BIS Journal №2(37)/2020

19 мая, 2020

Вредные советы

Ещё Григорий Остер говорил, что есть ситуации, когда нужно давать не полезные, а вредные советы. Люди все сделают наоборот, и получится как раз правильно. Вот и мы попробуем. В этой рубрике мы будем предлагать материалы, разборы, трактовки, альтернативные пути реализации «проблемных» регуляторных требований по ИБ. Начнём с тех, которые выберем на своё усмотрение, а дальше надеемся, будут поступать и вопросы от читателей.

В каких случаях банки обязаны использовать сертифицированные СКЗИ при передаче ПДн по каналам связи общего пользования, а в каких этого можно не делать?

 

Что вы точно должны по законодательству:

Подпункт 13 г), включая ссылки на него из пунктов 14, 15, 16, Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в соответствии с частью 3 статьи 19 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее – Закон) устанавливает необходимость использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Статья 19 часть 4 Федерального закона «О персональных данных» от 27.07.2006№152-ФЗ определяет, что состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии требований к защите персональных данных (далее – ПДн) устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК и ФСБ России), в пределах их полномочий.

 

По линии ФСТЭК:

В соответствии с требованиями ЗИС.3 Приказа ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК №21) и Приказа ФСТЭК России от 11.02.2013  №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – Приказ ФСТЭК №17), должна обеспечиваться защита ПДн от раскрытия, модификации и навязывания (ввода ложной информации) при её передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

Здесь надо отметить, что ФСТЭК поддерживает тенденцию регуляторов задавать базовый набор требований ИБ, который организация при разумном формализованном обосновании вправе адаптировать к своей технологической и экономической специфике (см. п. 10 Приказа ФСТЭК №21 и п. 23 Приказа ФСТЭК России от 11.02.2013 №17).

Т.е. если по всей форме разработать и утвердить у руководства банка обоснование, почему выполнить это требование технически невозможно или экономически нецелесообразно, но применить компенсационные меры, направленные на минимизацию вероятности или потерь от реализации соответствующих угроз. Более жёсткий сценарий -  вообще принять регуляторные и операционные риски, связанные с невыполнением этих требований, но тогда надо быть готовым к возможным последствиям согласно части 6 (и части 2 в некоторых случаях) статьи 13.12, части 1 статьи 19.5 КоАП РФ, а также перспективам возмещать клиентам средства, если угрозы безопасности реализуются, и клиент обратится в суд. Если банк оценивает совокупные затраты на выполнение требования регулятора меньше возможных потерь от реализации угроз от его невыполнения, то риск скорее всего будет обработан именно путём принятия.

 

По линии ФСБ:

Пункт 2 «Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утверждённых руководством 8 Центра ФСБ России 31.03.2015 № 149/7/2/6-432 (далее – Методические рекомендации), указывает, что использование средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности ПДн необходимо, если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, в этом же пункте отнесена передача ПДн по каналам связи, не защищённым от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования).

Кроме того в том же пункте указано, что для обеспечения безопасности ПДн при их обработке в информационных системах должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

В силу Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утверждённым постановлением Правительства Российской Федерации от 15.05.2010 №330, на которое ссылается Информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701, оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств, в которых они реализованы, а также средств контроля эффективности защиты информации, используемых в целях защиты государственного информационного ресурса и (или) ПДн, осуществляется в форме обязательной сертификации.

 

ФСБ даёт рекомендации. Для кого они обязательны?

Указанные Методические рекомендации согласно разделу Введение предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Закона, в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке ПДн в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учётом содержания ПДн, характера и способов их обработки.

Во Введении также указано, что настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам ИСПДн, принявшим решение об использовании СКЗИ для обеспечения безопасности ПДн.

Если банк не подпадает под указанные выше условия и(или) решения об использовании СКЗИ для обеспечения безопасности ПДн не принимал, Методические рекомендации для него не являются обязательным к исполнению документом, а соответственно и
пункт 2 Методических рекомендаций не является обязательным к выполнению в банке.

 

А как быть, если персональные данные обрабатываются в платёжной системе (например, ДБО)?

Если передача ПДн осуществляется системой, выполняющей банковский платёжный технологический процесс [1], то в соответствии с действующим законодательством Российской Федерации и требованием Б.3 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» банк устанавливает критерии отнесения автоматизированных информационных систем к ИСПДн банка. При этом Банком России в пункте 7.10.3 СТО БР ИББС-1.0-2014 дана рекомендация не относить к ИСПДн системы, реализующие банковский платёжный технологический процесс. Весомость этого аргумента усилится, если в своё время банк ввёл у себя комплекс стандартов Банка России приказом («присоединился» к стандарту).

Система, выполняющая банковский платёжный технологический процесс, попадёт в область действия Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение №382-П).

Согласно пункту 2.9.1 Положения №382-П, только в случае если оператор по переводу денежных средств, банковский платёжный агент (субагент), оператор услуг платёжной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа. Там же указано, что обеспечение защиты ПДн с помощью СКЗИ должно осуществляться в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (далее – Приказ №378).

В соответствии с пунктом 16 с учётом ссылки из него на пункт 5г Приказа №378 для защиты ПДн при их обработке в ИСПДн необходимо использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Этот пункт снова приводит нас к Методическим рекомендациям, о применимости которых было сказано выше.

 

[1] В терминологии пункта 3.28 Стандарта Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – СТО БР ИББС-1.0-2014).

Смотрите также