О некоторых вопросах практической реализации требований по защите информации в кредитных организациях при работе с банкоматами и платежными терминалами.
Вступление в силу 1 сентября 2015 г. Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1> определило целый комплекс требований к организациям, осуществляющим свою деятельность с использованием персональных данных.
<1> СЗ РФ. 2006. N 31 (1 ч.). Ст. 3451.
Одним из аспектов действия данного Закона (применительно к кредитным организациям) являются требования по обеспечению защиты информации при осуществлении переводов денежных средств. При этом, если осуществление таких переводов и выполнение требований по защите информации непосредственно в кредитной организации в целом не вызывают организационных и технических сложностей, несколько иная ситуация складывается при использовании для осуществления переводов денежных средств с использованием удаленных устройств - банкоматов и платежных терминалов.
Применительно к кредитным организациям Центральный банк Российской Федерации (далее - ЦБ РФ) издал специальный норматив - Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - Положение) <2>.
<2> Вестник Банка России. 2012. N 32.
Данное Положение определяет требования и устанавливает обязанности всех субъектов этой деятельности по защите информации, а также требования к используемым при этом автоматизированным системам, программному обеспечению, средствам вычислительной техники, телекоммуникационному оборудованию.
Представляется, что применительно к работе сетей банкоматов и платежных терминалов следует более подробно раскрыть требования законодателя по защите информации и содержание практических мероприятий, реализуемых кредитными организациями для их надлежащего выполнения.
Положение устанавливает требование по учету объектов инфраструктуры, используемой при обработке защищаемой информации. К таковым, в частности, относятся как сами банкоматы и платежные терминалы, так и сервера, используемые при осуществлении переводов. Указанное оборудование подлежит учету на балансе кредитной организации.
Немаловажным аспектом защиты информации при осуществлении такого рода переводов является разграничение прав доступа к защищаемой информации различным категориям сотрудников кредитной организации - техническому персоналу, сотрудникам службы инкассации, иным специалистам, задействованным в обработке защищаемой информации. Как правило, это требование может быть исполнено реализацией системы кодов доступа разных уровней для разных категорий сотрудников. Немаловажным аспектом такого доступа является обязательное ведение регистрации действий при осуществлении такого доступа уполномоченным сотрудникам. Подобный учет может быть реализован путем ведения электронного журнала доступа к защищаемой информации за достаточный промежуток времени.
Нередки случаи, когда объекты инфраструктуры находятся на техническом и инкассационном обслуживании сторонних организаций. В этом случае, по нашему мнению, к таким сотрудникам сторонних организаций должны применяться такие же требования по идентификации и разграничению объемов доступа к защищаемой информации, учету такого доступа, как и к сотрудникам самой кредитной организации.
Необходимо также обратить внимание, что Положение предъявляет также требования к фиксации и регистрации информации об операциях, совершаемых плательщиком с использованием банкомата или платежного терминала. К таковой отнесены дата и время осуществления операций, идентификация совершаемой операции. Для исполнения этого требования используемое программное обеспечение должно обеспечивать ведение журнала событий, совершаемых на каждом объекте инфраструктуры, а также хранение данной информации в сроки, установленные Положением.
Требования Положения по формированию порядка уникального идентификатора клиента, кодов действий клиента и идентификатора устройства могут быть исполнены введением уникальной нумерации денежных переводов каждого клиента, ведения системы учета объектов инфраструктуры в сети.
Одной из актуальных проблем, часто возникающих в практической деятельности, является защита объектов инфраструктуры (банкоматов и терминалов) от несанкционированного доступа третьих лиц к программному обеспечению сети (в том числе с использованием вредоносного кода) с целью неправомерного обогащения. Несмотря на то что Положение обязывает операторов по переводу денежных средств реализовывать соответствующие мероприятия, препятствующие совершению таких противоправных действий, представляется, что на сегодняшний день полностью исключить такие случаи невозможно, а само требование является отчасти лишь декларативным.
Анализ Положения показывает, что помимо изложенных программных, технических и информационных требований к оператору по переводу денежных средств предъявляются и иные (организационные) требования, направленные на защиту информации. Их фактическая суть сводится к необходимости постоянного мониторинга оператором по переводу денежных средств технического состояния сети банкоматов и терминалов, обеспечения возможности информирования об их неработоспособности третьими лицами, обеспечение регулярного технического обслуживания объектов инфраструктуры уполномоченными сотрудниками, определяет порядок работы с поступающей информацией о выявленных сбоях.
Подводя итог анализу требований, предъявляемых к защите информации при осуществлении переводов денежных средств с использованием банкоматов и платежных терминалов, следует отметить следующее. В данной статье рассмотрены лишь некоторые аспекты выполнения требований по защите информации при осуществлении переводов денежных средств. Безусловно, принятые на законодательном уровне правовые акты, а также детализирующие их документы ЦБ РФ во многом призваны существенно повысить уровень защиты информации при осуществлении переводов денежных средств (в том числе с использованием банкоматов и платежных терминалов). На сегодняшний день на практике еще не выработан и не определен оптимальный универсальный алгоритм работы, обеспечивающий наиболее эффективное решение задач по защите информации в данной сфере. Можно предположить, что сейчас фактически происходят наработка опыта и апробация различных информационно-технических решений с позиций их эффективности. Вместе с тем, принимая во внимание широкое разнообразие форм работы, которое допускается действующим законодательством, в частности, при осуществлении переводов с использованием платежных терминалов (привлечение банковских платежных агентов, платежных субагентов), следует признать, что на сегодняшний день требования, установленные к осуществлению такой деятельности, по объективным причинам не в полной мере могут обеспечить защиту информации даже в случае их выполнения.
Учитывая подобное положение дел в рассматриваемой сфере, можно сделать следующие выводы. Безусловно, признать необходимость защиты информации при совершении финансовых транзакций (в том числе с использованием удаленных автоматизированных устройств), а также актуальность издания анализируемого в статье Положения ЦБ РФ. Однако рассмотренные выше примеры требований, предъявляемых к работе по защите информации, а также возможные мероприятия, направленные на соответствие таковым, указывают либо на их сомнительное отношение собственно к процедуре защиты информации (например, требование о бухгалтерском учете используемого оборудования на балансе организации), либо на их недостаточную конкретность и отсутствие критериев оценки эффективности. Вместе с тем, на наш взгляд, излишняя формализация данных требований по защите информации может оказаться избыточной и также неэффективной ввиду большого разнообразия форм деятельности в рассматриваемой сфере.
Принимая во внимание всю специфику деятельности в данной области, считаем, что решение проблемы защиты информации при осуществлении такого рода операций не может быть осуществлено исключительно путем правовой регламентации. Анализируемое Положение ЦБ РФ фактически следует рассматривать как некий "базовый" правовой акт, указывающий основные направления работы кредитных организаций по защите информации. Как удалось установить, современные аппаратные и программно-технические средства предоставляют широкое многообразие возможностей по максимальной автоматизации процессов защиты информации с целью соблюдения требований вышеуказанного Положения.
Однако представляется, что успешное решение задачи по выработке эффективной системы защиты информации на постоянной основе лежит преимущественно в иной (не только правовой) плоскости. При всем многообразии правовых и программно-технических ресурсов ключевым звеном данной работы является человек. Именно от профессиональных действий всех лиц, допущенных к работе с информацией, подлежащей защите, зависит эффективность всей системы в целом. Исходя из этого, на первый план выходят не только правовое регулирование данной деятельности и техническая реализация тех или иных решений, но и вопросы профессиональной и морально-этической подготовки сотрудников, осуществляющих работу с персональными данными. Результатом такой работы с персоналом должна стать система стимулов и профессиональных моральных установок работников, исключающих возможность утечки защищаемых сведений. Считаем, что только такой комплексный подход, основанный на сбалансированной разработке и внедрении организационных и программно-технических решений, находящихся в соответствии с требованиями Положения ЦБ РФ, а также систематическая работа по повышению профессиональных компетенций сотрудников могут обеспечить повышение эффективности работы кредитных организаций в сфере защиты информации.
