Жизнь субъекта персональных данных в новом цифровом доме из Сколково

В понедельник РБК сообщил о новой инициативе АНО «Цифровая экономика» (далее – АНО ЦЭ для краткости) – внести изменения в ряд законов с целью облегчения доступа к сведениям, составляющим банковскую, налоговую, врачебную тайну и тайну связи. Цитировать и приводить сведения о проекте буду по публикации РБК, поскольку на сайте АНО ЦЭ найти ничего не удалось (кстати, удивительно недружелюбный интерфейс организации, которая должна определять, как жить в цифровом мире). 

Естественно, нововведения необходимы «для развития современных технологий», а вы думали, зачем? Как технологиям без тайн граждан дальше развиваться-то? В прошлом году я комментировал другую инициативу, фонда «Сколково», в соответствии с которой один раз выпустив персональные данные из рук дав согласие на обработку персональных данных, субъект полностью теряет над ними контроль, а сами данные переводятся в категорию рыночного товара, спекулировать которым может кто угодно.

Новая инициатива АНО ЦЭ делает этот товар гораздо более привлекательным, с секретами, нижним бельем и местами расположения скелетов в шкафах дома субъекта. Обоснование – как всегда в таких проектах, на грани фола. «Эксперты предлагают разрешить банкам передавать третьим лицам сведения о своих клиентах с их согласия. Сейчас такой возможности у кредитных организаций нет, даже если это в интересах самих клиентов». Что ж так сразу-то – «такой возможности нет»? Клиент дал согласие на передачу иному лицу – банк передал. Тем более, что прецеденты есть. Вот, например, в письме Банка России от 29.09.2014 № 41-2-2-8/1757 за подписью И.О. директора Департамента банковского регулирования А.А. Лобанова указывается, что передача информации, составляющей банковскую тайну физического лица, третьим лицам (за исключением лиц, упомянутых в ст. 26 Федерального закона «О банках и банковской деятельности») допускается исключительно при наличии письменного согласия физического лица, что подтверждается судебной практикой (Постановление Шестого арбитражного апелляционного суда от 14.02.2013 № 06АП-41/2013 по делу № А73-12065/2012). 

Таким образом, возможность передавать банковскую тайну иным лицам с согласия субъекта в законе есть и сегодня, тем более что инициаторы законопроекта говорят, что такая передача допускается только по запросам клиентов банка. Да и письменное согласие не нужно, закон допускает для данного случая его получение в любой доказываемой форме. 

Чтобы создавать и развивать услуги связи, по мнению авторов инициативы, надо разрешить операторам связи передавать третьим лицам сведения о геолокации абонентов, их поле, возрасте, даже … «структуре расходов на услуги связи», ну, и до кучи «и другие». Например, разрешить третьим лицам осматривать почтовые отправления и просматривать передаваемые по сетям связи сообщения.

Данные о налогах физлиц надо разрешить размещать не только в личных кабинетах налогоплательщиков на сайте ФНС, но и на портале госуслуг. Вообще-то портал создавался как интерфейс для доступа к сведениям различных ведомств, зачем дублировать базу данных, если через портал можно зайти в личный кабинет на сайте налоговой службы, совершенно не понятно. Объяснение авторов стандартное – пользователю будет удобнее. 

Ну, и, наконец, создателям сервисов телемедицины не обойтись без доступа к врачебной тайне пациентов. Никаких упоминаний об обязательном для таких случаев обезличивании в публикации нет. Зато обоснование заслуживает полного цитирования: «Если происходит утечка, то ответственным остается должностное лицо. Но оно может уволиться, утратить доступ к информации, то есть перестать быть ответственным. Организации, предоставляющие телемедицинские либо специализированные услуги (например, связанные с диагностикой заболеваний), вынуждены нести дополнительные расходы, оплачивая такую ответственность отдельным сотрудникам». Что, правда оплачивают? Серьезно? И далее: «ответственность за защиту информации сегодня больше связана с инфраструктурой информационной безопасности, чем с компетенциями отдельных людей, и потому вполне логично передать ответственность организации». А как это связано с доступом к врачебной тайне третьих лиц в случаях, не установленных частью 4 статьи 13 ФЗ «Об основах охраны здоровья граждан в РФ»?

В целом идея закона совершенно понятна, и никакие слова-маскировки ее не спрячут: нефть 21 века (так теперь любят в выступлениях называть персональные данные) дорога и дорожает, возможности торговать ею надо расширить, и бизнесу будет дан новый толчок. Заживем, одним словом.

Для принятия этих законопроектов необходимо внести изменения в Конституцию, гарантирующую неприкосновенность частной жизни, право на личную и семейную тайну и получение доступа к тайне связи только по решению суда.

А пока посмотрим, как примерно будет выглядеть цифровой дом, который строят в Сколково с использованием подобных законопроектов.

«Доброе утро. Пора на работу. С вами говорит Единый цифровой информатор. Напоминаем, что сегодня день начисления заработной платы на вашу платежную карту. Ожидаемый размер начисления – 67 007 рублей 18 копеек, остаток средств на карте на 09.00 вчерашнего дня - 34 317 рублей 23 копейки. Напоминаем вам, что до 1 апреля вам необходимо оплатить налоги на недвижимость и транспортное средство в размере 65 324 рубля 89 копеек.

Анализ вашей деятельности за последние сутки. Кредит на проведение ремонта дачи, проект заявления на который вами подготовлен и хранится в папке «Личное» облачного диска, одобрен не будет ввиду того, что ваш кредитный рейтинг по данным БКИ «Займи много» составляет 0,6754349 из-за задержки очередного платежа по потребительскому кредиту Быттехник-банка на срок 18 суток в декабре 2012 года. Вы зря потратили время на просмотр страниц туристических агентств о турах в Италию. Ваш социальный рейтинг составляет на сегодня 0,456898, вам может быть одобрен тур только на территорию России восточнее Урала. Ваш вчерашний визит в медицинский центр «Здоровье – наше все», находящийся по адресу ул. Открытая, дом 13, также был бесполезен, так как ваша платежеспособность не позволит получить долгосрочное лечение по установленному диагнозу в данном центре. Однако клиника «Лечим сами» проанализировала результаты ваших анализов и предлагает месячный курс лечения высокоэффективными БАДами стоимостью 18 350 рублей. Целесообразность лечения подтверждена частнопрактикующим доктором Опонопко И.И. Закупка одобрена Единым цифровым информатором и оплачена с вашей карты, БАДы будут доставлены в ближайшую субботу по адресу жительства с 05.00 до 23.30. Просим не покидать жилище до приезда курьера.

Анализ потребительских желаний. В связи с наступлением весеннего сезона обращаем ваше внимание, что срок рекомендуемого использования демисезонных туфель, купленных вами 12.02.2017, в связи с использованием в климатической зоне «Москва» химических реагентов сверх допустимой нормы концентрации, истек. Одобрена и оплачена покупка новых полуботинок коричневого цвета производства ООО «Рособувь» арт. РО23869/8765-ИИ-7865400. Обувь будет доставлена завтра в торгомат по адресу… Код доступа… Срок получения – 1 сутки. Напоминаем вам, что в случае, если товар не будет вами своевременно получен, его стоимость не возвращается. Истек предельный срок эксплуатации беспроводного робота-пылесоса, установленный его производителем. Ввиду недостаточности средств на вашем счете одобрена и оплачена покупка в кредит на один год проводного пылесоса производства ООО «Сосем все». Для его получения вам необходимо обратиться в ближайший магазин «Цифромощь» (список магазинов на сайте торговой сети).

Вами изменены предпочтения посещения сайтов сети Интернет. За прошедший месяц зафиксированы посещения сайтов онлайн-игр общей продолжительностью 36 часов 23 минут 16 секунд и сайтов интим-развлечений общей продолжительностью 5 часов 03 минут 54 секунды. Ваш тарифный план оператором связи изменен на план «Играй с девушками» с 00 часов 27 февраля.

Остаток средств на вашем счете на 09.00 сегодня – минус 4 345,13 рубля. Задолженность будет погашена автоматически при поступлении на счет заработной платы. Пени за использование вами денежных средств Единого цифрового информатора составляет составят 43 рубля 45 копеек.

За прошедшие сутки Быттехник-банк, которому вы дали согласие на обработку ваших персональных данных 15.07.2008, при получении кредита, передал ваши данные 759 организациям на территории России и 43 организациям за рубежом. С полным списком организаций, которым переданы ваши персональные данные, вы можете ознакомиться в личном кабинете на сайте банка. Хорошего вам дня!»

Добро пожаловать в новый дивный мир цифровой экономики.

Красть и продавать секреты становится экономически невыгодным

29 июня Президент России подписал Федеральный закон № 193-ФЗ «О внесении изменений в статью 183 Уголовного кодекса Российской Федерации». Поправки существенно, в разы, увеличивают размер штрафов за незаконное получение, разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

За экономический шпионаж (собирание сведений, отнесенных к этим трем видам тайн, путем похищения документов, подкупа, угроз или иным незаконным способом) максимальный размер штрафа увеличивается с 80 тысяч до 500 тысяч рублей, а размер зарплаты, устанавливаемой в качестве штрафа, – с полугодовой до годовой. За разглашение доверенных секретов при отсутствии доказательств наличия корыстных побуждений штраф увеличивается со 120 тысяч до 1 миллиона рублей, размер зарплаты – с годовой до двухлетней. Если же такие действия причинили крупный ущерб или были совершены из корыстной заинтересованности, максимальный размер штрафа увеличивается с 200 тысяч до полутора миллионов рублей, или, при исчислении, исходя из размеров заработной платы – с полуторагодовой до трехлетней.

Такие изменения представляются весьма обоснованными. Штрафы в 10 или 40 тысяч рублей при реальной цене коммерческих секретов в миллионы, минимум – в сотни тысяч рублей (примеров судебных решений именно с такими штрафами и такими суммами, полученными за секреты, достаточно) не могут отвратить от искушения их украсть и продать. А вот миллион рублей штрафа за объявление в интернете «продам базу ста тысяч застрахованных лиц за 50 тысяч рублей» могут некоторым мозги прочистить хорошо. Отнесение баз данных клиентов, в том числе физических лиц, к коммерческой тайне при таких штрафах заставит подумать их потенциального продавца о возможных последствиях такого «бизнеса» для него лично, а если в организации постоянно напоминать о мерах ответственности, да еще иллюстрировать такие напоминания судебной практикой (а ее много, суды с отнесением баз данных к коммерческой тайне с удовольствием соглашаются), профилактика возможных нарушений обязательно даст свои плоды.

Учитывая, что недавно максимальный срок лишения свободы за разглашение тайн был снижен с 10 до 7 лет, значительное увеличение штрафов все же позволяет обладателю секретов более эффективно защищать свои интересы. Но не будем забывать, что в отношении коммерческой тайны все это возможно только при полном выполнении требований по установлению режима коммерческой тайны, определенных частью 1 статьи 10 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

А вот с банковской тайной сложнее, так как законодательство не регулирует состав и содержание мер по ее охране. Представляется целесообразным в кредитно-финансовых учреждениях формировать перечень сведений, отнесенных к банковской тайне, хотя такого требования в законе и нет. Но формулировка статьи 26 закона «О банках и банковской деятельности» «Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону» однозначно говорит о том, что состав таких сведений надо как-то зафиксировать. Иначе мы будем постоянно читать в судебных решениях, что обвиняемый не знал и не имел оснований знать, что разглашенные или используемые им сведения охраняются законом.

Вот такие рецепты по поводу нового закона. 

Кто имеет право знать наши тайны?

Весенняя сессия Государственной Думы в очередной раз расширила права органов власти получать информацию, доступ к которой ограничен федеральным законодательством, для осуществления своих функций и реализации возложенных полномочий.

Ситуация выглядит парадоксальной – в стране порядка пятидесяти видов различных тайн, установленных законами, но как только вопрос коснется полномочий того или иного властного института, оказывается, что для него получить скрываемые на законном основании сведения не составляет никакой проблемы. Да и ответственность за неправомерные действия с защищаемыми сведениями в большинстве случаев лишь декларируется, а на деле ограничивается почти не работающей статьей 13.14 КоАП «Разглашение информации с ограниченным доступом» со смешными по нынешним временам максимальными штрафами в 1000 рублей для граждан и 5000 рублей для должностных лиц, да статьей 81 ТК РФ, допускающей увольнение за такое однократное грубое нарушение трудовых обязанностей, как разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника. Кстати это сразу вызывает вопрос о последствиях разглашения персональных данных не-работника, а, например, клиента. Это тоже охраняемая законом тайна, но зачем-то ведь работника отметили отдельно?

Ситуация с тайнами, доступом и ответственностью давно требует серьезной систематизации, осмысления и изменения нормативного регулирования, а пока несколько «заметок на полях законов».

В Рунете активно обсуждался Федеральный закон от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с уточнением полномочий органов прокуратуры РФ по вопросам обработки персональных данных», наделяющий прокуратуру правами доступа к врачебной тайне без согласия субъекта и судебного решения, но лишь немногие обратили внимание на гораздо более серьезное изменение в законе «О прокуратуре», которое касается не только врачебной тайны, но вообще любых охраняемых законом сведений и наделяет надзорный орган правом получать необходимую для осуществления прокурорского надзора информацию, доступ к которой ограничен в соответствии с федеральными законами. То есть фактически – к любой! Есть там, правда, слова «в установленных законодательством Российской Федерации случаях», но проверка и надзор и есть установленные законом случаи. А вот знакомить гражданина с материалами проверки, затрагивающими его права и свободы, но содержащимисведения, составляющие охраняемую законом тайну, нельзя ни при каких обстоятельствах.

Обязательность представления тем или иным органам власти сведений, доступ к которым органичен законом, регулируется очень большим количеством актов, часто не соответствующих друг другу и противоречивых, и разобраться в них совсем не просто.

Например, в соответствии с законами «О рекламе» и «О защите конкуренции» коммерческие и некоммерческие организации обязаны представлять в антимонопольный орган по его мотивированному требованию в установленный срок информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну. Слово «иную» означает так же, как и в случае с прокуратурой, фактически любую. А в случае отказа такая информация истребуется путем обязания ее предоставления судебным решением. Мотивированность же запроса – понятие относительное и не главное. 

Не захотел, к примеру, в 2007 году «Псковпищепром» предоставлять запрошенные Управлением ФАС по Псковской области сведения об объеме реализации алкогольной продукции и организациях, чья доля составляет на рынке более 10% от общего объема продаж, а суды в первой, апелляционной и кассационной инстанциях с ним не согласились, обязав представить сведения, составляющие на законном основании коммерческую тайну, в УФАС. В отношении мотивированности запроса Федеральный арбитражный суд Северо-Западного округа постановил, как отрезал: «По смыслу положений ст.1, 22, 23 и 25 ФЗ «О защите конкуренции», а также ст.6 ФЗ «О коммерческой тайне», степень конкретизации имеющих правовое значение критериев (мотив, цель, правовое основание запроса) как оценочная категория представляется юридически подчиненной общим задачам и целям соответствующего запроса, равно как и пределам полномочий антимонопольного органа». Чего там мотивировать…

Для многих будет, наверное, неожиданностью, что в отличие от антимонопольных органов права налоговиков на доступ к охраняемым законом сведениям очень ограничены. Если к банковской тайне, как я уже писал, теперь доступ у них фактически неограниченный, то с коммерческой тайной ситуация другая. При проверке налоговиками документов, связанных с исчислением и уплатой обязательных платежей, не являющихся налогами или сборами, пенями, штрафами, предусмотренными Налоговым кодексом, они могут получать необходимые объяснения, справки и сведения, за исключением сведений, составляющих коммерческую тайну, определяемую в установленном законодательством порядке. Т.е. тех, в отношении которых владельцем установлен режим коммерческой тайны.

Например, ООО «Баренц-Алко» при проведении налоговой проверки отказалось ознакомить налоговиков с результатами проведенного по их заказу маркетингового исследования рынка, которое посчитало составляющим коммерческую тайну. Налоговая инспекция требовать ознакомления не стала, а просто посчитала неправомерным отнесение стоимости исследования на расходы, т.к. в договоре на проведение работ отсутствовала цена, а акт выполнения работ и калькуляция не соответствовали требованиям закона «О бухгалтерском учете», и доначислила налоги. И суд кассационной инстанции с инспекцией согласился.

В соответствии с законом «Об организации страхового дела в Российской Федерации» Банк России, получивший функции надзорного органа в отношении субъектов страхового дела, тем не менее не вправе получать (во всяком случае, пока) от страховых компаний сведения, составляющие банковскую тайну.

А вот Агентство страхования вкладов вправе получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в отношении которого наступил страховой случай, необходимую для осуществления им функций, установленных законом «О страховании вкладов физических лиц в банках Российской Федерации».

Напоследок еще один забавный случай. Истребовала инспекция ФНС по Ленинскому административному округу Омска у местного филиала «Промсвязьбанка» информацию, которую банк посчитал составляющей банковскую тайну. Банк запрос удовлетворить отказался, ссылаясь на то, что запрос таких сведений требует особого подтверждения подлинности, а печать налоговики на письме не поставили.

Инспекция попыталась привлечь банк к административной ответственности за отказ в предоставлении информации, однако банк оспорил это в суде, и во всех трех инстанциях суды с банком согласились. Я, правда, до сих пор не понимаю, почему на письмо нельзя было поставить печать и не доводить рассмотрение этого сложного вопроса до окружного федерального арбитражного суда.

Ну, и рецепт. Читайте внимательно законы, особенно регламентирующие деятельность вашей конкретной организации. Может оказаться, что предоставлять информацию органу власти по его запросу вы не только не обязаны, но и получать такую информацию запрашивающий орган права не имеет.  

На смерть банковской тайны

Похоже, основной формой моего блога становится панегирик (см. русскую Википедию – до 18-го века литературный жанр, представляющий собой речь, написанную по случаю чьей-либо смерти). Смерть приватности в самом широком смысле этого слова мы уже обсуждали и затрагивали тему банковской тайны. Тенденция получила ожидаемое развитие.

Активное обсуждение законов о защите чувств верующих и пропаганде нетрадиционности в личной жизни для меня выглядят дымовыми шашками для гораздо более интересного Федерального закона от 28.07.2013 № 134-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям». 38 листов закона содержат поправки в 26 законодательных актов и прямо касаются,  абсолютно каждого из нас.

Анализировать все в одном блоге невозможно и бессмысленно, да и многие поправки выходят далеко за пределы тематики моих обычных постов.

Но вот на то, что впрямую касается информационной безопасности в самом широком смысле, посмотреть стоит очень внимательно.

Самое главное, как мне кажется, с точки зрения обеспечения конфиденциальности, - банковской тайны в привычном понимании теперь у нас больше нет. В соответствии со ст.1 134-ФЗ, изменяющей закон «О банках и банковской деятельности», сведения о наличии счетов, вкладов (депозитов), об остатках денежных средств на счетах, вкладах (депозитах), по операциям на счетах, по вкладам (депозитам) организаций, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, физических лиц предоставляются кредитной организацией налоговым органам в порядке, установленном законодательством Российской Федерации о налогах и сборах. Новый закон тут же заботливо расписывает, а что это за порядок такой. Статья 10, меняющая Налоговый кодекс, определяет следующую процедуру: для получения налоговиками банковской тайны никакого решения суда, в отличие от субъектов оперативно-розыскной деятельности, не требуется.

Банки теперь обязаны выдавать налоговым органам все эти сведения в течение трех дней просто по мотивированному запросу налогового органа в случаях проведения налоговых проверок, при вынесении решения о взыскании налога, принятии решений о приостановлении или отмене операций по счетам и переводов электронных денежных средств. Для физлиц такая возможность немного ограничена – на запрос требуется согласие руководителя вышестоящего органа или руководителя (зама) ФНС, а повод ограничивается проведением налоговых проверок.

Кроме того, в соответствии с изменениями, внесенными в «антиотмывочный» 115-ФЗ, расширяется круг лиц, обязанных предоставлять информацию Росфинмониторингу – это требование теперь относится не только к органам власти и местного самоуправления, Банку России, но и к ПФР, ФОМС и ФСС, госкорпорациям и иным организациям, созданным государством на основании федеральных законов и для выполнения задач, поставленных перед государственными органами. И не просто предоставлять, но и обеспечивать автоматизированный доступ к своим базам данных, видимо, по смыслу закона – on-line, хотя прямо этого и не сказано.

Предоставление всей этой информации «не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи (в части информации о почтовых переводах денежных средств), а также законодательства Российской Федерации в области персональных данных».

Для интересующихся темой персональных данных есть еще одна тема для размышлений. Закон экспоненциально расширяет круг лиц, имеющих ограничения в связи с наличием судимости и, соответственно, число организаций имеющих право и обязанность такие сведения о гражданах обрабатывать. К руководителям банков, их филиалов и отделений, их замам, главбухам и замам в банках, ОАО, внебюджетных фондах, педагогическим работникам в один момент добавились члены советов директоров, топ-менеджеры, главбухи и даже акционеры (есть масса конкретных нюансов, но общая норма – более 10% акций) лизинговых компаний, инвестфондов, микрофинансовых организаций, субъектов страхового дела, профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов,

А не про персональные данные – это про электронный документооборот и его значимость.

Предприятия и организации, обязанные представлять налоговую декларацию в электронной форме (а это теперь практически все), должны обеспечить получение от налогового органа в электронной форме по каналам связи необходимых документов и передать налоговикам квитанцию об их приеме в электронной форме в течение 6 дней со дня их отправки налоговым органом. А если через 10 дней такая квитанция не поступит, руководитель налогового органа или его зам имеет право принять решение о приостановлении операций налогоплательщика-организации по его счетам в банке и переводов его электронных денежных средств.

Вообще, приостановление операций по счетам – одна из главных фишек нового закона. Такое право и обязанность теперь предоставлено руководителям налоговых органов и их замам, организациям, осуществляющим операции с денежными средствами или иным имуществом в случаях, определенных 115-ФЗ, с административной ответственностью за невыполнение требований до 500 тысяч рублей.

Есть там и масса других интересных нововведений. Но об этом (особенно о бенефициарах) – позже, если руки дойдут J. 

Защита информации в национальной платежной системе: новые-старые требования

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе», которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

· о средствах и методах обеспечения информационной безопасности,

· о персональных данных,

· об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

· наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

· риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

· определение угроз безопасности информации и анализ уязвимости информационных систем;

· наличие системы защиты информации в информационных системах;

· обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

· применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

· наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

· обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

· выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

· организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

· шифровальные (криптографические) средства,

· средства защиты информации от несанкционированного доступа,

· средства антивирусной защиты,

· средства межсетевого экранирования,

· системы обнаружения вторжений,

· средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSL и TLS, реализующих RSA и прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средств и т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1. Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2. В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3. Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4. Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5. Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.

6. Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!