17 декабря 2014 г.

Базам персональных данных - вернуться на главную базу

Всем готовиться к 1 сентября 2015 года! Незаметно и иносказательно сайт Думы сообщил о переносе сроков вступления в силу Федерального закона 242-ФЗ, получившего неофициальное название «о территориальности персональных данных россиян».
Утреннее пленарное заседание Госдумы сегодня, 17 декабря.
По предложению Романа Чуйченко, выступившего от Комитета по информационной политике, информационным технологиям и связи, депутаты вернули во второе чтение законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», уточняющий срок вступления закона в силу, а затем приняли законопроект сразу во 2-м и 3-м чтениях.
К документу принята одна поправка:
«Внести в статью 4 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» … изменение, изложив ее в следующей редакции:
«Статья 4
Настоящий Федеральный закон вступает в силу с 1 сентября 2015 года».
Дальше начинается казуистика и крючкотворство. Но об этом – как-нибудь позже, когда закон подпишет президент, а у меня появится время.

3 декабря 2014 г.

Про указание ЦБ, идентификацию, хакеров и паспорта

Как мы помним, Указанием Банка России от 21 января 2014 г. N 3179-У, для проверки действительности паспорта физического лица, являющегося гражданином Российской Федерации, кредитная организация должна использовать информационный сервис «Проверка действительности паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации» на официальном сайте Федеральной миграционной службы (ФМС) в сети интернет. Правда, порядка проведения такой проверки и документирования ее результатов Положение 262-П и указание о внесении в него изменений не содержат, оставив решение этой непростой проблемы на откуп банков.
Законопослушные банки бросились указание исполнять, сервер ФМС, содержащий ресурс, не являющийся к тому же официальным, естественно, упал, и, полежав на боку некоторое время, восстал из пепла под новым имением «Проверка по списку недействительных (утраченных (похищенных), оформленных на утраченных (похищенных) бланках паспорта гражданина Российской Федерации, выданных в нарушение установленного порядка, а также признанных недействительными) паспортов граждан Российской Федерации, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации». Т.е. Положение ЦБ есть, а ресурса, который он требует использовать, нет, есть другой, в Положении не упомянутый. Чтобы не перегружать запросами сервер ФМС и не пытаться получить информацию под тяжелым взглядом ожидающего клиента, можно скачать «Список недействительных (утраченных (похищенных), оформленных на утраченных (похищенных) бланках паспорта гражданина Российской Федерации, выданных в нарушение установленного порядка, а также признанных недействительными) паспортах граждан Российской Федерации, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации», который обновляется по рабочим дням, и встроить его в свою информационную систему.
Насколько этот перечень является достоверным – вопрос непростой. По этому поводу Ассоциация российских банков уже направляла запрос в Банк России, обращая внимание на неполноту базы паспортов и нестабильную работу информационного ресурса, а также отсутствие порядка фиксации обращения банка на сайт ФМС.
Банк России в своем ответе относительно фиксации обращения предложил самостоятельно определять порядок в правилах внутреннего контроля. Проблемы недостоверности сведений и перегруженности сайта ФМС банкам предложено решать с использованием Единой системы межведомственного электронного взаимодействия, к которой банки подключаются как участники Государственной информационной системы о государственных и муниципальных платежах.
При этом ЦБ полагает, что в случае, если при проверке действительности паспорта на сайте ФМС получен ответ «Сведениями по заданным реквизитам не располагаем» либо «В электронных учетах ФМС России в настоящее время не значится», кредитная организация может отказать такому лицу в приеме на обслуживание либо в выполнении распоряжения о совершении операции до получения официального ответа территориального подразделения ФМС России о действительности паспорта данного лица. А если паспорт числится недействительным, банку следует отказать такому лицу в приеме на обслуживание либо в выполнении распоряжения о совершении операции до представления клиентом доказательств, подтверждающих действительность паспорта (например, официального ответа территориального подразделения ФМС о действительности паспорта данного лица).
Проблема заключается в том, что сайт выдает иные варианты ответа «По Вашему запросу о действительности паспорта РФ ____ № _____ получен ответ о том, что данный паспорт «Среди недействительных не значится» или что «данный паспорт недействителен (ЗАМЕНЕН НА НОВЫЙ)».
Но изменения работы, видимо, коснулись не всех. Сегодня городской портал города Перми Properm.ru сообщил, что хакеры взломали сайт областного управления ФМС, получили доступ к номерам паспортов жителей края и немного порезвились, внеся изменения в данные. Поэтому, по сообщению городского портала, многие обратившиеся в банк горожане после обращения работников банка на сайт узнают, что их паспорта недействительны или сведений о них нет, и получают отказ в оказании банковской услуги – см. рекомендации ЦБ выше. Правда, об этих проблемах знают не во всех районных подразделениях города.
Сообщение о недействительности паспорта или отсутствии сведений о нем влечет необходимость личного обращения в подразделение УФМС, получения соответствующей справки или даже замену паспорта. Проблему  со справкой чиновники обещают решить в срок от двух дней до недели.
Почему у Перми есть своя система проверки подлинности паспортов, связана ли она информационно с официальным сайтом ФМС, я не знаю. Тем не менее сведений о моем паспорте в ней нет:
А вот сайт ФМС о моем паспорте знает и подтверждает его подлинность.
Пока очевидно, что с сервисом есть проблемы. На страничке проверки паспортов честно сообщается: «Улучшаем сервис с помощью граждан. Скорректировано сведений в АС «Российский Паспорт»: 80738». Это значит, что граждане сообщили о более чем 80 тысячах записей, являющихся неверными. По сообщению информационного агентства «Гарант.РУ», такая ситуация обеспокоила Национальный совет финансового рынка (НСФР), который, отметив значительный рост отказов банков от обслуживания клиентов-физических лиц, обратился в Управление Роспотребнадзора по г. Москве с предложением об оказании содействия в предотвращении нарушений прав потребителей, вызванных установлением такой обязанности банков. НСФР отмечает, что ресурс ФМС носит исключительно информационной характер, а для получения юридически значимой информации следует обратиться в территориальное подразделение ФМС России. Отказ в оказании банковских услуг – дело серьезное, а тут для такого решения используется неофициальная и, возможно, недостоверная информация…
Я думаю, надо ждать дальнейшего развития событий. Точки ставить рано.
В заключение – благодарность аналитикам нашего агентства, готовящим ежемесячный отчет о правоприменении, за извлечение приведенных фактов из Больших данных интернета J.

1 декабря 2014 г.

И вечный аудит. Покой банкам и не снится

Есть в стандарте Банка России СТО БР ИББС 1.0-2014 требование о наличии в кредитно –финансовой организации, присоединившейся к стандарту, такого документа, как программа аудита. В соответствии с определением, там должны быть сведены планы проведения проверок выполнения требований не только стандарта, но и всех остальных проверок состояния информационной безопасности (ИБ): «Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ)».
За окошком – декабрь, и мы с нашими клиентами корректируем планы работ в новом году. Дошли руки и до программы аудита, как-никак документ во многом базовый, да и стандарт требует периодической корректировки программы.
Банк России рекомендует чередовать самооценку выполнения требований стандарта с аудитами с привлечением внешней проверяющей организации, есть ряд обязательных требований о проведении проверок безопасности и в других документах.
Обобщив и подытожив, получаем картину довольно суровую.
Допустим, банк с учетов выхода новой редакции стандарта провел аудит силами привлекаемой организации. Значит, в соответствии с требованиями стандарта, через два года, в 2016 году, ему целесообразно провести самооценку, а в 2018 – снова аудит.
Между самооценкой и аудитом скучать тоже будет некогда.
1 ноября 2012 года постановлением Правительства № 1119 были утверждены «Требования к защите персональных данных при их обработке в ИСПДн», среди которых – необходимость контроля за их выполнением оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК не реже 1 раза в 3 года. Эти три года с момента установления нормы истекают как раз в ноябре 2015 года, значит, если банк этого не сделал раньше (а большинство КФУ, по нашим наблюдениям, этого не делало), в 2015 году надо провести проверку выполнения требований к защите персональных данных.
Как мы с вами помним, в соответствии с положением Банка России № 382-П, первая оценка выполнения его требований должна была завершиться не позднее 9 января 2014 года. Периодичность проведения оценок – раз в два года. Значит, до конца 2015 года надо провести и работу по 382-П, и не просто провести, а отчитаться за нее Банку России. Аналогичная работа должна быть проведена и в конце 2017 года, а в 2018 – снова аудит на соответствие СТО БР ИББС с привлечением внешней организации. И так по кругу.
Не будем забывать, что проверка – не самоцель, каждая из них должна заканчиваться анализом полученных результатов и выработкой предложений по результатам проверки, подготовкой и представлением руководству Банка предложений по совершенствованию системы защиты информации и программы аудита, а затем надо обеспечить еще и реализацию всех подготовленных предложений, получив для этого не только «добро» руководства банка, но и необходимые ресурсы.
А между всеми этими проверочными, планирующими и корректирующими мероприятиями должен, как это требует стандарт, вестись непрерывный мониторинг информационной безопасности и контроля защитных мер в банке в целях оперативного и постоянного наблюдения, сбора, анализа и обработки данных для контроля за реализацией положений внутренних документов по обеспечению информационной безопасности в банке, выявления нештатных, в том числе злоумышленных, действий в автоматизированной банковской системе и инцидентов информационной безопасности, а также анализ функционирования системы обеспечения информационной безопасности.
Вот такой вот вечный бой. В заключение – табличка, построенная исходя из того, что внешний аудит проводился банком в 2014 году и первое контрольное мероприятие выполнения требований в защите персональных данных будет в 2015 году.
2014
Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2015 (до ноября)
Проверка выполнения требований к защите персональных данных при их обработке в ИСПДн и эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению их безопасности
2015 (до 9 января 2016)
Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2016
Проведение самооценки соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2017 (до 9 января 2018)
Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2018
Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014

И не забудем отправить в Банк России сведения о результатах оценки выполнения требований 382-П, «Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014» по результатам аудита и самооценки!