Бюро кредитных историй: утечка невозможна

Бюро кредитных историй: утечка невозможна

Максим Викторович Подпесный, технический директор Национального бюро кредитных историй (БКИ), рассказал редакции о системе защиты информации, применяемой в БКИ.

- В настоящее время многие небезосновательно опасаются утечек данных, не исключая и того, что в какой-то момент и данные БКИ могут оказаться на Митинском рынке. Скажите, пожалуйста, что делается для того, чтобы этого не произошло?

- Система защиты информации у нас достигается неслькими способами. Первый - это шифрование информации. Вся приходящая к нам информация зашифрована, кроме тех случаев, когда она находится на этапе обработки. Банки подписывают и присылают нам информацию в зашифрованном виде, наша автоматизированная система расшифровывает ее, проверяет ЭЦП кредитной организации. После обработки расшифрованная информация уничтожается, копия ее хранится только в нашей базе данных. Таким образом, мы сделали все, чтобы исключить человеческий фактор на этапе получения, обработки и помещения онфиденциальной информации в СУБД. Доуп к информации в УБД осуществляется через сервер приложений по защищенному каналу передачи данных, трого регламентирован и протоколируется.

Второй способ защиты состоит в том, что данные находятся не в офисе компании, а в определенном месте в специальной опечатанной тойке. При таком способе защиты мы заключаем договор с компанией, обеспечивающей физическую безопасность наших данных. Доступ к оборудованию в этом случае строго регламентирован и ограничен узким кругом лиц, поэтому несанкционированно завладеть носителем практически нереально.

Третий способ представляет собой шифрование всей архивируемой информации. Таким образом, любая информация за пределами комплекса хранится только в зашифрованном виде.

Программно-аппаратный комплекс обработки и хранения кредитных историй граждан прошел сертификацию ФСТЭК России на соответствие заданию по безопасности и имеет ОУД1 (оценочный уровень доверия усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехко-миссия России, 2002 г.). Получен сертификат соответствия №1347 по результатам сертификационных испытаний.

- Какими нормативными актами Вы руководствуетесь при организации информационной безопасности?

- Прежде всего, мы руководствуемся ФЗ "О кредитных историях". В нем сказано, что вся информация, хранящаяся в БКИ, защищается сертифицированными российскими криптосредствами. Ориентируемся мы и на ФЗ "Об ЭЦП", и на ФЗ "О персональных данных".

- Какие технические средства в бюро кредитных историй применяются для защиты информации?

- При передаче данных у нас используется криптография в двух вариантах. Первый - создание ЭЦП, шифрование данных и защита передаваемых данных по Интернету с использованием сертифицированных российских криптоалгоритмов. Второй вариант применяется в качестве защиты тех данных, которые уходят в архивную информацию. Мы используем продукт компании SесurIT - Zbackup с криптографическим модулем "Криптон" и российским шифрованием. При обращении к архивной ленте и извлечении информации из этого комплекса все данные находятся в зашифрованном виде. Так что даже если злоумышленник вскроет стойку и похитит архивную ленту, он не сможет воспользоваться информацией.

Доступ к комплексу для обеспечения административных функций защищается сертифицированными продуктами компании "С-Терра СиЭсПи".

- Как Вы выбираете поставщиков и есть ли задачи, для решения которых Вы пока не нашли производителей?

- Еще до создания БКИ акционеры в качестве поставщика основного ПО, осуществляющего обработку кредитных историй, выбрали компанию "Транс Юнион". Соответственно, весь комплекс строился вокруг ПО данного производителя. Требования к ОС, аппаратному комплексу, базам данных, приложениям диктовала компания "Транс Юнион". БКИ на тот момент представляло собой молодую компанию, персонал еще в полной мере не знал всей системы. В таких случаях обычно не отходят от требований поставщика основного ПО, непосредственно осуществляющего обработку данных. Поэтому при последующем выборе поставщиков мы ориентировались на те компании, которые могли бы оперативно и в полной мере поставлять то, что требовал производитель основного ПО. Однако в дальнейшем мы уже сами будем выбирать себе поставщиков. На данный момент мы используем ICRS - систему, которая обрабатывает кредитные истории и обеспечивает фильтрацию данных, корректность заполнения информации и т.п. Сейчас мы используем аппаратное обеспечение компании HP, работаем на ОС SuSe Enteprise Linux и ПО компании IBM. При этом пока выбор прикладного и системного ПО у нас ограничен, и мы следуем рекомендациям компании "Транс Юнион".