ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ

1. Введение

В условиях цифровизации банковского сектора и роста киберугроз обеспечение информационной безопасности (ИБ) становится критически важным фактором устойчивости кредитных организаций. Банки обрабатывают огромные массивы конфиденциальных сведений: персональные данные клиентов и сотрудников, банковскую и коммерческую тайну, инсайдерскую информацию. Утечка таких данных может привести к финансовым потерям, репутационному ущербу и санкциям регуляторов. Как справедливо отмечено в учебных материалах, технические средства защиты составляют лишь около 10% успеха; остальные 90% приходятся на поведение сотрудников, соблюдение ими правил обработки информации. Поэтому банки уделяют большое внимание обучению персонала, разработке внутренних нормативных документов и внедрению многоуровневой системы защиты. Цель настоящей статьи – систематизировать подходы к обеспечению ИБ и обработке персональных данных (ПДн) на примере типового банка, проанализировать нормативно-правовую основу, классификацию информации, меры защиты и ответственность за нарушения. Материалом послужили внутренние презентации Службы информационной безопасности банка, содержащие детальные правила и процедуры.

2. Нормативно-правовая база обработки персональных данных и информационной безопасности в банке

Деятельность банка как оператора персональных данных регулируется рядом федеральных законов. Основополагающим является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», который определяет принципы и условия обработки ПДн, права субъектов и обязанности оператора. В соответствии с ним, банк регистрируется в реестре операторов (регистрационный номер у каждого банка свой). Также применяются:

• Трудовой кодекс РФ (глава 14 – защита персональных данных работника, статьи 90, 192, 238, 243 – ответственность);
• Гражданский кодекс РФ (статьи 15, 1082 – возмещение убытков);
• Кодекс РФ об административных правонарушениях (статьи 13.11, 13.12, 13.14, 13.14.1 – штрафы за нарушения в сфере ПДн и защиты информации);
• Уголовный кодекс РФ (статьи 137, 183, 272, 272.1, 273, 274 – ответственность за неправомерный доступ, разглашение тайны, создание вредоносных программ).

Особое внимание в материалах банка уделяется изменениям 2025 года: «значительно выросли размеры штрафов за нарушения в сфере обработки персональных данных, введены оборотные штрафы за повторные нарушения для юридических лиц». Это свидетельствует об ужесточении государственного контроля и необходимости повышенного комплаенса.

Кроме того, банк руководствуется отраслевыми документами Банка России (например, Положение № 801-П от 12.07.2022 «Об утверждении Перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения») и приказами Росархива.

Внутренняя нормативная база включает «Положение о конфиденциальности информации», «Политику обработки персональных данных», «Положение об обработке и защите персональных данных работников», «Регламент по организации учета, хранения и уничтожения материальных носителей ПДн», «Парольную политику», «Политику защиты от вредоносного кода» и другие документы. Все они размещаются в электронной библиотеке на локальном диске (M:\Общая\Электронная библиотека ВНД).

3. Классификация информации в банке

Для дифференцированного подхода к защите вся информация, циркулирующая в банке, делится на четыре основные категории (см. табл. 1).

Таблица 1.

Классификация информации в банке

Категория	Характеристика	Примеры	Требования к передаче вовне
Публичная	Свободное обращение, санкционированное банком	Информация с официального сайта, публикации в СМИ, открытые источники	Без ограничений, защита не требуется
Внутренняя	Разглашение не наносит ущерба, доступ открыт всем сотрудникам	Обезличенные ПДн, нормативные документы без грифа «конфиденциально»	Только при наличии соглашения о неразглашении (NDA)
Конфиденциальная	Банковская/коммерческая тайна, ПДн, карточные данные, ДСП, инсайдерская информация	Данные о счетах клиентов, паспортные данные, кредитные истории	Через зашифрованные каналы, с NDA, по договорным отношениям или запросам госорганов
Строго конфиденциальная	Информация, разглашение которой влечет значительный ущерб; доступ только по списку	Перечень инсайдеров, определенная информация верхнего руководства	Дополнительное согласование с курирующим членом Правления и СИБ, шифрование

 

Примечательно, что к конфиденциальной информации относятся также сведения, составляющие государственную тайну, однако в коммерческом банке их объем минимален и доступ к ним строго лимитирован.

Особое место занимают персональные данные. Они подразделяются на:

• специальные (раса, национальность, политические взгляды, религия, здоровье, интимная жизнь);
• биометрические (физиологические характеристики: изображение лица, голос);
• общедоступные (с согласия субъекта);
• иные (фамилия, имя, отчество, адрес, паспортные данные и т.д.).

Банк обрабатывает все категории ПДн, причем обработка специальных и биометрических данных требует письменного согласия субъекта (за исключением случаев, прямо предусмотренных законом).

4. Субъекты и цели обработки персональных данных

Перечень субъектов ПДн в банке широк и включает не только клиентов и работников, но и кандидатов на работу, членов семей работников, близких родственников клиентов, учредителей и руководителей юридических лиц-контрагентов, посетителей сайта и даже посетителей офиса при пропускном режиме (фиксация времени входа/выхода). Это налагает обязанность собирать согласия для каждой категории, если обработка не осуществляется на ином законном основании.

Цели обработки ПДн в банке охватывают практически все стороны деятельности:

• соблюдение Конституции и федеральных законов;
• совершение банковских операций и заключение договоров;
• маркетинговые исследования и предоставление информации о продуктах;
• выявление иностранных налогоплательщиков (FATCA/CRS);
• ведение кадровой работы и персонифицированного учета в ПФР;
• обеспечение внутри объектового режима (пропускная система) и т.д.

Важным принципом является соответствие содержания и объема обрабатываемых данных заявленным целям. Так, для отправки SMS-уведомлений достаточно контактного телефона и не требуется обработка биометрии.

5. Организационные и технические меры защиты информации

Защита информации в банке представляет собой комплекс мероприятий, подразделяемый на технические и организационные.

Технические меры включают:

• межсетевые экраны (firewalls);
• системы криптографической защиты информации (СКЗИ) для шифрования данных при передаче и хранении на съемных носителях;
• системы предотвращения утечек (DLP);
• антивирусную защиту;
• средства контроля доступа к USB-портам;
• системы резервного копирования.

Организационные меры охватывают:

• разработку внутренних нормативных документов и регламентов;
• обучение персонала (данный курс – часть такого обучения);
• назначение ответственных за безопасность ПДн;
• физическую охрану помещений (запирающиеся шкафы, сейфы, контролируемый пропускной режим);
• политику «чистого стола» (в конце рабочего дня все документы с ПДн убираются);
• правила уничтожения документов через шредеры, а не в мусорные корзины.

Особый акцент сделан на парольной политике. Требования: длина не менее 8 символов для обычных пользователей и 16 – для эксплуатационного персонала; обязательное использование заглавных и строчных букв, цифр, специальных символов; смена пароля каждые 45 дней (для обычных) и 90 дней (для эксплуатационных); запрет на использование легко угадываемых комбинаций (qwerty, 123456, дата рождения). При трехкратном неверном вводе учетная запись блокируется. Сотрудникам категорически запрещено передавать свой пароль кому-либо, даже коллегам. Каждый несет ответственность за все действия, совершенные под его логином.

6. Правила работы с персональными данными и конфиденциальной информацией

6.1. Сбор и систематизация

ПДн собираются из разных источников: непосредственно от субъекта, от его представителя, из общедоступных баз, от третьих лиц по закону (например, бюро кредитных историй). Используются анкеты, резюме, договоры, записи телефонных разговоров. При этом согласие на обработку должно быть оформлено отдельным документом, причем молчание или бездействие субъекта не может считаться согласием. Для клиентов предоставление биометрических ПДн необязательно, отказ в обслуживании из-за отказа предоставить биометрию не допускается.

Систематизация требует обособления ПДн от иной информации (отдельные носители, разделы). Не допускается фиксация ПДн на одном носителе с несовместимыми целями обработки.

6.2. Хранение

Документы и носители с ПДн хранятся в запирающихся шкафах/сейфах в помещениях структурных подразделений. Хранение осуществляется только на учтенных носителях и не дольше, чем требуют цели обработки. По истечении срока оперативного хранения документы передаются в архив по описи. Архивное хранение – в специальном помещении.

6.3. Передача персональных данных

Передача ПДн внутри банка по корпоративной почте или через общие папки допускается только тем сотрудникам, чьи должностные обязанности требуют доступа. За пределы банка передача осуществляется при наличии:

• согласия субъекта (если требуется законом);
• договорных отношений или соглашения о неразглашении с получателем;
• шифрования информации (например, архив с паролем, который передается альтернативным каналом – по телефону, SMS).

При передаче по запросам госорганов объем не должен превышать запрашиваемого. Передача строго конфиденциальной информации дополнительно согласуется с курирующим членом Правления и СИБ.

6.4. Уточнение и блокирование

При подтверждении неточности ПДн банк обязан уточнить их в течение 7 рабочих дней. Блокирование осуществляется при выявлении неточностей или по запросу субъекта/Роскомнадзора; если нет возможности уничтожить данные, блокировка действует до 6 месяцев, затем – уничтожение.

6.5. Уничтожение

Основания: достижение цели обработки, отзыв согласия, требование субъекта или уполномоченного органа, невозможность устранить нарушения. Уничтожение производится специальной рабочей группой, оформляется актом. Испорченные носители резервных копий уничтожаются в присутствии сотрудников СИБ. Категорически запрещено выбрасывать носители с ПДн в мусорную корзину.

6.6. Обезличивание

Обезличивание – это действия, после которых принадлежность данных конкретному субъекту становится невозможна без дополнительной информации. Применяется в случае, когда цели обработки достигнуты, но уничтожение данных невозможно (например, в автоматизированных системах). Решение принимает рабочая группа по уничтожению.

7. Ответственность работников за нарушения

В банке установлена многоуровневая ответственность:

• Дисциплинарная – вплоть до увольнения по ст. 81 ТК РФ (пп. «в» п. 6 ч. 1) за разглашение ПДн.
• Материальная – полное возмещение прямого действительного ущерба (ст. 238, 243 ТК РФ).
• Гражданско-правовая – возмещение убытков по ст. 15, 1082 ГК РФ.
• Административная – штрафы по ст. 13.11, 13.12, 13.14, 13.14.1 КоАП РФ.
• Уголовная – до лишения свободы по ст. 137 (нарушение неприкосновенности частной жизни), ст. 183 (разглашение банковской тайны), ст. 272 (неправомерный доступ), ст. 272.1 (незаконное хранение и распространение ПДн в компьютерной информации) и др.

Даже небольшое нарушение может привести к серьезным последствиям. Усиление штрафов в 2025 году делает особенно актуальным соблюдение требований.

8. Действия в нестандартных ситуациях

Особое внимание в обучении уделяется типовым инцидентам и правильному поведению сотрудников.

Фишинг – массовые рассылки под видом официальных писем со ссылками на поддельные сайты. Признаки: незначительные ошибки в URL-адресе, отсутствие буквы «s» в https, просьба ввести логин/пароль. Рекомендации: не переходить по ссылкам из писем, проверять адрес отправителя, использовать двухфакторную аутентификацию, сообщать о подозрительных письмах в СИБ. Ни в коем случае не открывать вложения от неизвестных отправителей.

Мошенничество по телефону – звонящий представляется работником банка, сотрудником правоохранительных органов или контролером из Банка России и требует сообщить конфиденциальную информацию. Правило: вся информация предоставляется только по официальному письменному запросу; можно пообещать перезвонить по внутреннему телефону (предварительно проверив номер).

Заражение компьютерным вирусом – признаки: замедление работы, самопроизвольные перезагрузки, всплывающие предупреждения. Категорически запрещено пытаться лечить самостоятельно – необходимо немедленно обратиться в Helpdesk или СИБ.

Утеря съемного носителя – немедленно сообщить в СИБ и своему руководителю. Доступ к USB-портам предоставляется только по обоснованной заявке с указанием цели и перечня передаваемых данных. Перенос конфиденциальной информации на съемные носители без шифрования запрещен.

Правила работы в удаленном доступе – использование корпоративных ноутбуков только в служебных целях, блокировка экрана при перерыве, недопустимость оставления устройства без присмотра в общественных местах, своевременная установка обновлений и смена паролей. Удаленный доступ предоставляется только после обучения и согласования.

9. Обсуждение и выводы

Анализ внутренних материалов банка показывает, что современный банк строит систему защиты информации на трех китах: нормативно-правовая база, технические средства и человеческий фактор. Наиболее уязвимым звеном остаются сотрудники: даже самая совершенная DLP-система не предотвратит утечку, если работник сам передаст пароль или оставит документ на принтере. Поэтому регулярное обучение, проверка знаний (курс разбит на части с последующим контролем) и четкое закрепление ответственности критически важны.

С точки зрения научной систематизации можно выделить следующие принципы, реализованные в банке:

• Принцип минимизации – обрабатываются только те ПДн, которые необходимы для заявленных целей.
• Принцип законности – обработка без согласия допускается только в случаях, прямо указанных в законе (например, исполнение договора, требование налогового органа).
• Принцип разделения обязанностей – доступ к строго конфиденциальной информации ограничен списком лиц, а не предоставляется всем подряд.
• Принцип неотвратимости ответственности – за любое нарушение предусмотрена санкция от выговора до уголовного наказания.

Усиление штрафов в 2025 году делает актуальным внедрение автоматизированных средств контроля (DLP, SIEM, системы управления уязвимостями) и регулярный внутренний аудит. Однако технические решения бесполезны без культуры безопасности, когда каждый сотрудник понимает: он не просто «винтик», а ключевой элемент, защиты доверенной ему информации.

10. Заключение

Обеспечение информационной безопасности и защиты персональных данных в кредитной организации – это непрерывный процесс, требующий сочетания правовых, организационных и технических мер. Опыт банка демонстрирует системный подход: четкая классификация информации, детализированные регламенты обработки ПДн, строгие правила работы с носителями, многоступенчатая ответственность и обязательное обучение персонала. В условиях роста киберугроз и ужесточения регуляторных требований такие меры становятся не просто рекомендацией, а условием выживания банка на рынке.