Особенности правового режима информации ограниченного доступа в банковской деятельности на примере международной банковской группы в условиях противодействия отмыванию доходов, полученных преступным путем, и финансированию терроризма

Информационная безопасность обеспечивает правовой режим информации ограниченного доступа в банковской деятельности, составляя основу банковской деятельности. Правовой режим информации ограниченного доступа банковской деятельности включает защитные меры, направленные на снижение уровня негативных последствий от нарушения свойств конфиденциальности, целостности, доступности и отслеживаемости информации.

Информационная безопасность призвана обеспечить защиту информации Банка и бизнес-процессов с целью обеспечения долгосрочной деятельности Банка и безопасности для Банка, его сотрудников, клиентов и партнеров. Любые действия, направленные на осуществление информационной безопасности банковской деятельности, строятся на основании политики банковского учреждения.

Политика информационной безопасности банка может быть разработана в виде отдельного документа или массива документов, устанавливающих принципы и механизмы реализации информационной безопасности. Политика информационной безопасности (далее — Политика) утверждается Председателем правления банка.

Политика основывается на внутренних стандартах, принципах и политике банка, закрепленных во внутренних нормативных документах банка (например, Политика информационной безопасности Банка), разработана с учетом положений стандартов[66] и рекомендаций[67] Банка России по информационной безопасности, представленных в виде совокупности документов в области стандартизации Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»[68] [69], стандартов Международной организации по стандартизации (ISO) на системы управления информационной безопасностью , нормативных документов банковской группы, в состав которой входит конкретный банк, и соответствует требованиям федерального законодательства в области защиты информации.

Положения Политики применимы ко всей обрабатываемой, хранимой, передаваемой и уничтожаемой в Банке информации.

Выполнение положений Политики обязательно для всех лиц, имеющих доступ к информации. К таким лицам относятся, но не ограничиваются, следующие:

- постоянные и временные работники банка;

- работники контрагентов;

- работники организаций, осуществляющих проверки деятельности банка;

- клиенты банка.

Доведение Политики или отдельных ее положений до лиц, имеющих доступ к информации банка, осуществляется до фактического предоставления им доступа к ней.

В отношении контрагентов и организаций, осуществляющих проверки деятельности банка (далее — внешние организации), а также их работников, которым необходим доступ к информации банка, решение о порядке доведения и соблюдения положений Политики принимается руководителем подразделения банка, ответственного за взаимодействие с конкретной внешней организацией и согласовывается с подразделениями, ответственными за информационную безопасность. Принятое решение учитывается при заключении договоров.

Обеспечение безопасности информации включает защитные меры, направленные на снижение уровня негативных последствий от нарушения свойств конфиденциальности, целостности, доступности и отслеживаемости информации.

Применение мер защиты информации адекватно присвоенному информации классу позволяет снизить вероятности реализации угроз и рисков информационной безопасности, и поддерживать их на уровне приемлемом для конкретного класса информации, а также направлено на эффективное использование ресурсов для обеспечения информационной безопасности Банка в целом.

Правовой режим защиты информации ограниченного доступа банковской деятельности осуществляется с учетом следующих принципов:

1. законность используемых методов;

2. системность и комплексность в выборе средств защиты информации;

3. непрерывность процесса защиты информации;

4. гибкость управления и применения средств защиты информации;

5.

минимально необходимых им для выполнения своих обязанностей;

6. разделение ролей и обязанностей по обеспечению информационной безопасности.

6. обязанности и ответственность

Ответственность за сопровождение данной Политики в части организации исполнения и контроля соблюдения положений, а также поддержания ее в актуальном состоянии несет подразделение, отвечающее за информационную безопасность банка.

Все лица, имеющие доступ к информации Банка, несут персональную ответственность за соблюдение положений Политики.

Невыполнение лицом, имеющим доступ к информации Банка, положений Политики и причинение вследствие этого Банку и/или его контрагентам ущерба, влечет за собой дисциплинарную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации в соответствии с требованиями текущего законодательства, о которых речь пойдет ниже.

Положения Политики поддерживаются в актуальном состоянии и соответствуют текущим производственным целям и задачам Банка.

Пересмотр и обновление Политики осуществляется не реже одного раза в три года, а также при необходимости по результатам контрольных мероприятий, при изменении технологий, процессов и возникновении инцидентов информационной безопасности, оказавших негативное влияние на бизнеспроцессы Банка.

Изменения, вносимые в Политику, согласовываются с руководителями заинтересованных подразделений и утверждаются председателем правления банка в соответствии с установленными в банке порядками и процедурами.

Для защиты информации ограниченного доступа в банковской деятельности применяются следующие технические меры:

1. управление доступом;

2. антивирусная защита;

3. сетевая безопасность;

4. управление уязвимостями;

5. резервирование;

6. криптографическая защита;

7. физическая безопасность;

8. протоколирование и мониторинг.

Правовой режим информации ограниченного доступа в банковской деятельности формируется и применяются в соответствии с классом, присвоенном информации.

Класс информации/Класс Автоматизированной банковской системы (далее — АБС) — принятое в Банке значение, отражающее потенциальный ущерб от нарушения конфиденциальности, целостности, доступности и отслеживаемости информации/АБС. Класс информации/Класс АБС может учитывать ценность, критичность и чувствительность информации/АБС. Класс информации отражает, какие правила необходимо применять при обработке информации и для ее защиты.

Существует 4 класса конфиденциальности информации — С3, С2, С1, С0.

Классы конфиденциальности присваиваются информации в зависимости от того, насколько губительными будут последствия в случае утечки данной информации к посторонним лицам для ключевых интересов, безопасности и существования Банка или его подразделений.

Существует 4 класса целостности информации — I3, I2, I1, I0.

Классы целостности присваиваются информации в зависимости от того, насколько губительными будут последствия в случае нарушения целостности данной информации для осуществления деятельности банка, его подразделений и внутренних бизнес-процессов.

Существует 4 класса доступности информации — A3, А2, А1, А0.

Классы доступности присваиваются информации в зависимости от того, насколько губительными для осуществления деятельности банка и его подразделений будут последствия в случае потери доступа к данной информации в самый важный период времени (закрытие финансового периода, конец месяца/года).

Существует 4 класса отслеживаемости информации — Т3, Т2, Т1, Т0.

Классы отслеживаемости присваиваются информации в зависимости от того, насколько губительными будут последствия в случае отсутствия протоколирования событий, возникающих в процессе деятельности банка.

Требования, предъявляемые к 0-му классу

Подготовка информации к опубликованию осуществляется работниками Банка в соответствии с внутренними нормативными документами Банка, определяющими требования и правила: рекламной деятельности, раскрытия и опубликования информации, взаимодействия со средствами массовой информации и государственными органами, использования ресурсов сети Интернет и веб-сайта Банка.

Опубликование и обработка (сбор, накопление, хранение, уточнение использование, передача, уничтожение и т. п. ) публичной информации осуществляются с соблюдением законодательства, авторских прав и указаний по обработке такой информации при их наличии.

Защита публичной информации Банка осуществляется путем добавления к информации заявления об авторских правах Банка и указаний на необходимость сохранения авторских прав при ее распространении и использовании.

При сборе и накоплении публичной информации, а также при получении результатов ее обработки рекомендуется применять к агрегированной информации дополнительные меры защиты и при необходимости руководствоваться требованиями изложенными ниже.

Требования по защите информации 1-го класса

Требования по обеспечению ИБ информации классифицированной как C1, I1, A1, Т1 включают в себя следующие организационные и технические меры

защиты:

1. управление доступом:

- доступ к информации предоставляется в объемах, не превышающих минимально необходимых для исполнения данным лицом своих обязанностей;

- доступ к информации осуществляется на основании согласованной заявки на доступ;

- в ОС, АБС и СУБД настроены и активированы механизмы идентификации и аутентификации пользователей ИА, для аутентификации используются пароли соответствующие внутренним требованиям Банка;

2. антивирусная защита — все средства обработки информации оснащены средствами антивирусной защиты, антивирусное программное обеспечение активизировано и настроено в соответствии с внутренними требованиями Банка.

3. сетевая безопасность — применяются средства межсетевого экранирования между внутренней сетью Банка и внешними сетями.

3. управление уязвимостями — обеспечена установка обновлений операционных систем, программного обеспечения, СУБД и АБС.

5. резервирование — создание резервных копий организует Владелец ИА и осуществляется пользователями информации, а также централизовано с периодичностью не реже 1 раза в месяц и глубиной архива не менее 1 года;

6.

7. протоколирование и мониторинг — осуществляется периодический мониторинг протоколов работы средств защиты информации и анализ критичных событий.

Правила обращения с информацией, отнесенной к 1-му классу конфиденциальности (С1 — Для внутреннего пользования/Internal), на всех стадиях их жизненного цикла определены таблице 1.

сайт. URL: http://www.dw.de/a-17511784 (дата

Таблица 1. Правила обращения с информацией класса конфиденциальности С1- Для внутреннего

пользования/internal

Требования по защите информации 2-го класса

Требования по обеспечению ИБ информации классифицированной как C2, I2, A2, Т2 включают в себя требования по защите информации 1-го класса и дополняются следующими мерами защиты информации:

1. управление доступом:

- информация содержит признаки, позволяющие однозначно

определить автора;

- применяются средства обнаружения утечки информации и контроля использования внешних/съемных носителей информации;

2. антивирусная защита — активизированы и настроены средства

антивирусного анализа и защиты входящего и исходящего трафика.

3. сетевая безопасность:

- применяются средства автоматического контроля и ограничения

использования ресурсов Интернет.

- применяются индивидуальные средства межсетевого экранирования;

- применяются централизованные средства обнаружения и

предотвращения вторжений (IPS/IDS);

4. управление уязвимостями — применяются программно-технические средства обнаружения уязвимостей ИТ-инфраструктуры.

5. резервирование — осуществляется резервирование средств обработки информации и централизованное создание резервных копий с периодичностью не реже 1 раза в неделю и глубиной архива не менее 5 лет;

6. криптографическая защита — передача информации по каналам связи и на носителях осуществляется с применением средств шифрования;

7. протоколирование и мониторинг:

- средства обработки и защиты информации обеспечивают регистрацию событий, позволяющую однозначно идентифицировать допущенных к информации лиц и их действия;

- существляется периодический мониторинг протоколов работы средств защиты информации и компонентов ИТ-инфраструктуры и анализ

критичных событий.

Правила обращения с информацией, отнесенной ко 2-му классу конфиденциальности (C2, Конфиденциальная информация/Confidential), на всех стадиях их жизненного цикла определены в таблице 2.

Таблица 2. Правила обращения с информацией класса конфиденциальности С2 — Конфиденциально/Confidential

после проверки личности участников встречи.

Информация может обсуждаться при телефонных переговорах с работниками Банка, контрагентами и клиентами (имеющими доступ к данной информации в рамках имеющегося договора) после однозначной идентификации их личности (по уникальным идентификаторам: номер паспорта, кодовое слово, код конференции).________________

Требования по защите информации 3-го класса

Требования по обеспечению ИБ информации классифицированной как C3, I3, A3, Т3 включают в себя требования по защите информации 2-го класса и дополняются следующими мерами защиты информации:

1. управление доступом:

- для доступа к информации используются средства усиленной (двух факторной) аутентификации;

- применяются средства предотвращения утечки информации;

2. антивирусная защита — все серверные средства обработки

информации оснащены средствами контроля исполняемых приложений (служб, сервисов) или средствами антивирусной защиты отличными от средств,

применяемых на рабочих станциях пользователей.

3. сетевая безопасность:

- применяются персональные средства межсетевого экранирования на средствах обработки информации.

- применяются индивидуальные средства обнаружения и

предотвращения вторжений (KIPS);

4. управление уязвимостями — применяются автоматизированные

средства контроля соответствия параметров и настроек ИТ-инфраструктуры.

5. резервирование — используются резервные средства обработки

информации и средства синхронной репликации, создание резервных копий осуществляется с периодичностью не реже 1 раза в день;

6. криптографическая защита — информация, ее резервные копии, а также протоколы событий в электронной форме хранятся, обрабатываются и передаются в зашифрованном виде с применением средств контроля целостности (электронная подпись).

7. физическая безопасность — обработка информации осуществляется в отдельных/специальных помещениях, оборудованных дополнительными средствами ограничения доступа (замки) и видеонаблюдением.

8. протоколирование и мониторинг:

- осуществляется периодический централизованный мониторинг протоколов работы средств защиты информации, с автоматическим оповещением о критичных событиях;

- осуществляется периодический мониторинг протоколов работы средств защиты информации и компонентов ИТ-инфраструктуры и анализ критичных событий.

Правила обращения с информацией, отнесенной к 3-му классу конфиденциальности (C3, Секретно/Secret), на всех стадиях их жизненного цикла определены в таблице 3.

Таблица 3. Правила обращения с информацией класса конфиденциальности С3 — Секретно/Secret

В каждом кредитном учреждении в соответствии с требованиями Закона о противодействии легализации доходов должен быть разработан комплекс мер, направленных на противодействие легализации преступных доходов и финансирование терроризма.

В соответствии со статьей 3 названного Закона под легализацией (отмыванием) доходов, полученных преступным путем понимается «придание правомерного вида владению, пользованию или распоряжению денежными средствами или иным имуществом, полученными в результате совершения преступления».

Существует три модели отмывания денег — двухфазная, трехфазная и четырехфазная.

Наибольшее распространение и признание получила трехфазная модель, в соответствии с которой выделяют три стадии:

- Размещение — преступники стремятся разместить незаконные денежные средства в целях их удаления от места происхождения;

- Расслоение — отрыв незаконных доходов от их источников путем создания сложной цепи финансовых операций, направленных на маскировку проверяемого следа этих доходов;

- Интеграция — стадия процесса легализации, непосредственно направленная на придание видимости законности преступно нажитому состоянию.

Наиболее простой и дешевой схемой российского отмывания денег является обналичивание — вывод денежных средств из легальной экономики в экономику теневую, откуда деньги вновь возвращаются в легальную экономику, имея вид правомерного происхождения.

Под финансированием терроризма понимается совокупность методов и средств покрытия расходов, необходимых для осуществления террористического акта или для деятельности террористической организации.

Источники поступления средств для финансирования терроризма:

- Доходы от организованной преступной деятельности — независимый оборот наркотиков, незаконный оборот оружия, кражи имущества в крупных размерах, похищение людей с целью получения выкупа, фальшивомонетчество и подделка кредитных карт, контрабанда, отмывание денег;

- Доходы от контролируемых террористами предприятий, действующих в легальном бизнесе, в офшорах, в теневой экономике;

- Спонсорская помощь частных лиц, спецслужб заинтересованных государств, гуманитарных организаций.

Ключевым условием финансирования терроризма является сокрытие источников и каналов финансирования. В этом отношении задачи террористов придать своим денежным потокам законный вид тесно смыкаются с задачами уголовных преступников.

Основным источником права в сфере финансового мониторинга в РФ является Закон о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

Основополагающим принципом созданной в банке системы ПОД/ФТ, отраженным в разработанной с участием автора «Политике информационной безопасности банка», является минимизация рисков использования банка в качестве посредника в операциях по отмыванию денег и финансированию терроризма.

Основными принципами и целями организации в банке внутреннего контроля в целях ПОД/ФТ являются:

- обеспечение защиты Банка от проникновения в него преступных доходов;

- управление риском легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма в целях его минимизации;

- обеспечение независимости специального должностного лица, ответственного за соблюдение правил внутреннего контроля по ПОД/ФТ — Ответственного сотрудника по ПОД/ФТ;

- участие сотрудников структурных подразделений Банка независимо от занимаемой должности в рамках их компетенции в выявлении операций, подлежащих обязательному контролю, и операций, в отношении которых возникают подозрения, что они осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма.

В целях ПОД/ФТ банки разрабатывают отдельные внутренние нормативные документы, которые:

- регламентируют организационные основы работы банка, направленной на ПОД/ФТ;

- устанавливают порядок действий должностных лиц и работников банка в целях осуществления внутреннего контроля в сфере ПОД/ФТ;

- распределяют зоны ответственности и сроки выполнения обязанностей должностных лиц и работников Банка в целях осуществления внутреннего контроля в сфере ПОД/ФТ.

К мерам банка, направленным на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (далее — ПОД/ФТ), относятся:

- организация и осуществление внутреннего контроля;

- обязательный контроль;

- запрет на информирование клиентов и иных лиц о принимаемых мерах по ПОД/ФТ, за исключением некоторых действий (в соответствии с законом);

- иные меры, принимаемые в соответствии с федеральными законами.

Элементами правового режима информации ограниченного доступа в

банковской деятельности, закрепленными в «Политике информационной безопасности банка» по предложению автора, являются следующие предпринимаемыми банком меры:

- Сотрудники банка обязаны обеспечивать конфиденциальность полученной информации на основании подписанного с банком соглашения о конфиденциальности;

- Доступ сотрудников к информации, полученной при проведении идентификации клиентов банка и при последующей работе с персональными данными клиента, осуществляется при условии соблюдения требований конфиденциальности и в соответствии с требованиями внутренних нормативных

документов банка;

- Дополнительным механизмом правового режима информации ограниченного доступа в банковской деятельности является принцип получения сотрудниками банка только той информации, которая необходима для выполнения конкретных функций.

Данные элементы правового режима, разработанные с участием автора и закрепленные во внутреннем нормативном документе «Политике информационной безопасности банка» направлены на защиту информации ограниченного доступа и позволяют гарантировать ее сохранность.

Задачами организации и осуществления внутреннего контроля в целях ПОД/ФТ являются:

- обеспечение выполнения банком требований законодательства Российской Федерации в сфере ПОД/ФТ;

- поддержание эффективности системы внутреннего контроля по ПОД/ФТ банка на уровне, достаточном для управления риском легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;

- исключение вовлечения банка, его руководителей и сотрудников в осуществление легализации (отмывания) доходов, полученных преступным путем, и финансирование терроризма.

При реализации требований, закрепленных внутренними нормативными документами, банк должен обеспечить:

- применение процедур управления риском легализации доходов, полученных преступным путем, и финансирования терроризма;

- документальное фиксирование сведений (информации) по вопросам ПОД/ФТ;

- сохранение конфиденциальности сведений о мерах, принимаемых кредитной организацией в целях ПОД/ФТ;

- своевременное направление сведений (информации) по вопросам ПОД/ФТ в Уполномоченный орган.

Во внутренние нормативные документы банка включаются следующие

программы осуществления внутреннего контроля:

1. программа организации системы ПОД/ФТ;

2. программа идентификации клиента, представителя клиента, выгодоприобретателя, бенефициарного владельца;

3. программа управления риском легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;

4. программа выявления в деятельности клиентов операций, подлежащих обязательному контролю, и операций, в отношении которых возникают подозрения, что они осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма;

5. программа, регламентирующая права и обязанности банка при осуществлении безналичных расчетов и переводов денежных средств;

6. порядок контроля операций по выдаче денежных средств, их перечисления, списания и зачисления при расторжении договора банковского счета;

7. программа организации работы по замораживанию (блокированию) денежных средств или иного имущества принадлежащих организации или физическому лицу, в отношении которых имеются достаточные основания подозревать их причастность к террористической деятельности;

8. программа организации работы по отказу от заключения договора банковского счета (вклада) с физическим или юридическим лицом и отказу в выполнении распоряжения клиента о совершении операции;

9. программа, определяющая порядок приостановления операций с денежными средствами или иным имуществом;

10. программа подготовки и обучения кадров по ПОД/ФТ.

Действие правил распространяется на все подразделения банка, осуществляющие операции с денежными средствами или иным имуществом, включая представительства и кредитно-кассовые офисы.

Функции контроля за организацией в банке работы по ПОД/ФТ возлагаются на единоличный исполнительный орган — Председателя Правления, который обеспечивает контроль за соответствием применяемых правил требованиям законодательства Российской Федерации в сфере ПОД/ФТ.

Служба внутреннего контроля регулярно проводит проверки исполнения Банком и его сотрудниками законодательства по ПОД/ФТ, а также контролирует выполнение программ Правил.

Целью проверок является оценка наличия, эффективности и достаточности контрольных процедур в ходе реализации Правил внутреннего контроля для целей соблюдения требований законодательства в области ПОД/ФТ, анализ соответствия деятельности Банка законодательству в сфере ПОД/ФТ и оценка процесса обучения сотрудников требованиям и правилам в области ПОД/ФТ. Уровень эффективности применяемых для этого процедур является объектом постоянного контроля со стороны Службы внутреннего контроля. Также ежеквартально проводятся дополнительные плановые проверки.

Правила определяют процедуру осуществления внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, и включают в себя следующие программы.

В целях обеспечения конфиденциальности информации сотрудники банка руководствуются порядком, разработанным службой, ответственной за информационную безопасность банка.

Банк обеспечивает конфиденциальность сведений о:

- внутренних документах банка и правилах;

- счетах и вкладах клиентов, о клиентах и их операциях, а также иных сведений, определяемых Банком (банковская тайна).

Передача-прием Банком сведений в Банк России для последующей передачи в Уполномоченный орган осуществляется с применением средств криптографической защиты информации, принятых к использованию в Банке России. Технологический процесс формирования и направления информации установлен внутренним регламентом.

Список должностных лиц, имеющих доступ к автоматизированному рабочему месту (АРМ) приема-передачи отчетности в виде электронных документов, а также лиц, имеющих доступ к носителям секретных ключей электронной цифровой подписи (ЭЦП) и шифрования утверждается Председателем Правления банка либо лицом, им уполномоченным.

Сотрудники банка обязаны обеспечивать конфиденциальность информации, полученной в процессе исполнения требований Федерального закона №115-ФЗ.

Сотрудники подписывают с Банком соглашение о конфиденциальности.

Под правовой режим информации ограниченного доступа в банковской деятельности в целях ПОД/ФТ попадают следующие сведения:

- сведения о внутренних документах банка в целях ПОД/ФТ;

- сведения о формах, способах и методах осуществления в банке внутреннего контроля в целях ПОД/ФТ;

- сведения об используемых банком процедурах и методах и проводимых мероприятиях, направленных на исполнение нормативных требований;

- сведения, подлежащие документальному фиксированию в процессе идентификации и изучения клиентов, их представителей, выгодоприобретателей и бенефициарных владельцев, в том числе, сведения о счетах (вкладах) и совершаемых операциях, а также сведения, содержащиеся в Анкетах (досье) клиентов;

- сведения о выявленных операциях (сделках), подлежащих обязательному контролю;

- сведения о подозрительных операциях;

- сведения о причинах приостановления операций.

При подготовке документов, содержащих указанные выше сведения, сотрудники должны предпринимать разумные и достаточные меры, направленные на обеспечение конфиденциальности информации, руководствуясь принятыми в банке нормативными документами по информационной безопасности.

При поступлении запросов от уполномоченного органа, надзорных, правоохранительных, судебных и иных органов государственной власти о предоставлении информации в отношении клиентов банка, сотрудники подразделений обязаны обеспечить соблюдение режима конфиденциальности в процессе работы с указанными документами.

При поступлении запросов от уполномоченного органа о предоставлении информации об операциях клиентов, о движении средств по счетам (вкладам) своих клиентов и о бенефициарных владельцах клиентов, объем, характер и порядок предоставления которой определяются в порядке, установленном Центральным банком Российской Федерации по согласованию с уполномоченным органом, сотрудники подразделений обязаны также обеспечить соблюдение режима конфиденциальности в процессе работы с соответствующими документами.

В целях обеспечения конфиденциальности информации руководителям и сотрудникам Банка запрещается:

- информировать клиентов Банка и иных лиц о формах, способах и методах осуществления в Банке внутреннего контроля;

- информировать клиентов Банка и иных лиц о представлении в уполномоченный орган информации, полученной в результате применения правил и других нормативных правовых актов по вопросам ПОД/ФТ;

- предоставлять клиентам банка и иным лицам информацию о причинах приостановления операций либо отказа в заключении договора банковского счета (вклада);

- передавать третьим лицам иную информацию, отнесенную правилами к разряду конфиденциальной.

Доступ сотрудников к информации, полученной при проведении идентификации клиентов банка, осуществляется при условии соблюдения требований конфиденциальности и в соответствии с требованиями правил и внутренних нормативных документов банка в сфере информационной безопасности и защиты тайны.

Доступ к информации, полученной при проведении идентификации, предоставляется сотрудникам банка в объеме, необходимом для исполнения ими своих должностных и функциональных обязанностей.

Информация, полученная при проведении идентификации, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номера телефонов, адреса электронной почты, другая информация может поступать в банк следующими способами:

- непосредственно от самих клиентов;

- от лиц, связанных с Банком договорными отношениями;

- от близких родственников клиентов (в случае смерти или недееспособности клиента);

- от органов государственной власти и местного самоуправления.

Информация, относящаяся к персональным данным клиента, может быть

предоставлена уполномоченным государственным органам на основании и в порядке, установленном федеральным законодательством.

Банк знакомит всех работающих и вновь поступивших на работу сотрудников с внутренним положением о конфиденциальной информации банка, а сотрудники банка принимают на себя обязательство обеспечивать сохранность конфиденциальной информации и исполнять все требования, установленные законодательством.

Сотрудники Банка имеют право получать только ту информацию, полученную при проведении идентификации и только те персональные данные субъекта, которые необходимы для выполнения конкретных функций. Распечатывать, копировать и делать выписки разрешается исключительно в служебных целях.

Банк применяет комплекс организационных и технических мер по защите информации и персональных данных в соответствии с действующим законодательством и рекомендациями Банка России.