|
scire leges non hoc est verba earum tenere, sed vim ac potestatem... (знание законов - не в том, чтобы помнить их слова, а в том, чтобы понимать их смысл..., лат.)
Межрегиональный учебный центр финансового мониторинга "СМЫСЛОВЫ" и Корпоративные юристы СМЫСЛОВЫ:
юридические услуги в области финансового мониторинга, организации внутреннего контроля по 115-ФЗ, правила внутреннего контроля по финмониторингу, целевой инструктаж и обучение по ПОД/ФТ по всей России
тел.: +7 (903) 686 3187;
Добавить сайт финансового мониторинга в Избранное Компания основана в 1996 году
|
|
 |
|
|
|
|
|
Смыслов а.г. Защита информации в микрофинансовых организациях (опубликовано на сайте www.smyslovy.ru 14.09.2012 г.)
В настоящее время в России в сфере предоставления как бизнесу, так и гражданам микрозаймов, то есть в сфере микрофинансирования, действует разветвленная сеть созданных в различных организационно-правовых формах юридических лиц, которые получили название микрофинансовых организаций. Эти юридические лица руководствуются в своей деятельности Федеральным законом от 02.07.2010 г. № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» (далее - Закон о микрофинансовой деятельности и микрофинансовых организациях). Основополагающим внутренним документом каждой микрофинансовой организации являются правила предоставления микрозаймов. В соответствии с пунктом 2 статьи 8 Закона о микрофинансовой деятельности и микрофинансовых организациях наличие таких правил должно быть обязательным. В правилах предоставления микрозаймов устанавливаются порядок и условия их предоставления. Утверждаются правила органом управления микрофинансовой организации. Правила предоставления микрозаймов в отношении микрофинансовых организаций являются аналогом правил платежных систем, которыми руководствуются банковские платежные агенты (субагенты), операторы платежных систем и операторы услуг платежной инфраструктуры в платежной системе. Сфера действия нормативных актов, регулирующих деятельность операторов и агентов платежных систем, в равной мере распространяется и на микрофинансовые организации, несмотря на то, что органы государственного регулирования у первых и вторых разные. Государственное регулирование деятельности микрофинансовых организаций осуществляется уполномоченным органом – Федеральной службой по финансовым рынкам. ФСФР России уполномочена, помимо прочего, проводить проверку соответствия деятельности микрофинансовых организаций требованиям Закона о микрофинансовой деятельности и микрофинансовых организациях, других федеральных законов и иных нормативных правовых актов. Между тем многие микрофинансовые организации после включения их ФСФР России в государственный реестр микрофинансовых организаций (то есть с момента приобретения ими статуса микрофинансовой организации), разработки и утверждения правил предоставления микрозаймов и обеспечения доступа к ним для ознакомления в помещении микрофинансовой организации и на соответствующем сайте в Интернете, не отслеживают изменения в нормативной базе, регулирующей деятельность платежных систем, в сферу которой подпадают и микрофинансовые организации. Как показал проведенный нами анализ, о допущенных микрофинансовой организацией нарушениях требований нормативных правовых актов прямо свидетельствуют сами правила предоставления микрозаймов, открыто опубликованные в сети Интернет. При этом микрофинансовые организации, по-видимому, просто не подозревают, что являются нарушителями и не отдают себе отчет в том, что в соответствии с подпунктом 2 пункта 1 статьи 7 Закона о микрофинансовой деятельности и микрофинансовых организациях подают повод ФСФР России по применению к ним такой крайней меры воздействия, как исключение микрофинансовой организации из государственного реестра. В таких условиях микрофинансовые организации становятся также весьма привлекательными объектами для корпоративного шантажа со стороны высококвалифицированных недобросовестных юристов, которые могут под видом клиентов микрофинансовой организации инициировать обоснованные жалобы в ФСФР России, что неизбежно повлечет сначала проверку, а при повторном характере выявленных нарушений – сделает практически неизбежной и исключение микрофинансовой организации из государственного реестра. С 1 июля 2012 г. вступило в действие Положение о защите информации в платежной системе, утвержденное постановлением Правительства РФ от 13 июня 2012 г. № 584 «Об утверждении положения о защите информации в платежной системе». Это положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой различными операторами платежных систем, а следовательно, и микрофинансовыми организациями. Согласно пункту 2 указанного Положения «защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих платежных систем в правила платежных систем, в том числе в соответствии с настоящим Положением». Таким образом, требования, сформулированные в Положении о защите информации в платежной системе, у микрофинансовых организаций должны были с 1 июля 2012 г. найти свое отражение в Правилах предоставления микрозаймов, чего однако на практике так и не произошло, так как большинство микрофинансовых организаций их попросту проигнорировали. Не может служить оправданием для совершенного правонарушения, то обстоятельство, что состав сотрудников микрофинансовой организации, как правило, малочислен (4-6 человек), а в их штате отсутствуют юристы. Наоборот, эти обстоятельства только затрудняют микрофинансовым организациям реализацию нормативных актов, в сферу которых они подпадают. Положение о защите информации в платежной системе весьма обоснованно и своевременно ставит давно назревший вопрос об обеспечении микрофинансовыми организациями защиты конфиденциальной информации, которой они располагают в силу специфики своей деятельности. Для того чтобы привести свою деятельность в сфере защиты информации в соответствие с требованиями законов и нормативных актов, микрофинансовые организации обязаны либо предусмотреть специальные разделы о защите информации в действующих в них положениях о предоставлении микрозаймов, либо сделать соответствующие положения о защите информации приложениями к положениям о предоставлении микрозаймов. Однако учитывая, что любое добротное, то есть не слепо «скаченное» из Интернета или взятое типовое положение из какой-либо правовой системы, положение о защите информации по своему объему будет существенно превосходить действующее в микрофинансовой организации положение о предоставлении микрозаймов, нам представляется более обоснованным выбор второго варианта, то есть оформить положения о защите информации в качестве приложений к положению о предоставлении микрозаймов. Заметим, что и «скаченные» из Интернета правила предоставления микрозаймов в связи с появившимися новыми требованиями утратили свою актуальность. Разработать единое для микрофинансовой организации положение о защите информации весьма проблематично и не оправдано. Следует учитывать, что режимы и методы защиты различны для разных видов информации, охраняемых законами. Защита информации в целом регламентируется Конституцией Российской Федерации и Гражданским кодексом Российской Федерации, а также Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В отношении юридических лиц и индивидуальных предпринимателей, которые могут выступать клиентами микрофинансовых организаций, защита информации регламентируется Федеральным законом от 29.07.2004 г. «О коммерческой тайне», в отношении индивидуальных предпринимателей, как носителей персональных данных, а также иных физических лиц – клиентов - Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», а в отношении работников микрофинансовой организации – еще и Трудовым кодексом Российской Федерации. Защита информации, отличной от персональных данных (далее – информация о клиентах – юридических лицах), то есть о клиентах, не являющихся физическими лицами, должна обеспечиваться в микрофинансовой организации путем реализации правовых, организационных и технических мер, направленных: а) на обеспечение защиты информации о клиентах – юридических лицах от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации; б) на соблюдение конфиденциальности информации; в) на реализацию права на доступ к информации о клиентах – юридических лицах в соответствии с законодательством Российской Федерации. Все документы и сведения, полученные микрофинансовой организацией от клиентов – юридических лиц, за исключением общедоступных, должна быть объявлены конфиденциальными. Должностные лица, получившие к ним доступ, обязаны хранить эти данные в тайне, а их должностные инструкции должны быть соответствующим образом дополнены. Нам удалось разработать единое Положение о защите персональных данных в микрофинансовой организации как для индивидуальных предпринимателей и физических лиц – клиентов, так и для работников микрофинансовой организации. Это положение, так же как и положение о защите информации, отличной от персональных данных, может быть успешно адаптировано к конкретным условиям или особенностям той или иной микрофинансовой организации. Самостоятельная разработка всех требуемых положений о защите информации без привлечение высококвалифицированных специалистов, по-нашему мнению, для микрофинансовой организации, учитывая ее кадровый потенциал, не возможна и не оправдана. Следует заметить, что работа по разработке положений о защите персональных данных в микрофинансовой организации довольно сложна и должна начинаться с самостоятельного проведения классификация информационной системы персональных данных. Такая классификация осуществляется в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. Если при классификации будет установлено, что информационная система относится к специальной, то разработкой только лишь положений о защите информации обойтись не удастся. Придется привлекать специализированные организации по технической защите информации, которые действуют на основе лицензий. С финансовой точки зрения такая мера, а также обслуживание работы информационной системы могут вообще поставить под вопрос целесообразность существования самой микрофинансовой организации. Между тем поводом к отнесению информационной системы микрофинансовой организации к специальной может послужить, например, лишь наличие в микрофинансовой организации подключения персональных компьютеров, на которых осуществляется обработка и хранение персональных данных, к Интернету. Поэтому перед микрофинансовыми организациями становится задача не только разработать удовлетворяющие положения, но и обеспечить соответствующий класс информационной системы. По нашему мнению, информационная система персональных данных в микрофинансовой организации должна соответствовать следующим критериям (не выходить за их рамки): а) по категории персональных данных - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, а именно: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (категория - 2); б) по объему обрабатываемых персональных данных - в информационной системе одновременно обрабатываются персональные данные до 100 000 субъектов персональных данных; в) по характеристикам безопасности персональных данных, обрабатываемых в информационной системе - типовая информационная система, то есть информационная система, в которой требуется обеспечение только конфиденциальности персональных данных; г) по структуре - локальная информационная система (комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа; д) по наличию подключений – информационная система, не имеющая подключений к сетям связи общего пользования и (или) сетям международного информационного обмена; е) по количеству пользователей – многопользовательская; ж) по разграничению прав доступа пользователей информационные системы – система с разграничением прав доступа. Указанные выше характеристики информационной системы персональных данных для микрофинансовых организаций мы считаем наиболее оптимальными. В соответствии с этими характеристиками информационной системе присваивается 3-й класс, что означает: нарушение заданной характеристики безопасности персональных данных, обрабатываемых в информационной системе, может привести к незначительным негативным последствиям для субъектов персональных данных. Если же по результатам анализа будет установлен 1-й или 2-й класс типовой системы или же информационная система персональных данных в микрофинансовой организации будет отнесена к специальной, микрофинансовая организация обязана будет для налаживания работы обратиться к специализированной организации по технической защите информации, действующей на основе лицензии. Это вызвано тем, что в указанных случаях микрофинансовая организация должна обеспечить следующие параметры функционирования информационной системы: - межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; - обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных; - анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности); - защита информации при ее передаче по каналам связи; - использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей; - использование средств антивирусной защиты; - централизованное управление системой защиты персональных данных информационной системы; - фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом); - периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы; - активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности; - анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов. Для реализации указанных методов и способов защиты информации должны применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации. Совершенно ясно, что самостоятельно обеспечить указанные параметры функционирования информационной системы микрофинансовые организации вряд ли смогут. Статьей 13.11 Кодекса об административных правонарушениях установлена административная ответственность определено, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Административное дело по этой категории правонарушений могут возбудить прокуроры. Несмотря на то, что размеров штрафов за указанные правонарушения незначительны для микрофинансовых организации, каждое из них ФСФР России вправе считать как нарушение в подконтрольной ему сфере, а при неоднократных нарушениях ФСФР России и его территориальные органы вправе будут применить крайнюю санкцию – исключению микрофинансовой организации – нарушителя из государственного реестра микрофинансовых организаций. Во избежание применения столь крайних мер микрофинансовые организации должны в самое ближайшее время решить весь комплекс новых проблем, с которыми они столкнулись в связи с вступлением в действие Положения о защите информации в платежной системе, утвержденного постановлением Правительства РФ от 13 июня 2012 г. № 584 «Об утверждении положения о защите информации в платежной системе».
к.э.н. А.Г. Смыслов При использовании и цитировании материала ссылка на сайт обязательна!
По всем вопросам, связанным с защитой информации в микрофинансовых организациях, разработкой положения о защите информации в микрофинансовой организации, правил предоставления микрозаймов микрофинансовой организации, правил внутреннего контроля в целях ПОД/ФТ микрофинансовой организации, внесением сведений в государственный реестр микрофинансовых организаций и другим вопросам Вы можете обращаться к нам за консультациями по телефонам: 8-903-686-31-87 - Смыслов Павел Александрович
О других наших услугах для микрофинансовых организаций Вы можете прочитать в разделе "Наши услуги": Внесение сведений в реестр микрофинансовых организаций (реестр МФО); Разработка правил внутреннего контроля микрофинансовой организации.
|
|
|
Главная | Новости | Наши услуги | О нас | База знаний | Контакты | ПВК ПОД/ФТ Вы можете связаться с нами по телефонам: 8 (903) 686 3187; 8 (964) 705 8310 Все права защищены © Смыслов П.А. 2006-2023 Использование материалов сайта разрешено только с письменного разрешения Смыслова П.А. или соответствующего правообладателя
|
.JPG)
