Защита финансовой информации: как избежать утечек
Узнать большеБанки давно существуют в том виде, в котором мы знаем их сейчас. Изменения претерпела только форма обслуживания клиентов, а принципы работы остались прежними. Люди привыкли доверять банкам – они не сомневаются, что их деньги и личные данные будут под надежной защитой. Финансовые организации, в свою очередь, делают все, чтобы оправдать ожидания своих клиентов, в частности используют эффективные инструменты для безопасности информационной среды. Обсудим, как строится защита персональных данных в банке.
Какую информацию обрабатывают банки
Банк имеет право запросить у клиентов следующие персональные данные:
- Паспортные данные и сведения о регистрации по месту жительства.
- Фактический адрес проживания.
- Семейное положение.
- Информацию о месте работы и доходах.
- Сведения об образовании.
- Контакты самого клиента, его родственников и друзей, работодателей.
- Информацию о наличии кредитов.
- Перечень финансовых операций клиентов, данные карт.
Таким образом, банки осуществляют сбор сведений, благодаря которым можно идентифицировать человека и составить объективный портрет клиента. Точный перечень запрашиваемых данных зависит от цели визита в финансовое учреждение. Максимум информации требуется от клиентов, желающих оформить кредит. Потенциальный заемщик должен заполнить подробную анкету, приложить подтверждающие доход документы и дать разрешение запечатлеть себя на фото. В отдельных случаях требуются сведения о людях, выступающих поручителями, и контактные данные третьих лиц, через которых банк будет искать клиента в случае недоступности личного контакта.
Финансовая организация обязана предоставить клиенту возможность подписать согласие на обработку персональных данных. Этот документ дает право распоряжаться полученными сведениями в рамках законодательства, а для клиента выступает гарантией защиты его персональных данных. В нем перечислены все разрешенные с персональными данными операции. Также там есть пункт, гласящий, что финансовая организация обязана соблюдать конфиденциальность сведений.
Также банки должны соблюдать конфиденциальность персональных данных сотрудников. Это положение является обязательным условием трудового законодательства.
Какие действия с персональной информацией совершает банк
Финансовые организации наделены правом собирать сведения, использовать их для идентификации клиента и проверки его платежеспособности, актуализировать, хранить и удалять.
Закон не регламентирует максимальный срок хранения персональной информации. Обычно банки удаляют данные спустя 5 лет после того, как человек выполнил свои обязательства перед финансовой организацией.
Клиент может потребовать удалить сведения в случае прекращения договорных отношений. Например, при закрытии счета. Банк обязан это сделать, если у клиента не осталось долговых обязательств перед учреждением.
Законодательство в сфере защиты персональных данных
Все данные, подпадающие под категорию персональных, перечислены в ФЗ № 152 от 27 июля 2006 года. В документе есть разделы, посвященные вопросам конфиденциальности, принципам хранения и обработки сведений, мерам обеспечения безопасности.
Также ФЗ содержит пункт об ответственности за несоблюдение требований законодательства. Вот примеры нарушений, за которые может последовать ответственность банковской организации:
- Ненадлежащая обработка персональных данных.
- Несоблюдение требований обеспечения конфиденциальности сведений.
- Запрашивание сведений, которые не имеют отношения к целям, заявленным клиентом банка.
- Нарушение процедуры подписания документа о согласии на обработку данных.
В законодательстве нет требований к перечню нормативных документов конкретных финансовых организаций. Как правило, банки сами разрабатывают и внедряют политику обработки данных, где перечислены положения по защите персональных сведений о сотрудниках и клиентах.
Система защиты данных банка
Система защиты данных банка строится на двух аспектах – организационном и техническом. Организационные меры защиты включают:
- Обеспечение прозрачности данных. У всех сотрудников организации должно быть понимание, где хранится информация, как проходит ее сбор и обработка.
- Создание четкого регламента работы с данными. Каждый сотрудник банка обязан следовать алгоритмам, определяющим последовательность взаимодействия с конфиденциальной информацией.
- Работа с персоналом – обучение, проведение инструктажей. Следует извещать сотрудников о любых изменениях в сфере информационной безопасности организации, уведомлять о последствиях нарушения политик безопасности. Также в обязательном порядке нужно составить должностную инструкцию для лиц, напрямую отвечающих за обработку персональных данных клиентов.
- Контроль над USB-устройствами и другими съемными носителями с целью не допустить кражу данных и заражение рабочих станций вирусным ПО.
- Регламентирование доступа в помещения, где хранится и обрабатывается информация ограниченного доступа. Для надежности следует использовать журналирование с целью фиксации данных о сотрудниках, которые взаимодействовали с серверами.
- Инсценировка кибератак для проверки готовности сотрудников службы безопасности выявлять и устранять угрозы. Также эта мера помогает оценить эффективность технических и программных средств защиты.
Второй этап обеспечения безопасности – внедрение технических инструментов защиты. Они должны выполнять следующие функции:
- Защита данных банка в момент их движения.
- Шифрование конфиденциальных сведений.
- Защита от фрода (мошенничества).
- Сканирование конфиденциальной информации в состоянии покоя.
Решение перечисленных выше задач возможно с помощью DLP-решений (Data Leak Prevention). Решения этого класса предотвращают утечки конфиденциальной информации, выявляют признаки корпоративного мошенничества и предоставляют инструменты для проведения расследований инцидентов безопасности.
DLP для защиты данных банка
DLP-решения защищают конфиденциальные сведения независимо от местонахождения хостов и способа их подключения к сети. Они работают даже тогда, когда устройства не подключены к интернету. Непрерывный контроль за соблюдением установленных политик безопасности лишает внутренних злоумышленников возможности похитить данные и использовать их в своих корыстных целях.
Решения класса Data Leak Prevention используются для непрерывного мониторинга коммуникаций и движения конфиденциальных сведений по каналам коммуникаций, а также выявления фактов их хранения в неположенных для этого местах (файловых хранилищах). В ходе такого мониторинга выявляются не только потенциальные внутренние злоумышленники (сотрудники группы риска), но и сотрудники, уже фактически нарушающие политики работы с данными.
Преимущества решений для защиты данных банка:
- Профилактика и предотвращение инцидентов.
- Анализ поведения пользователей и сбор доказательной базы для расследования инцидентов.
- Формирование интерактивных отчетов на основе проведенного мониторинга.
- Выявление ранее пропущенных инцидентов.
- Способность функционировать в геораспределенном режиме.
- Совместимость со всеми операционными системами.
Практика применения DLP-систем показывает, что решения помогают избежать утечек данных в организациях различных сфер деятельности. Они выявляют подозрительную активность по всем каналам движения информации и помогают на ранних этапах обнаружить угрозы и принять меры по реагированию.
Для финансовых организаций подойдет система Solar Dozor. Solar Dozor является программным средством защиты от неправомерной передачи из информационной системы конфиденциальных сведений и соответствует требованиям по безопасности информации по 4 уровню доверия, изложенным в следующих документах:
-
Приказ ФСТЭК России № 76 от 2 июня 2020 г., утвердивший «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
-
Технические условия ТУ 5014-003-17764670-2019 (сертификат соответствия № 4459).
DLP-система Solar Dozor может применяться в информационных системах для обеспечения до 1 уровня защищенности персональных данных, в том числе в организациях финансовой сферы, что отвечает положениям Приказа ФСТЭК № 21.
Заключение
Финансовые организации уделяют пристальное внимание защите персональных данных своих клиентов. Подход к защите ПДн должен быть комплексным, и одним из компонентов комплексной системы защиты являются DLP-решения – инструмент для мониторинга движения и хранения конфиденциальной информации, контроля коммуникаций и оперативного реагирования на инциденты.