среда, 16 февраля 2022 г.

Счётная палата США считает, что финансовым регуляторам следует принять дополнительные меры по защите персональных данных

13 января 2022 года Счётная палата США (Government Accountability Office, GAO) опубликовала отчёт GAO-22-104551 «Неприкосновенность частной жизни - Федеральные финансовые регуляторы должны принять дополнительные меры для усиления защиты персональных данных» (Privacy - Federal Financial Regulators Should Take Additional Actions to Enhance Their Protection of Personal Information) объёмом 49 страниц, см. https://www.gao.gov/assets/gao-22-104551.pdf   

Во вводной части документа, в частности, сказано следующее:

Для чего Счётная палата провела это исследование

Федеральные финансовые регуляторы - это федеральные органы исполнительной власти, которые контролируют продукты, предоставляемые финансовыми учреждениями. В рамках своих надзорных функций, многие регуляторы собирают и хранят большое количество персональных данных потребителей. Расширение сбора и использования регуляторами персональных данных может создать проблемы с обеспечением защиты неприкосновенности частной жизни физических лиц.

Счётной палате было предложено проверить, как регуляторы обращаются с персональными данными. В настоящем отчёте анализируется:

  • какие персональные данные, связанные с выполнением их миссии, собирают, используют и раскрывают некоторые федеральные финансовые регуляторы, и

  • в какой степени эти регуляторы обеспечивают конфиденциальность собираемых, используемых и раскрываемых ими персональных данных в соответствии с федеральными требованиями и руководствами.

Счётная палата выбрало для анализа пять регулирующих органов на основании их полномочий по обеспечению соблюдения законов о защите прав потребителей и количества собираемых ими персональных данных. У каждого из них Счётная палата проанализировала документацию по вопросам обеспечения неприкосновенности частной жизни, чтобы определить методы, с помощью которых регуляторы обрабатывают персональные данные; и сравнила основные практики обработки персональных данных, используемые регуляторами, с соответствующими федеральными рекомендациями. Счётная палата провела собеседования с должностными лицами этих регуляторов по вопросам обработки персональных данных. Счётная палата также проанализировала имеющиеся отчеты руководителей служб внутреннего аудита регуляторов, в которых затрагивались вопросы обеспечения неприкосновенности частной жизни.

Что Счётная палата обнаружила

Пять проверенных Счётной палатой федеральных финансовых регуляторов совместно создали более 100 приложений информационных систем, которые регулярно собирают и используют большие объёмы персональных данных (personally identifiable information, PII) - информации, которая может использоваться для обнаружения или идентификации физического лица – в рамках выполнения своих надзорных задач. Эти регуляторы собирают и раскрывают персональные, взаимодействуя с такими организациями, как банки, поставщики услуг, подрядчики и иные третьи стороны, а также с другими федеральными регуляторами и регуляторами штатов США. Регуляторы также собирают персональные данные непосредственно от физических лиц и от финансовых учреждений. Регуляторы используют персональные данные для проведения надзорных проверок финансовых учреждений, а также в рамках получения и реагирования на жалобы и запросы клиентов финансовых учреждений.

Все пять финансовых регуляторов ввели у себя программы обеспечения неприкосновенности частной жизни, в рамках которых обычно принимаются меры для защиты персональных данных в соответствии с ключевыми практиками, описанными в федеральных руководствах.

Например, регуляторы в полной мере реализовали ключевые практики создания программ обеспечения неприкосновенности частной жизни, проведения соответствующих тренировок персонала и внедрения процедур реагирования на инциденты. Четыре регулятора, однако, не в полной внедрили ключевые практики в других областях защиты неприкосновенности частной жизни.

Например, Совет управляющих Федеральной резервной системы (Federal Reserve System, FRS) и Национальное управление кредитных союзов (National Credit Union Administration, NCUA) не вели полный учёт персональных данных для всех принадлежащих им приложений, и не документировала шаги, которые они предприняли для сведения к минимуму сбора и использование персональных данных. Кроме того, Федеральная корпорация по страхованию депозитов (Federal Deposit Insurance Corporation, FDIC) и Федеральная резервная система не ввели охватывающие всю их деятельность  показатели для мониторинга мер и средств обеспечения неприкосновенности частной жизни, а Федеральная резервная система и Управление контролёра денежного обращения (Office of the Comptroller of the Currency, OCC) не в полной мере отслеживали решения руководства программы по выбору и тестированию подобных мер и средств контроля и управления.

До тех пор, пока эти регуляторы не предпримут шаги для устранения указанных недостатков, возможен повышенный риск компрометации персональных данных, которые они собирают, используют и раскрывают.

Что Счётная палата рекомендует

Счётная палата выдала восемь рекомендаций федеральным финансовым регуляторам, направленных на то, чтобы лучше обеспечить конфиденциальность персональных данных, которую они собирают, используют и раскрывают. Федеральная корпорация по страхованию депозитов в целом согласилась с полученной ею рекомендацией. Федеральная резервная система, Национальное управление кредитных союзов и Управление контролёра денежного обращения не выразили согласия или несогласия с полученными рекомендациями, однако каждый из этих регуляторов описал шаги, которые они планируют предпринять для их реализации.

Меры. рекомендуемые руководству финансовых регуляторов

Всего мы выдали восемь рекомендаций, в том числе одну для FDIC, четыре для Федеральной резервной системы, две для NCUA и одну для OCC:

  • Председателю FDIC следует выявить и установить метрики, позволяющие определить, правильно ли реализованы меры и средства обеспечения неприкосновенности частной жизни, и работают ли они должным образом (Рекомендация 1);

  • Председателю Федеральной резервной системы следует определить процесс документирования действий, предпринимаемых Федеральной резервной системой для минимизации сбора и использования персональных данных (Рекомендация 2);

  • Председателю Федеральной резервной системы следует включить информацию из систем, поддерживаемых подрядчиками Федеральной резервной системы, в перечень информационных систем Федеральной резервной системы, которые обрабатывают персональные данные (Рекомендация 3);

  • Председателю Федеральной резервной системы следует выявить и установить метрики, позволяющие определить, правильно ли реализованы меры и средства обеспечения неприкосновенности частной жизни, и работают ли они должным образом (Рекомендация 4)

  • Председателю Федеральной резервной системы следует установить временные рамки для включения информации о подлежащих тестированию мерах и средствах обеспечения неприкосновенности частной жизни в документированную стратегию Федеральной резервной системы по непрерывному мониторингу неприкосновенности частной жизни (Рекомендация 5);

  • Исполнительному директору Национального управления кредитных союзов следует расширить возможности NCUA по выполнению поисковых запросов по информации из реестра содержащих персональные данные информационных систем управления, включая системы под управлением подрядчиков, чтобы упростить регулярные проверки реестра на предмет точности и полноты (Рекомендация 6);

  • Исполнительному директору Национального управления кредитных союзов следует определить процесс документирования действий, предпринимаемых NCUA для минимизации сбора и использования персональных данных (Рекомендация 7);

  • Контролёр денежного обращения должен потребовать от руководителей программы обеспечения неприкосновенности частной жизни OCC проведения анализа и пересмотра документации на промежуточные процессы, такой, как планы обеспечения неприкосновенности частной жизни в системе и планы оценки безопасности (Рекомендация 8).

Источник: Сайт счётной палаты США
https://www.gao.gov/products/gao-22-104551

Комментариев нет:

Отправить комментарий