20 мая 2014 г.

21 мая: круглый стол «Управление безопасностью – управление рисками»

В рамках международного форума Positive Hack Days 21 мая пройдет круглый стол «Управление безопасностью – управление рисками». В нем примут участие ведущие специалисты отрасли:
  • Светлана Белялова, заместитель председателя правления ОАО «ВТБ»,
  • Виталий Задорожный, директор по управлению операционными рисками компании «ВымпелКом»,
  • Андрей Костин, директор по внутреннему контролю и управлению рисками Yota,
  • Владимир Курбатов, начальник управления по информационной безопасности  ООО «ЛУКОЙЛ-ИНФОРМ».
Модератор круглого стола: Михаил Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры».
Обсуждаться будут следующие вопросы:
1.      Может ли основной бизнес компании, в которой вы работаете, существовать без современных ИТ-технологий? Что произойдет с бизнесом, если информационная система выйдет из строя (упадет, перестанет быть доступной) и как долго можно будет продержаться без доступа к приложениям?
2.      Управление рисками информационной безопасности (ИБ) и в информационной сфере в целом – это часть общей системы менеджмента рисками в вашей организации или самостоятельное направление деятельности? Можно ли построить риск-менеджмент ИБ как отдельную область деятельности или управление ими возможно только в рамках общей системы управления бизнес-рисками?
3.      Насколько риск-менеджмент в области ИБ является приоритетным в вашей организации? К каким группам рисков относятся риски в области ИБ или это полностью самостоятельная группа?
4.      Можно ли строить систему ИБ  не управляя рисками, а используя, например, только лучшие практики? Ведь требования постановлений правительства, Банка России и приказов ФСТЭК № 17 и 21 – это фактически сборники лучших практик, хотя слова «риск-менеджмент» там и звучат. Может, можно сделать все проще?
5.      Оценка риска – всегда производная от вероятности реализации и значимости последствий. Последствия оценить можно и понятно  как это сделать. А как оценить вероятность реализации, учитывая что статистики, тем более узкоотраслевой, нет. Как можно оценивать вероятность без вероятностного распределения? Не похоже ли управление рисками на гадание на кофейной гуще?
6.      Скажите честно, риск-менеджмент ИБ пришел в вашу компанию от бизнеса или от ИБ? Почему?
Место и время: 21 мая, 16:00, Москва, центр Digital October.
Организатор: компания Positive Technologies.

13 мая 2014 г.

И каждый пошел своею дорогой, а суд пошел своей

Письмо Банка России № 42-Т от 14 марта 2014 г. «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», судя по его содержанию, было реакцией надзорного подразделения на участившиеся случаи массового выноса на городские помойки документов с персональными данными клиентов не самых последних российских банков.
Хроника событий (взятых из открытых источников) выглядела примерно так:
Май 2013: ветер разносит заявления и договоры клиентов Сбербанка над  московским Зеленоградом.
Май 2013: мешки с заявками на предоставление кредитов в банке «Кедр» в мусорных баках Абакана.
Январь 2014: на свалке мешки документов из офиса Сбербанка, ставшего под ремонт в Ижевске.
Февраль 2014: мешки с документами Альфа-Банка в центре Екатеринбурга.
Тем не менее письмо № 42-Т не вызвало большого внимания специалистов, которые вяло пообсуждали, согласившись, что опять рассказали про Волгу и Каспийское море. На нюансы письма одним из первых обратил внимание Николай Беляков из банковского сообщества. Предпоследний абзац письма сурово сообщал, что «Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 № 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
Дальше мостик перекидывается весьма неожиданно. Статья 48 Федерального закона от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации» предусматривает возможность прекращения банками привлечения средств физических лиц, если группа показателей качества управления банком, включая показатели, характеризующие систему управления рисками, состояние внутреннего контроля, оценивается как неудовлетворительная в течение трех месяцев подряд. Как терручреждения ЦБ будут оценивать документы на свалке, знают только они, но банки, попавшие под раздачу, кое-какие выводы сделали. Сбербанк, отделение которого отличилось в г. Зеленограде, управляющую отделением, чьи документы ветер развеял над городом, сначала отстранил от работы, а затем уволил.
Но, как я люблю говорить на своих курсах, это было только начало истории.
А продолжение она получила уже в апреле этого года. Материалов судебного дела в открытом доступе обнаружить, к сожалению, не удалось, поэтому выводы буду делать на основании публикации в «Известиях».
Уволили руководителя отделения «банка друзей» за разглашение банковской тайны - подпункт в) п.6 ст.81 Трудового кодекса, предусматривающего расторжение трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, в частности – разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Формулировку в трудовой книжке уволенного руководителя и материалов служебного расследования я, естественно, не видел, но, подозреваю, что там кадровики дали маху. Подозреваю, потому что суд все доводы работодателя отмел и … восстановил управляющую в должности с компенсацией ей более миллиона рублей за вынужденный прогул, моральный вред и судебные издержки. По мнению суда, руководитель отделения Сбербанка ни в чем не виновата – документы на помойку вынесла сотрудница клининговой компании (это сейчас так толерантно называют уборщиц) из Киргизии, которую быстро отправили на родину. Коробку с документами она взяла из-под стола в операционном зале, причем, по мнению уволенного руководителя, взяла неправомерно, потому как документы на выброс не предназначались. Адвокат восстановленной работницы с гордостью сообщил, что «мы доказали, что она не имела к этой истории никакого отношения: уборщица самовольно, без чьего-либо указания и приказа, в нарушение всех инструкций взяла под столом документы, которые находились в работе и не предназначались к выносу за пределы Сбербанка. К тому же, когда утром уборщица выкидывала документы, самой Ломовой еще не было на рабочем месте».
Еще раз повторюсь, дело, на мой взгляд, в формулировке причин увольнения. Если она была таковой, как указано в публикации «Известий» - разглашение банковской тайны, то оспорить ее было не так уж и трудно. Управляющая отделением ничего сама не разглашала. Она не создала условий, обеспечивающих выполнение закона. А это – совсем другая история.
Что значит, не создала условий в данном случае? Читаем закон 152-ФЗ «О персональных данных» и постановление Правительства № 687. Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных». Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».
В рассматриваемой ситуации имел место и неправомерной (случайный) доступ уборщицы к персональным данным клиентов, и сохранность их не обеспечена, и распространение налицо – заявления на получения пластиковых карт, банковское обслуживание, договоры на открытие счетов с фамилиями, именами, отчествами клиентов, их паспортными данными и даже финансовыми историями клиентов летали над городом, и каждый желающий мог с ними ознакомиться.
Вот если бы должностные обязанности руководителю отделения банкам были определены корректно, и в них бы предусматривалось обеспечение соблюдения законодательства в сфере персональных данных, основание для увольнение должно было быть совсем другим – не п.6, а п.10 той же статьи 81 ТК РФ: «однократного грубого нарушения руководителем организации (филиала, представительства), его заместителями своих трудовых обязанностей». Оспорить его в суде при установленном факте наличия документов в мусорном баке и вокруг него было бы крайне сложно.
Еще одна история. В отделении того же банка в Ижевске документы оказались на улице вообще по анекдотичной причине. Водитель грузовика, вывозившего бумажные документы банка на утилизацию, толкнул его первому же желающему «для подсыпки дороги». Сами понимаете, кредитные заявления для этой цели, в отличие от строительного мусора, годятся плохо, вот и полетели они над Ижевском, как ранее над Зеленоградом.
И рецепты по традиции.
1.     Определяя приказом ответственного за организацию обработки персональных данных в юридическом лице, не забудьте вменить в обязанность руководителям структурных подразделений (филиалов, отдельных операционных офисов) обязанности по обеспечению требований 152-ФЗ во вверенном подразделении и предусмотреть ответственность за их невыполнение.
2.     В договор с организацией, производящей утилизацию носителей персональных данных, не забудьте включить пункт о конфиденциальности и ответственности за ее несоблюдение.
3.     Если такого условия нет и включить его почему-то нельзя, обеспечьте присутствие ответственного работника оператора при следовании транспорта на предприятие по утилизации и в ходе самой утилизации вплоть до полного уничтожения носителя.
И помните – в соответствии с законом лицо, которому оператором поручена обработка персональных данных (в данном случае – уничтожение) перед субъектом ответственности не несет, а отвечает только перед оператором. Как отвечает – должно быть определено в договоре, иначе неизбежны долгие и сложные споры в арбитраже с непредсказуемым исходом.
Специально для банков. Закон о персональных данных теперь – элемент оценки деятельности банка с точки зрения эффективности управления и внутреннего контроля. Принять превентивные меры, доказывающие добросовестность оператора (правильно написать нормативные документы) не сложно. Но сделать это надо заранее.