«LEGO» информационной безопасности (ИБ), безусловно, мощный, гибкий, востребованный, актуальный инструментарий, позволяющий оптимально решать задачи управления рисками ИБ при должном уровне зрелости и осознания соответствующих процессов в организации.
Однако в этом «конструкторе» не всё ладно с инструкциями. Иначе говоря, можно строить всё правильно, а на выходе получить гибрид «ежа с ужом» и прийти к неутешительному расхолаживающему выводу: что ни делай, что-нибудь да нарушишь. И в больших данных этих проблем не избежать, поскольку данные-то всё тех же категорий (банковская тайна, персональные данные и др.), только их много, они разрознены и не структурированы.
Чтобы этого избежать и не обесценить «кирпичики», какие-то гордиевы узлы придётся рубить сплеча.
Необходимо прояснить вопрос о возможности использования облачных технологий по схеме «инфраструктура как услуга» (или сторонних ЦОД аналогичным образом) для обработки информации, относящейся к категории банковской тайны. «Аутсорсинг» вычислительных мощностей критически важен как для системообразующих, так и для малых кредитно-финансовых организаций (для первых – ввиду масштаба деятельности и объёма обрабатываемых данных, для вторых – ввиду высоких издержек на должное обслуживание такой инфраструктуры). На данный момент круг лиц, которые могут легитимно получить доступ к банковской тайне, определён статьёй 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности». При этом, если фактически для обработки банковской тайны арендуются вычислительные мощности, никогда нет полной гарантии (иначе говоря, всегда есть ненулевые остаточные риски), что к этой информации не получат доступ третьи лица из числа администрирующего и обслуживающего персонала арендованной инфраструктуры, хотя бы на физическом уровне семиуровневой модели OSI.
Крайне важно определить, где проходит граница между персональными данными клиента и его банковской тайной. Действующее законодательство не содержит чёткого определения понятия «банковская тайна». Содержание банковской тайны вводится как статьёй 857 Гражданского кодекса РФ, так и статьёй 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности». ГК РФ гарантирует тайну банковского счёта, банковского вклада, операций по счёту и сведений о клиенте. Закон «О банках и банковской деятельности» гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. При этом Центральный банк Российской Федерации в своих разъяснениях [1] указывает на принадлежность банковской тайны к персональным данным. Это влечёт за собой значительное ужесточение требований по защите банковской тайны (которые на самом деле явно ни законом, ни уполномоченными регуляторами не определены), вплоть до необходимости применять сертифицированные средства криптографической защиты при передаче персональных данных по каналам связи общего пользования, к которым относится сеть Интернет. Это коснётся, в частности, иностранной криптографии, применяемой при реализации дистанционного банковского обслуживания (ДБО), и чтобы ДБО через личный кабинет или приложение на мобильном устройстве с передачей данных через защищённый протокол не оказалось вне закона, придётся открывать дискуссию с проверяющим на тему «что есть СКЗИ, а что просто какие-то преобразования», которая ещё неизвестно к каким результатам приведёт.
Есть нестыковки в вопросах доступа к банковской тайне, прямо не связанных с информационной безопасностью, но существенно влияющих на эффективность противодействия мошенничеству в отношении целой категории банковских клиентов. Согласно статье 26 ГК РФ, дети 14–18 лет считаются частично дееспособными и могут совершать сделки только с разрешения законных представителей (родителей, опекунов, попечителей и т. д.) за исключением случаев, указанных в части 2 этой статьи (дети 14–18 лет самостоятельно без согласия родителей могут распоряжаться своим заработком, стипендией и иными доходами, осуществлять права автора, вносить вклады и распоряжаться ими). Дебетовые карты по своей сути не вклад, однако к ним регулярно применяется статья 834 ГК РФ, где указано, что к отношениям банка и вкладчика по счёту, на который внесён вклад, применяются правила о договоре банковского счёта (глава 45), если иное не предусмотрено правилами указанной главы или не вытекает из существа договора банковского вклада. Так, требования к защите банковской тайны лишают родителей возможности контролировать использование ребёнком открытой на его имя дебетовой карты, в частности, получать выписки по операциям по ней. Банк России также отмечает [2], что вопрос заслуживает внимания, и разъясняет, что положения пункта 3 статьи 834 ГК РФ о том, что к отношениям банка и вкладчика по счёту, на который внесён вклад, применяются правила о договоре банковского счёта (глава 45 ГК РФ), не предполагают распространения правил о договоре банковского вклада (глава 44 ГК РФ) на отношения, связанные с заключением договора банковского счёта. Кроме этого, ГК РФ допускается предоставлять информацию, составляющую банковскую тайну, не только клиентам, но и их законным представителям.
В настоящее время Центральный банк РФ запросил в Минпросвещения разъяснения по вопросам определения «объёма дееспособности несовершеннолетних в возрасте от 14 до 18 лет и пределов правомочий их законных представителей». По результатам консультаций регулятор планирует издать рекомендации для банков.
Смежная проблема – неопределённости в вопросе, на основании каких документов (нотариально заверенной доверенности или согласия, заверенного собственноручной подписью или её аналогом) можно считать лицо представителем субъекта в контексте возможности передачи ему банковской тайны субъекта. В статье 857ГК РФ речь идёт о представителях субъекта [банковской тайны], а в уже упомянутых разъяснениях Банка России указывается, что передача информации, составляющей банковскую тайну физического лица, третьим лицам (за исключением лиц, упомянутых в ст. 26 Федерального закона «О банках и банковской деятельности», которые имеют право доступа к указанной информации в случаях и в порядке, предусмотренных этой статьёй) допускается при наличии письменного согласия этого физического лица. Данная позиция также подтверждается судебной практикой [3].
А ВРЕДНЫЕ СОВЕТЫ БУДУТ?
И в завершение – самый высокорисковый «вредный совет». Но чтобы бороться с противником его же методами и не быть при этом связанным по рукам и ногам, необходимо законодательно определить границы этичного (белого) хакинга. На данный момент в российском законодательстве нет чётких определений, какие именно действия по работе с сетевыми ресурсами уголовно наказуемы. УК РФ предусматривает наказание за взлом чужой инфраструктуры по трём статьям (ст. 272, 273, 274), которые грозят не только штрафами, но и реальным сроком за неправомерный доступ к компьютерной информации, распространение вредоносного кода и нарушение правил хранения, обработки и передачи информации. Программы поощрения поиска уязвимостей (bugbounty) отдельных компаний решают данную проблему только частично.
[1] См. письмо Департамента банковского развития Центрального Банка Российской Федерации от 29.09.2014 № 41-2-2-8/1757 Межрегиональной общественной организации на запрос от 29.07.2014.
[2] https://arb.ru/b2b/news/tsb_mozhet_vvesti_roditelskiy_kontrol_za_schetami_podrostkov-10471748/
[3] См. Постановление Шестого арбитражного апелляционного суда от 14.02.2013 № 06АП-41/2013 по делу №А73-12065/2012.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных