Банки поменяли отношение к защите персональных данных

Эльман Бейбутов
ведущий эксперт
центра информационной безопасности
компании "Инфосистемы Джет"

Анализ количества проектов по защите персональных данных позволяет сделать вывод о том, что банковские организации – самые активные представители этого направления информационной безопасности. Есть несколько обоснований такого распределения сил. На мой взгляд, основным является тот факт, что кредитные организации многие годы обязаны выполнять требования безопасности Банка России, снижать риски информационной безопасности в операционной деятельности, а также имеют опыт лицензирования в ФСБ России.

С появлением 21.06.2010 обновленного Комплекса документов СТО БР ИББС и письма-обращения Банка России и Ассоциаций банков (№ 01-23/3148 от 28.06.2010) у организаций банковской сферы появился альтернативный способ выполнения требований по защите персональных данных. В статье будут упомянуты основные отличия путей выполнения ФЗ-152 и предложен подход перевода текущих работ по защите персональных данных (ПДн) на новую нормативную базу.

Преимущества отраслевого стандарта

Основным преимуществом реализации требований по Комплексу документов БР ИББС взамен нормативно-правовых актов ФСБ России, Роскомнадзора и ФСТЭК России является возможность существенно уменьшить число автоматизированных банковских систем (АБС), подпадающих под определение информационных систем персональных данных (ИСПДн). Следуя СТО БР ИББС-1.0-2010, к ИСПДн относятся АБС, целью создания которых являлась обработка ПДн. Стоит отметить, что цель создания системы банк задает самостоятельно.

В Комплексе документов БР ИББС существенно изменен порядок категорирования ПДн и     классификации     ИСПДн.

Предложенный подход завязан на четких определениях специальных, биометрических, обезличенных и общедоступных ПДн и не зависит от объема записей в ИСПДн. Это упрощает процесс классификации и выбора требований по обеспечению безопасности ПДн.

Также для организаций банковской сферы разработана отраслевая модель угроз. Банк вправе ее принять без изменений, что позволяет избежать трудоемкой аналитической работы.

Комплекс документов БР ИББС вносит ясность в вопросы аттестации ИСПДн и получения лицензии ФСТЭК России. В пункте 9.6 СТО БР ИББС-1.0-2010 снимается необходимость проведения аттестации и лицензирования, если проводятся мероприятия по обеспечению безопасности ИСПДн для собственных нужд банка.

Однако остается вопрос о необходимости применения сертифицированных средств защиты информации (СЗИ). На текущий момент документы открытого доступа содержат требования об обязательной "оценке соответствия" СЗИ. Причем такую оценку в соответствии с документами ФСТЭК России необходимо проводить и для наложенных, и для встроенных СЗИ, а по Комплексу документов БР ИББС – только для наложенных. После снятия грифа конфиденциальности с Постановления Правительства РФ № 330 от 12.05.2010 понятие "оценка соответствия" может получить однозначную трактовку. По всей видимости, уточнение будет введено не в пользу операторов ПДн.

В банковской сфере свершился переворот

Во второй половине октября 2010 г. Банк России провел опрос кредитных организаций на предмет введения в действие комплекса документов БР ИББС. Заявленная цель сбора сведений и формулировки вопросов однозначно давали понять банковским организациям, что сам переход на отраслевые стандарты – дело решенное, а при ответе следует только уточнить ключевые сроки.

Обширные обсуждения предоставленной банкам возможности выбора пути защиты ПДн в ходе конференций Ассоциаций российских банков, третьего съезда директоров по информационной безопасности произвели лавинный эффект. На прошедшей 17–19 ноября конференции InfoSecurity было объявлено, что спустя три недели после проведенного опроса 40% банковских организаций уже приняли Комплекс документов БР ИББС в качестве обязательного. К концу года ожидается, что банков, оставшихся на нормативной базе ФСТЭК России, ФСБ России, будет меньшинство.

Что делать с текущими проектами по ЗПД?

Многие банки провели первые этапы работ по защите ПДн, но далеко не все приступили к внедрению разработанных организационных и технических мероприятий. При переходе на отраслевой стандарт важно понимать, что результаты проделанной работы будут удовлетворять и требованиям Банка России, а границы внедрения СЗИ могут быть существенно сокращены.

Например, в среднем по размерам в банке может быть выявлено около 50 АС, из которых порядка 30 в своей работе используют ПДн. Продолжение работ по нормативно-правовым актам ФСБ России, ФСТЭК России потребовало бы разработки моделей угроз, классификации и полного выполнения требований безопасности информации для всех 30 АС. Но с учетом ввода в действие банком комплекса документов БР ИББС можно применить дальнейшую фильтрацию АС на основе заданных банком целей создания систем. Таким образом, будет составлен перечень ИСПДн из 12 АС. Такой подход существенно снизит затраты банка на защиту ПДн и добавит ресурсов на реализацию других требований, например PCI DSS.