Банки получили разосланные Центробанком письма, которыми на получателей возложены обязательства о существенном усилении порядка хранения и ликвидации документов, содержащих персональные данные (ПД) их клиентов. Несоблюдение данного требования депозитно-кредитной организацией, оставленный на прежнем уровне контроль над соблюдением законодательства о ПД, вызовет её проверку регулятором. Одна из первоочередных мер: банкирами должны быть актуализированы документы, обусловливающие режим работы с информацией по клиентам, главным образом с кредитными договорами.
Другое требование из числа ключевых касается принятия и совершенствования внутренних положений, предусматривающих личную ответственность сотрудников кредитных учреждений, ответственных за обработку клиентских ПД, неразглашение сведений в процессе обслуживания контрагентов.
Кроме того… ★☆ Из электронного архива ОВИОНТ ИНФОРМ: Перед банками поставлена задача: усовершенствовать режим обеспечения сохранности материальных носителей ПД, предотвращающий неразрешённый доступ. Это подчёркнуто в письме первого зампреда регулятора Симановского. ☆★
В Центробанке имеется информация о ненадлежащем хранении банками документов с персональными данными клиентов. Сложившаяся ситуация, по мнению ЦБ, недопустима. И, соответственно, необходимо усиление кредитными учреждениями контроля над рисками, которые возникают при всевозможной обработке информации о клиентах.
Регулятором спущен приказ территориальным отделам: оценить качество управления в банках, включая показатель исполнения требований сохранения конфиденциальности. В случае, когда банком внутренние документы не были актуализированы, это станет отрицательным моментом при их оценке во время проверок.
Волнение ЦБ объяснимо, ведь даже в ряде крупнейших банков были допущены утечки персональных данных вкладчиков, в том числе, и в ижевском отделении Сбербанка. В январе внутренние документы организации, — закрытая переписка банка, анкеты клиентов с их ПД, — были обнаружены на свалке.
Документы оказались на свалке вследствие проведения ремонта отделения Сбербанка. Его сотрудники не изъяли документацию до старта работ, и рабочие вывезли её на свалку. Прокуратура Удмуртии поручила проверить факты несоответствующего обращения с данными, несмотря на то, что последствия «чрезвычайного происшествия» были оперативно, — как хотят всем доказать работники ижевского «Сбера», — исправлены, документы изъяты. Тем не менее, документы валялись на свалке, по меньшей мере, всю ночь (это — с момента обнаружения). В банке проводится служебное расследование, по итогам его будут приняты меры. Наказания — к виноватым, и превентивные — для недопущения в будущем аналогичных ситуаций.
★☆ Из электронного архива ОВИОНТ ИНФОРМ: По данным компании Zecurion Analytics, — крупнейшего отечественного предприятия, обеспечивающего кибербезопасность и исследующего утечки, — ущерб от них достиг в 2013-м $25 млрд. На Россию пришлось порядка пяти процентов. Свыше 30% потерь — результаты хакерских атак. Аналитики предприятия прогнозируют рост числа подобных инцидентов в банковском секторе. ☆★
А ведь финансовые учреждения обязаны обеспечить конфиденциальность не только электронных ПД, но и «бумажных», помещая их в спецхраны, оснащённых многоуровневой системой доступа. Уничтожать же документы следует специализированным оборудованием под присмотром банковских работников.
Проблема ненадлежащего отношения к бумажным носителям присутствует во многих финансовых учреждениях, что признают даже их работники. Ужесточив порядок, усилив ответственность, можно сократить риски утечек. Но многие понимают, что полностью избежать потерь нельзя. Тем не менее, крупные банки готовы к удовлетворению разосланных сверху новых требований. При этом, ужесточение мер ответственности вряд ли серьёзно отяготит финансовых дилеров.
Банки, следуя закону «О персональных данных», уже сделали немало. Приобрели надлежащее оборудование, ввели инновационные системы хранения ПД, разработали внутренние контролирующие меры. Технология хранения и уничтожения бумажных файлов отработана и сбоев практически не даёт.
Но полностью устранить проблему потерь данных в принципе невозможно из-за человеческого фактора и постоянной «работы» и самосовершенствования мошенников. При этом, в законодательстве ведь не даются конкретные советы по правильному обеспечению сохранности обрабатываемых кредитными учреждениями данных.
★☆ Из электронного архива ОВИОНТ ИНФОРМ: Есть лишь общие требования в правительственном постановлении №687. В нём оговорено наличие персональных мер, необходимых оператору, чтобы обеспечить сохранность носителей персональных данных, которые исключают несанкционированный доступ к носителям. ☆★
Отсутствие чётких требований увеличивает неопределённость в их интерпретации, что является минусом этой инициативы, уверены банкиры. А ведь защита клиентских ПД — столь же обязательное условие данной сферы бизнеса, как и необходимость контроля кассового хранилища. В отношении же ответственности — лучшие стимулы экономические.
Но всё же Центробанк обязывает предоставлять отчётность, грозит постоянными проверками. Конечно, эти меры помогут не только в обеспечении информационно-безопасного законодательства, но и обеспечат серьёзную поддержку «противоотмывочной» кампании, которая развернулась в последнее время в нашей стране. Но всё-таки «наказание рублём» зачастую гораздо эффективнее. Главное чтобы «рубль» был хорошего размера.