
Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать больше21.06.2023
Банки давно существуют в том виде, в котором мы знаем их сейчас. Изменения претерпела только форма обслуживания клиентов, а принципы работы остались прежними. Люди привыкли доверять банкам – они не сомневаются, что их деньги и личные данные будут под надежной защитой. Финансовые организации, в свою очередь, делают все, чтобы оправдать ожидания своих клиентов, в частности используют эффективные инструменты для безопасности информационной среды. Обсудим, как строится защита персональных данных в банке.
Какую информацию обрабатывают банки
Банк имеет право запросить у клиентов следующие персональные данные:
Таким образом, банки осуществляют сбор сведений, благодаря которым можно идентифицировать человека и составить объективный портрет клиента. Точный перечень запрашиваемых данных зависит от цели визита в финансовое учреждение. Максимум информации требуется от клиентов, желающих оформить кредит. Потенциальный заемщик должен заполнить подробную анкету, приложить подтверждающие доход документы и дать разрешение запечатлеть себя на фото. В отдельных случаях требуются сведения о людях, выступающих поручителями, и контактные данные третьих лиц, через которых банк будет искать клиента в случае недоступности личного контакта.
Финансовая организация обязана предоставить клиенту возможность подписать согласие на обработку персональных данных. Этот документ дает право распоряжаться полученными сведениями в рамках законодательства, а для клиента выступает гарантией защиты его персональных данных. В нем перечислены все разрешенные с персональными данными операции. Также там есть пункт, гласящий, что финансовая организация обязана соблюдать конфиденциальность сведений.
Также банки должны соблюдать конфиденциальность персональных данных сотрудников. Это положение является обязательным условием трудового законодательства.
Какие действия с персональной информацией совершает банк
Финансовые организации наделены правом собирать сведения, использовать их для идентификации клиента и проверки его платежеспособности, актуализировать, хранить и удалять.
Закон не регламентирует максимальный срок хранения персональной информации. Обычно банки удаляют данные спустя 5 лет после того, как человек выполнил свои обязательства перед финансовой организацией.
Клиент может потребовать удалить сведения в случае прекращения договорных отношений. Например, при закрытии счета. Банк обязан это сделать, если у клиента не осталось долговых обязательств перед учреждением.
Законодательство в сфере защиты персональных данных
Все данные, подпадающие под категорию персональных, перечислены в ФЗ № 152 от 27 июля 2006 года. В документе есть разделы, посвященные вопросам конфиденциальности, принципам хранения и обработки сведений, мерам обеспечения безопасности.
Также ФЗ содержит пункт об ответственности за несоблюдение требований законодательства. Вот примеры нарушений, за которые может последовать ответственность банковской организации:
В законодательстве нет требований к перечню нормативных документов конкретных финансовых организаций. Как правило, банки сами разрабатывают и внедряют политику обработки данных, где перечислены положения по защите персональных сведений о сотрудниках и клиентах.
Система защиты данных банка
Система защиты данных банка строится на двух аспектах – организационном и техническом. Организационные меры защиты включают:
Второй этап обеспечения безопасности – внедрение технических инструментов защиты. Они должны выполнять следующие функции:
Решение перечисленных выше задач возможно с помощью DLP-решений (Data Leak Prevention). Решения этого класса предотвращают утечки конфиденциальной информации, выявляют признаки корпоративного мошенничества и предоставляют инструменты для проведения расследований инцидентов безопасности.
DLP для защиты данных банка
DLP-решения защищают конфиденциальные сведения независимо от местонахождения хостов и способа их подключения к сети. Они работают даже тогда, когда устройства не подключены к интернету. Непрерывный контроль за соблюдением установленных политик безопасности лишает внутренних злоумышленников возможности похитить данные и использовать их в своих корыстных целях.
Решения класса Data Leak Prevention используются для непрерывного мониторинга коммуникаций и движения конфиденциальных сведений по каналам коммуникаций, а также выявления фактов их хранения в неположенных для этого местах (файловых хранилищах). В ходе такого мониторинга выявляются не только потенциальные внутренние злоумышленники (сотрудники группы риска), но и сотрудники, уже фактически нарушающие политики работы с данными.
Преимущества решений для защиты данных банка:
Практика применения DLP-систем показывает, что решения помогают избежать утечек данных в организациях различных сфер деятельности. Они выявляют подозрительную активность по всем каналам движения информации и помогают на ранних этапах обнаружить угрозы и принять меры по реагированию.
Для финансовых организаций подойдет система Solar Dozor. Solar Dozor является программным средством защиты от неправомерной передачи из информационной системы конфиденциальных сведений и соответствует требованиям по безопасности информации по 4 уровню доверия, изложенным в следующих документах:
Приказ ФСТЭК России № 76 от 2 июня 2020 г., утвердивший «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
Технические условия ТУ 5014-003-17764670-2019 (сертификат соответствия № 4459).
DLP-система Solar Dozor может применяться в информационных системах для обеспечения до 1 уровня защищенности персональных данных, в том числе в организациях финансовой сферы, что отвечает положениям Приказа ФСТЭК № 21.
Заключение
Финансовые организации уделяют пристальное внимание защите персональных данных своих клиентов. Подход к защите ПДн должен быть комплексным, и одним из компонентов комплексной системы защиты являются DLP-решения – инструмент для мониторинга движения и хранения конфиденциальной информации, контроля коммуникаций и оперативного реагирования на инциденты.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.