретной организации БС РФ [13].

Персональные данные цифрового присутствия физического лица

(цифровой штамп)

Метаданные (цифровая тень)

Журналы входящих/ исходящих звонков

Рисунок 3

Виды персональных цифровых данных [1; 3; 9]

Сейчас модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) может быть разработана на основе базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», банка данных угроз безопасности информации, потенциала нарушителя, рекомендованных

ФСТЭК России или с использованием обучающих специальных сервисов [14; 15; 16; 17].

Информационные системы персональных данных (ИСПДн) представляют собой совокупность информационных и программно-аппаратных элементов, а также информационных технологий, применяемых при обработке персональных данных. Состав основных элементов приведен на рисунке 4.

Технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации)

Программные средства (операционные системы, системы

управления базами данных и т.п.)

Вспомогательные технические средства и системы (ВТСС)

Технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях (служебные помещения), в которых расположены ИСПДн, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, средства и системы оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электронной оргтехники, средства и системы электрочасофикации)_

Рисунок 4

Состав основных элементов ИСПДн [13]

Классификационные признаки угроз для базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных приведены на рисунке 5. Данные признаки, являются базовыми для формирования систематизированного перечня УБПДн при их обработке в ИСПДн и разработке на их основе частных моделей.

Частная модель угроз безопасности персональных данных при их обработке в ИСПД организации БС РФ учитывает также особенности обработки персональных данных в конкретной организации БС РФ [14].

Примерный перечень персональных данных, подлежащих защите в организации БС РФ, представлен на рисунке 6.

Целями обработки указанных на рисунке 6 персональных данных являются:

• осуществление функций, возложенных на организацию;

• организация учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов;

• содействие сотрудникам организации БС РФ в обучении, продвижении по службе, использовании различного вида льгот.

Перечень типовых ошибок при реализации требований законодательства о персональных данных (ПДн), подлежащих защите в организации БС РФ, представлен на рисунках 7-9.

Например, согласно принятой политике обработки персональных данных в ПАО «Сбербанк», обеспечение безопасности обрабатываемых персональных данных осуществляется в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей банковскую и коммерческую тайну, с учетом требований законодательства о персональных данных и принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности банка непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик [18]. По данным портала персональных данных Упол-

Рисунок 5

Классификационные признаки угроз безопасности персональных данных в ИСПДн [14]

• Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения

•Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство_

•Характеристики, идентифицирующие физиологические особенности человека и на основе

которых можно установить его личность_

•Адрес места жительства (по паспорту и фактический) и дата регистрации по месту

жительства или по месту пребывания_

•Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту)

• Сведения об образовании, квалификации и о наличии специальных знаний или специальной

подготовки_

• Сведения о повышении квалификации и переподготовке

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней

• Содержание и реквизиты трудового договора с работником Организации или гражданско-

правового договора с гражданином_

• Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную

• Сведения о номере и серии страхового свидетельства государственного пенсионного

страхования

• Сведения об идентификационном номере налогоплательщика

• Сведения из страховых полисов обязательного (добровольного) медицинского страхования

• Сведения, указанные в оригиналах и копиях приказов по личному составу организации и

материалах к ним_

• Сведения о государственных и ведомственных наградах, почетных и специальных званиях,

«Материалы по внутренним служебным расследованиям в отношении работников

•Внутрибанковские материалы по расследованию и учету несчастных случаев на производстве

и профессиональным заболеваниям

[23 'Сведения о временной нетрудоспособности работников

Сведения о социальных льготах и о социальном статусе

Рисунок 6

Сведения, составляющие персональные данные для сотрудников организаций БС РФ [13]

Несоответствие реальной обработки ПДн заявленным целям обработки

Прямой маркетинг без получения предварительного согласия субъекта ПДн

Обработка ПДн без уведомления Роскомнадзора

Отсутствие в договоре с третьими лицами условия обеспечения конфиденциальности

Рисунок 7

Типичные ошибки при реализации требований законодательства о персональных данных для организаций БС РФ по сфере компетенции регулятора - Роскомнадзора [1; 2]

Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией

Использование средств криптозагциты, отличающихся от эталонных сертифицированных версий

Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации

Рисунок 8

Типовые ошибки при реализации требований законодательства о персональных данных для организаций БС РФ по сфере компетенции регулятора - ФСБ России [1; 2]

Невыполнение работ по анализу угроз информационной безопасности

Незавершенность разработки необходимого комплекта организационно-распорядительной документации

Отсутствие в должностных регламентах ответственных

лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите

Отсутствие достаточного количества квалифицированных специалистов

Рисунок 9

Типичные ошибки при реализации требований законодательства о персональных данных для организаций БС РФ по сфере компетенции регулятора - ФСТЭК России [1; 2]

номоченного органа по защите персональных данных, ПАО «Сбербанк» использует информационные системы и параметры персональных данных физического лица следующего профиля (рисунок 10) [16; 18].

ПАО «Сбербанк» осуществляет автоматизированную и неавтоматизированную обработку персональных данных, передачу персональных данных по телекоммуникационным каналам связи международного информационного обмена «Интернет», корпоративной сети Банка

и на материальных носителях персональных данных в многопользовательском режиме с разграничением прав доступа [5].

Перечень основных операций, осуществляемых с персональными данными клиентов и работников Банка, представлен на рисунке 11 [5].

Правовое обоснование обработки персональных данных как один из методов их защиты в применяемых информационных системах персональных данных ПАО «Сбербанк» представлено на рисунке 12.

и

•Фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное

положение, образование, профессия, доходы

•Данные паспорта гражданина Российской Федерации или при его отсутствии иного документа, удостоверяющего личность в соответствии с законодательством Российской Федерации (серия, номер, дата и место выдачи, наименование и код органа, выдавшего паспорт или иной

• Персональные данные, относящиеся к специальной категории персональных данных: (сведения о состоянии здоровья субъектов персональных данных (застрахованных лиц)

•Персональные данные, относящиеся к биометрическим персональным данным (для сотрудников и их близких родственников,физических лиц, осуществляющим выполнение работ по оказанию услуг и заключивших

с банком договор гражданско-правового характера и пр) • цифровое фотографическое изображение лица, использующееся банком для установления личности субъекта

персональных данных

■ слспок голоса

■ оцифрованное изображение рисунка вен ладони

Рисунок 10

Сведения, составляющие персональные данные в информационных системах ПАО «Сбербанк» [18]

Уточнение (обновление, изменение) персональных данных

Передача (предоставление, доступ) персональных данных

Рисунок 11

Операции с персональными данными в информационных системах ПАО «Сбербанк» [19]

На рисунке 13 представлен комплекс мер по технической защите персональных данных ПАО «Сбербанк».

Организационные меры по защите персональных данных в информационных системах персональных данных, используемые в ПАО «Сбербанк», представлены на рисунке 14.

Начальник центра киберзащиты ПАО «Сбербанк» С. Валуйских отмечает, что модернизацию центра киберзащиты и управления противодействия кибермошенничеству (Security Operation Centre-SOC) ПАО «Сбербанк» называют одним из крупнейших в Европе и самым масштабным в России проектом трансформации SOC [3].

Распределенная структура SOC ПАО «Сбербанк» приведена на рисунке 15. Основные подразделения расположены в Москве, но существуют еще четыре региональных сервисных центра. Все они имеют следующую структуру (см. рисунок 15).

В результате выполнения Стратегии 20142018 гг. и в соответствии с принятой Стратегией развития до 2020 г. в ПАО «Сбербанк» до-

стигнут высокий уровень надежности систем, обеспечивается их безопасность, несмотря на рост киберпреступлений в мире [5].

Так, время простоя автоматизированных систем к 2018 г. снизилось до 0,3 часов /год, в то время как в 2013 г. данный показатель был равен 7 часам/год [19]. Объем транзакций возрос от 0,8 млрд операций в 2013 г. до 4 млрд операций к 2018 г. и запланирован к 2020 г. уровень в 8 млрд операций [19].

С использованием системы противодействия кибермошенничеству в 2016 г. сохранены средства клиентов на сумму свыше 17 млрд рублей и с 2015 г. отражается 100% ББоБ атак [19].

В ПАО «Сбербанк» справедливо считают, что «данные о клиентах являются одним из наших ключевых активов» и будут продолжать заниматься их сохранностью [19, с. 30].

В результате проведенного исследования определены особенности организации защиты персональных данных организациями банковской системы РФ. Отмечена важность

м

М

м

• Законодательство РФ:

• ФЗ «О персональных данных»;

• Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ ФСБ России от 10 июля 2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

• Положение Центрального банка России от 9 июня 2012 г. № 382-11 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

• Внутренние нормативные документы:

•Стратегия информационной безопасности ОАО «Сбербанк России» от20.10.2014№ 516 §1;

• Политика обработки персональных данных в ПАО «Сбербанк России» от 29.04.2014 № 3324;

• Политика кибербезопасности ПАО "Сбербанк" от 20.11.2017 № 4660;

• Политика управления процессами ОАО «Сбербанк Россию) от 28.02.2014 № 1995-2;

• Политика ОАО «Сбербанк России» по обмену данными с третьими лицами от 30.06.2015 № 3904

•Локальные акты:

• Положение о порядке обработки и защиты прав субъектов персональных данных в части организации управления персоналом ОАО «Сбербанк России» от 04.02.2013 № 2749;

• Порядок работы в ОАО «Сбербанк России» с документами, содержащими конфиденциальную информацию от 18.07.2005 № 1091-2-р;

• Сборник стандартов по обеспечению кибербезопасности от 24.01.2017 № 4456 (при использовании облачных интернет-сервисов, в автоматизированных системах, моделирование угроз кибербезопасности, при осуществлении к сервисам сети Интернет (на базе ПО Apache Hadoop), для обеспечения защиты от вредоносного кода, при размещения интернет-ресурсов ПАО «Сбербанк» на внешних площадках и организации массовых внутренних e-mail рассылок, при обезличивании данных)

• Регламенты:

• Регламент процесса обработки персональных данных розничных клиентов ПАО «Сбербанк» от

17.12.2015 № 4065 (с учетом изменений от 20.04.2017 № 2);

• Регламент организации работы по предоставлению услуг с использованием системы «Клиент-Сбербанк» от 15.12.2011 № 1331-4-р(сучетом изменений от26.05.2016№>4);

• Порядок предоставления услуг физическим лицам в рамках универсального договора банковского обслуживания от 25.06.2009 № 1718-р (с изменениями № 1-18);

• Порядок обеспечения безопасности информационных технологий в Сбербанке России от 28.12.2001 №875-р;

• Порядок управления процессами обеспечения безопасности в ИТ инфраструктуре Сбербанка

России от 12.01.2006 № 1410-р (с учетом изменений от 24.07.2009 № 2);

• Регламент ведения архивного дела в ПАО «Сбербанк» от 06.12.2016 № 3261-2 и Перечень документов со сроками хранения, образующихся в деятельности ПАО «Сбербанк» и его

филиалов от 11.02.2015 № 1350-3-р;

• Порядок перевода информационных ресурсов в архивное состояние и разгрузки баз данных

автоматизированных систем от 29.10.2002 № 1008-р

Рисунок 12

Правовая защита персональных данных в информационных системах ПАО «Сбербанк» [5; 19] I ПЕТЕРБУРГСКИЙ ЭКОНОМИЧЕСКИЙ ЖУРНАЛ • № 4 • 2018

Доменная авторизация пользователей и доменная политика безопасности

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Средства антивирусной защиты от утечек

ORACLE TDE

Защита информационных систем и оборудования от внешних воздействий

Использование систем электронного документооборота

Обнаружение и предотвращение вторжений

Использование ПО

Обнаружение фактов несанкционированного доступа к персональным данным, выявление и анализ уязвимостей

Средства контроля защищенности информации

MaxPatrol

Контроль за утечками персональных данных и

другой защищаемой информацией за периметр информационного обмена

Средства DLP-системы (Data Leak Prevention)

«InfoWatch Traffic Monitor Enterprise» AO «ИнфоВотч»

Рисунок 13

Техническая защита персональных данных

в информационных системах ПАО «Сбербанк» [5; 19] ПЕТЕРБУРГСКИЙ ЭКОНОМИЧЕСКИЙ ЖУРНАЛ • № 4 • 2018

Обеспечение безопасности функционирования СКЗИ,

Персонал эксплуатирующих и структурных подразделений, участвующих в электронном документообороте

Организация работ по защите информации и проверке выполнения мер безопасности в подразделениях ТБ, эксплуатирующих СКЗИ

Клиент по условиям Договора

Организация регулярного контроля защищенности информационной

инфраструктуры (внешний и внутренний инструментальный контроль защищенности на наличие

уязвимостей, тестирование на проникновение на сетевом уровне и на уровне приложений)

Работники подразделения информационной безопасности

с технологических рабочих мест, оборудованных сканером безопасности для серверов, СУБД, банковского ПО

Организация контроля целостности

чрезвычайных ситуациях, стихийных бедствиях

Процедуры резервного копирования и восстановления баз данных, системных и прикладных программ

Рисунок 14

Организация защиты персональных данных в информационных системах ПАО «Сбербанк» [5; 19]

Мониторинг событий кибербезопасности и реагирование на инциденты

Реагирование на инциденты кибербезопасности в случаях, когда компетенций дежурной службы оказывается недостаточно

Аналитика в сфере киберугроз и раннее предупреждение рисков

возникновения угроз и инцидентов

•Администрирование систем, непосредственно влияющих на предоставление сервисов банка, к примеру, межсетевые экраны

Сопровождение средств и систем поддержки процессов SOC: SIEM, Ticketing, Reporting и др.

Рисунок 15

Примерная структура SOC ПАО «Сбербанк» [5; 19]

защиты всех персональных данных цифрового присутствия физического лица в условиях цифровизации банковского сектора.

Активно используемые методы и инструменты правовой, технической и организаци-

онной защиты персональных данных ПАО «Сбербанк» в сочетании с моделями угроз их безопасности позволили снизить риски и предупреждать несанкционированное использование персональных данных.

Список литературы

1. Обеспечение безопасности персональных данных: электронное учебно-методическое пособие / под общ. ред. Я. Н. Топилина. СПб.: ООО «Издательский Дом «Афина», 2018. URL: https://www.twirpx.com/file/2142729 (дата обращения: 08.11.2018).

2. Малкиев М. Практика. Создание системы защиты персональных данных. URL: https://kontur.ru/articles/1723 (дата обращения: 08.11.2018).

3. Валуйских С. Второй SOC Сбербанка. Тюнинг или новая модель? // «BIS Journal -Информационная безопасность банков». 2018. №3(30). URL: https://journal.ib-bank. ru/post/689 (дата обращения: 13.11.2018).

4. Методические рекомендации по организационной защите физическим лицом своих персональных данных. URL:https://rkn.gov.ru/about/p538/p212/ (дата обращения: 06.11.2018).

5. Политика обработки персональных данных в ПАО «Сбербанк» (с учетом изменений №1 от 17.11.2016, №2 от 04.07.2017, № 3 от 28.12.2017). URL:https://www.sberbank. ru/common/img/uploaded/files/pdf/normative_docs/politika_obrabotki_pd.pdf (дата обращения: 13.11.2018).

6. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями от 31.12.2017). URL: http://base.garant. ru/12148567/#ixzz5W4hQrCyf (дата обращения: 01.11.2018).

7. Новый регламент ЕС по защите данных (GDPR): а вы готовы? URL: https:// docviewer.yandex.ru/view/341770655/ (дата обращения: 06.11.2018).

8. Вступил в силу Генеральный регламент о защите персональных данных (GDPR). Что это такое и что с ним делать? URL: http://ppt.ru/news/141835 (дата обращения: 08.11.2018).

9. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). URL: https://rkn.gov.ru/personal-data/ protection-of-the-innocent/(дата обращения: 06.11.2018).

10. Постановление Правительства РФ от 16.03.2009 № 228 (ред. от 25.09.2018 № 1138) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»). URL: http://www.consultant.ru/document/cons_doc_LAW_85889/ (дата обращения: 01.11.2018).

11. Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Роскомнадзором 29.01.2016 в ред. 10.07.2018). URL: http://legalacts.ru/doc/rekomendatsii-po-zapolneniiu-formy-uvedomlenija-ob-obrabotke/ /(дата обращения: 08.11.2018).

12. Приложение к приказу Министерства культуры РФ от 25.08.2010 № 558. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (сизменениями и дополнениями от 16.02.2016). URL:http://base.garant.ru/199315/53f89421bbdaf741eb2d1ecc4ddb4c33/#ixzz5WIV61 Pm6 (дата обращения: 08.11.2018).

13. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. URL: https://www.cbr.ru/Content/ Document/File/46921/st-10-14.pdf (дата обращения: 13.11.2018).

14. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России. URL: https:// fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-

obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения: 13.11.2018).

15. Частная модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных. 2015. URL: https:// isafety.ru/wp-content/uploads/2015/07/v10_Частная-модель.pdf (дата обращения: 14.11.2018).

16. Банк данных угроз безопасности информации. URL: http://bdu.fstec.ru/ threat?size=100 (дата обращения: 14.11.2018).

17. Сервис создания моделей угроз. URL: http://www.threat-model.eom/#readme (дата обращения: 14.11.2018).

18. Портал персональных данных Уполномоченного органа по защите персональных данных: ПАО «Сбербанк». URL: http://pd.rkn.gov.ru/operators-registry/operators-list/?rid&id=11-0187199 (дата обращения: 13.11.2018).

19. Стратегия развития Сбербанка 2020. URL: https://www.sberbank.ru/common/ img/uploaded/files/sberbankdevelopmentstrategyfor2018-2020.pdf (дата обращения: 14.11.2018).

i Надоели баннеры? Вы всегда можете отключить рекламу.