АКТУАЛЬНЫЕ ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ СТОРОН ПРИ ПРОВЕДЕНИИ ФИНАНСОВЫХ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
АКТУАЛЬНЫЕ ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ СТОРОН ПРИ ПРОВЕДЕНИИ ФИНАНСОВЫХ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
Завгородний Ярослав Анатольевич
студент-магистрант, Южно-Российский Институт Управления Российской Академии Народного Хозяйства и Государственной службы при Президенте Российской Федерации,
РФ, г. Ростов-на-Дону
CURRENT ISSUES OF LEGAL REGULATION OF ENSURING THE SECURITY OF INFORMATION OF THE PARTIES WHEN CONDUCTING FINANCIAL TRANSACTIONS USING COMPUTER TECHNOLOGY
Yaroslav Zavgorodny
Master's degree student, South-Russian Institute of Management, Russian Presidential Academy of National Economy and Public Administration,
Russia, Rostov-on-Don
АННОТАЦИЯ
В статье анализируется правовое регулирование защиты информации в сфере финансовых правоотношений, рассматриваются права и обязанности сторон, участвующих в финансовых транзакциях. Обосновывается необходимость совершенствования правовой регламентации ответственности участников финансовых транзакциях.
ABSTRACT
The article analyzes the legal regulation of information protection in the field of financial legal relations, considers the rights and obligations of the parties involved in financial transactions. The necessity of improving the legal regulation of the liability of participants in financial transactions is justified.
Ключевые слова: защита информации, информационные технологии, вычислительная техника, финансовая операция, ответственность, равные права.
Keywords: information protection, information technology, computer technology, financial transaction, responsibility, equal rights.
Новые технологии подарили всему миру новые возможности во всех сферах человеческой жизни. Это и рабочие места, и подходы к обучению, иные типы экономик, новые формы денежных средств. Изменившиеся взаимоотношения между людьми, городами, странами требуют иных подходов к управлению процессами, их контролю за стабильностью и точностью исполнения поступающих команд от процесса к подпроцессу.
В принятии управленческих решений все большую значимость приобретают средства программного обеспечения (далее – ПО), использующегося на том или ином сегменте исполняемого процесса. На лицо, происходит замена человека компьютерной программой, которая в свою очередь создана и написана также человеком. Еще древние греки говорили, что людям свойственно ошибаться. Исключением здесь не являются и специалисты, участвующие в создании программного обеспечения
Так на ранних этапах развития вычислительной техники, программист в одиночку мог создать программу, которой пользуются миллионы пользователей по всему миру до сих пор. Он представлял в одном лице бизнес-аналитика, менеджера проекта, дизайнера интерфейса, программиста, тестировщика, маркетолога. Однако в настоящее время разработкой ПО, особенно сложного, многопланового занимаются десятки, сотни, а то и тысячи различных специалистов, выполняющих каждый свои определенные функции и задачи. Все они могут одновременно работать на разных континентах планеты, взаимодействуя между собой посредством электронных коммуникаций.
Еще одной особенностью создания ПО, является так называемое заимствование программного кода. Когда, например, программист или целая команда написала код для выполнения какого-либо стандартного действия на компьютере, и, руководствуясь желанием поделиться своими результатами, выкладывает его в сети интернет для свободного использования. Данный программный код, в дальнейшем, другой пул программистов решает применить в некоей большой управляющей программной системе. Заимствованный код может содержать не выявленную ошибку, приводящую, например, к предоставлению доступа постороннему лицу к критичным данным в информационной системе. Став частью большой управляющей программной системы, и вовремя не выявленной, ошибка продолжает там «жить». В период использования системы обычными пользователями, она проявит себя тем, что к критически важным данным получит доступ несанкционированное лицо. Это может быть сделано намеренно или случайно, по стечению обстоятельств. Однако, тем самым будут нарушены права тех лиц, чьи данные оказались в открытом доступе.
Здесь хотелось бы остановиться подробнее на том, каким образом можно предотвратить подобные ситуации. В данной статье будем говорить о правовых способах недопущения или уменьшения возможного ущерба от несанкционированного доступа к защищаемой информации, возникающего в следствие наличия в информационных системах ошибок, недокументированных возможностей, способов обхода защиты доступа к информационной системе и других несовершенств.
В Российской Федерации создана и действует государственная система защиты информации, являющаяся частью деятельности по обеспечению безопасности государства, личности и иных видов безопасности, в соответствии с Федеральным законом от 28 декабря 2010 г. №390-ФЗ «О безопасности» [1]. Согласно п.4 ст.16 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»[2], обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить защищенность своей информационной системы.
Государственная система защиты информации развивается параллельно с развитием в России и мире информационных технологий. Появляется множество нормативно-правовых актов и методических документов, регламентирующих различные аспекты информационной безопасности. Так в 2019 году Центральный Банк Российской Федерации утвердил положение от 17 апреля 2019 г. №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение ЦБ РФ №683-П) и положение от 17 апреля 2019 г. №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение ЦБ РФ №684-П). Указанные документы направлены на предотвращение осуществлению переводов денежных средств без согласия клиентов (физического и юридических лиц), являющихся пользователями финансовых услуг.
Оба документа устанавливают требования к кредитным и некредитным организациям выполнить определенный набор требований по защите информации, обрабатываемой в информационных системах, в зависимости от установленного уровня защищенности. Причем, в положениях ЦБ РФ идет отсылка на обязательные, в данном случае, ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. №822-ст «Об утверждении национального стандарта») и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 г. №156-ст «Об утверждении национального стандарта», в соответствии со ст.26 Федерального закона от 29 июня 2015 г. №162-ФЗ «О стандартизации в Российской Федерации»[3]. Также в положениях ЦБ РФ упоминается еще один стандарт, ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. №1340-ст «Об утверждении национального стандарта». Приведенные технические стандарты содержат подробные организационные и технические меры обеспечения установленного уровня защищенности для кредитных и некредитных организаций при обслуживании клиентских платежей с использованием вычислительной техники.
При этом меры, содержащиеся в вышеперечисленных технических документах, направлены на обеспечение прав клиентов кредитных и некредитных организаций, а также косвенно касаются прав инвесторов и собственников непосредственно кредитных и некредитных организаций. В частности, речь идет о правах, указанных в ст.2, п.2 ст.6, п.2 ст.8, п.3 ст.35, ст.52, п.3 ст.55 Конституции России, п.1 ст.2 Федерального закона от 28 декабря 2010 г. №390-ФЗ "О безопасности" и другие.
Положения ЦБ РФ совместно с ГОСТами предписывают выполнять меры организационно-правового характера в финансовой организации, в том числе принятие и контроль руководством финансовой организации политики обеспечения защиты информации финансовой организации, документально оформленные уровень защищенности ИС, назначенные ответственные лица, утвержденный план работ на текущий год по обеспечению безопасности информации, обрабатываемой в ИС, обеспечение регистрации и хранения информации об инцидентах информационной безопасности и другие меры.
Важным фактором устойчивого функционирования ИС финансовой организации является регулярная оценка соответствия установленному уровню защищенности ИС и выполнения организационно-технических мер защиты информации. С целью большей достоверности проведенной оценки финансовой организации следует привлекать независимые организации, являющиеся лицензиатами федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации и федерального органа исполнительной власти в области безопасности. Для финансовых организаций, установленный уровень защищенности которых не ниже усиленного и стандартного, в соответствии с п.п. 4.2 и 9 положения ЦБ РФ №683-П и п.п.4 и 6.1 положения №684-П, привлечение независимых организаций-лицензиатов является обязательным.
Существует также другая сторона информационной безопасности, когда клиент финансовой организации, в силу отсутствия определенных знаний, опыта, или же намеренно, приводит к ситуации, провоцирующей и/или реализующей инцидент с безопасностью финансовых транзакций. В результате ему или финансовой организации наносится прямой или косвенный ущерб, который может выражаться в потере денежных средств, несанкционированном раскрытии идентифицирующей и аутентифицирующей информации, репутационных и имиджевых потерях сторон правоотношений и другим видам ущерба. В данном случае ответственность за совершенные действия или бездействие ложится на клиента. Для предотвращения или, по крайней мере, минимизации возможного ущерба сторонам, согласно п.7 положения ЦБ РФ №683-П и п.2 положения №684-П, финансовые организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники. Таким образом, вопрос просвещения клиентов о мерах по предотвращению несанкционированного доступа к защищаемой информации, и пропаганда цифровой грамотности и безопасного использования информационных технологий станут важными факторами в деле обеспечения безопасности и стабильности банковской системы государства.
Здесь нужно упомянуть, тот факт, что, если клиент финансовой организации добросовестно выполнил рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, предоставленные финансовой организацией, ответственность за финансовые потери клиента ложится на саму финансовую организацию. При этом, в случае конфликтной ситуации, клиент будет готов и сможет, при необходимости, доказать свою правоту и невиновность, например, в утрате денежных средств, ошибочно переведенных на посторонние расчетные счета. А бремя доказывания вины, согласно статьи 1.5. Кодекса Российской Федерации об административных правонарушениях от 30 декабря 2001 г. №195-ФЗ (ред. от 09.03.2021), в данном случае, уже ложится на финансовую организацию.
Не смотря на очевидность денежных и временных затрат для финансовой организации при реализации описанных выше мер защиты финансовых ИС, данные меры, если рассматривать их в общей массе всех финансовых организаций, действующих в Российской Федерации, приведет в конечном итоге как к повышению устойчивости всей финансовой системы государства, так и к соблюдению конституционных и других прав отдельных граждан.
Говоря о правовых аспектах защиты информации о финансовых операциях подразумевается, что имеется как минимум две стороны этого процесса. С одной стороны, владелец или оператор финансовой информационной системы, предоставляющий соответствующие финансовые услуги. С другой стороны, клиент финансовой организации (пользователь данных услуг). Если для первой стороны, как уже было представлено ранее, разработаны и утверждены нормативно-правовые акты в области защиты различных видов информации. То второй стороне финансовых правоотношений, клиентам кредитных и некредитных финансовых организаций, в нормотворчестве отводится второстепенная роль.
Как уже было сказано ранее, согласно п.7 положения ЦБ РФ №683-П и п.2 положения №684-П, финансовые организации формируют для своих клиентов только рекомендации по защите информации, тем самым, преуменьшая их возможную ответственность в случае наступления негативных последствий. Таким образом, с точки зрения права, финансовые организации являются ущемленной стороной, нежели клиенты, для которых рекомендации становятся документом необязательным к исполнению. В данном случае, представляется необходимым устранить возникший перекос в правах и обязанностях для всех сторон финансовых правоотношений, приняв документ, обязывающий всех участников выполнять необходимые и достаточные требования к защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям. В качестве аналогии правовой ситуации можно привести Правила дорожного движения, утвержденные Постановлением Правительства РФ от 23 октября 1993 г. №1090 (ред. от 31.12.2020) «О Правилах дорожного движения», которые устанавливают права и обязанности для всех участников дорожного движения.
С резким повышением роли информационных технологий, особенно в связи со вспышкой инфекционных заболеваний в 2020 году и лавинообразным переходом к дистанционным формам взаимодействия, целесообразным видится разработка государственной программы, направленной на пропаганду мер информационной безопасности среди населения. Необходимо доводить до пользователей финансовых услуг информацию о существующих угрозах, приводящих к раскрытию финансовой и личной информации, о мошеннических способах получения личной и финансовой информации. Очень важно, используя государственные средства массовой информации, информационные ресурсы финансовых организаций знакомить граждан с мерами, позволяющими минимизировать риск потери такой информации, учить пользованию средствами защиты своих данных, информировать о важности регулярного обновления программного обеспечения мобильной и стационарной вычислительной техники, находящейся в личном пользовании. По сути, такая пропаганда должна стать аналогом существующих издавна правил личной гигиены.
Список литературы:
- Федеральный закон от 28 декабря 2010 г. №390-ФЗ (в ред. от 9 ноября 2020 г. №365-ФЗ) «О безопасности» // Российская газета. 2010. 29 декабря. №295.
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ (в ред. от 9 марта 2021 г. № 43-ФЗ) «Об информации, информационных технологиях и о защите информации»// Собрание законодательства РФ. 2006. 31 июля. №31 (1 ч.). Ст.3448.
- Федерального закона от 29 июня 2015 г. №162-ФЗ «О стандартизации в Российской Федерации» // Собрание законодательства Российской Федерации. 2015. 6 июля. №27. Ст.3953.