Банковский ритейл и персональные данные
<br>Комментарий Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
На мой взгляд, после вступления в силу закона о персональных данных для банков практически ничего не изменилось. Закон был принят в июле 2006 года, прошло 5 лет. За это время было издано много уточняющих документов, среди них 4 методики, разработанные ФСТЭК, и 2 методики ФСБ. Было проведено множество конференций, семинаров, на которых рассматривались типовые модели угроз. Однако в отличие от организаций из других сфер экономики, например, торговли и медицины, банки всегда достаточно хорошо защищали информацию, поскольку этот аспект деятельности напрямую связан с возможными финансовыми и репутационными рисками.
В результате вступления в силу нового закона определение самого термина «персональные данные» стало более гибким. Если раньше к персональным данным относились фамилия, имя и отчество объекта, его адрес и тому подобные сведения, то сейчас определение стало более близким к европейскому пониманию термина: любые сведения, которые позволяют идентифицировать гражданина, являются персональными данными. Требования к техническим средствам, используемым для создания системы безопасности, стали более понятными.
стемы защиты: установить сертифицированные решения, отчасти изменить политики безопасности и регламенты работы. Для многих этого было достаточно, чтобы соответствовать регулирующим нормам. С принятием этого закона персональные данные в банках стали более защищенными. Раньше больше внимания уделялось банковской тайне, теперь повысился и уровень защищенности персональных данных. Во всяком случае, процессы регламентированы, определены хозяева ресурсов, где данные хранятся и обрабатываются. Я считаю, для банковской сферы закон оказал положительное влияние. В тоже время, до сих пор сохраняются понятия «бумажной» и реальной защищенности. К сожалению, для многих отраслей «бумажная защищенность» до сих пор приоритетна, тогда как реальная оказывается попросту ненужной. Это объясняется тем, что организации не хотят тратить ресурсы на повышение уровня защиты информации, не разбираются в этих вопросах и т.д. В банках же, как правило, «бумажная» и реальная защищенность достаточно близки. Существуют стандарты «Банка России», которые обязывают проводить аудиты PCIDSS, SWIFT-аудиты, а также аудиты по информационной безопасности. Благодаря таким регулярным проверкам, уровень безопасности данных в крупных банках достаточно высок.
Тем не менее, у банков по-прежнему есть одно слабое звено – это ДБО. До сих пор нет типовой модели угроз или каких-либо рекомендаций по защите дистанционного банкинга. При этом уровень рисков при осуществлении этой операции выше, чем при традиционной банковской деятельности. Это одно из самых уязвимых звеньев, т.к. дистанционное банковское обслуживание осуществляется через Интернет, через открытые каналы связи, и традиционно связано с высоким уровнем мошенничества.