19 июня, 2013

Правовые основы обеспечения информационной безопасности в банковской сфере


Макоско Андрей

Начальник отдела Департамента безопасности и защиты информации (АКБ «Московский Индустриальный банк» (ОАО))

Перемышленников Николай

Заместитель начальника отдела Департамента безопасности и защиты информации (АКБ «Московский Индустриальный банк» (ОАО))

Нужно ли их знать «безопаснику»?

Для банка, применительно к информационным активам, защиту информации можно разделить по способам осуществления защиты: правовая, организационная и техническая.

Созданием законодательной (правовой) основы в области информационной безопасности занимается каждое государство, стремясь защитить свои информационные ресурсы и технологии. И Россия здесь не исключение. Нормативная правовая база по вопросам информационной безопасности включает в себя:

  • Конституцию Российской Федерации (далее – РФ);
  • Кодексы РФ;
  • Международные договоры и соглашения;
  • Федеральные законы РФ;
  • Указы Президента РФ;
  • Постановления Правительства РФ;
  • Стандарты и технические регламенты;
  • Руководящие документы и другие нормативно-методические документы уполномоченных государственных структур.

Подробный список актуальных на сегодняшний день законодательных актов по информационной безопасности (без учета защиты государственной тайны) для банков будет выглядеть так:

1. Конституция РФ

2. Кодексы РФ:

  1. № 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение  тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни).
  2. № 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера).
  3. № 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников).
  4. № 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности).

3. Международные договоры и соглашения:

  • Базель II и Базель III (в части информационной безопасности).

4. Федеральные законы РФ:

  1. № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г.
  2. № 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г.
  3. № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  4. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г.
  5. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
  6. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г.
  7. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г.
  8. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г.

5. Стратегия и Доктрина:

  1. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.
  2. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.

6. Указы Президента РФ:

  1. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г.
  2. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г.
  3. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г.

7. Постановления Правительства РФ:

  1. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
  2. № 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.
  3. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
  4. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.
  5. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.
  6. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г.
  7. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г.
  8. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г.

8. Международные, британские стандарты и стандарты платежных систем:

  1. PCI DSS  2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0.
  2. PA DSS 2.0. Requirements and security assessment procedures.
  3. ISO/IEC 27001:2005 – «Информационные технологии — Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования».
  4. ISO/IEC 27005:2011 – «Информационные технологии — Методы обеспечения безопасности – Система управления рисками информационной безопасности».
  5. ISO/IEC 17799:2005 – «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности».
  6. BS 7799-1:2005 – Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью.
  7. BS 7799-2:2005 – Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью.
  8. BS 7799-3:2006 – Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ.
  9. BS 25999-1:2006 «Управление непрерывностью бизнеса».
  10. CobiT 5.0 (Control Objectives for Information and Related Technology).

9. Стандарты и технические регламенты

  1. ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
  2. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  3. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи».
  4. ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
  5. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
  6. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
  7. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
  8. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
  9. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
  10. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
  11. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
  12. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
  13. ГОСТ 28195-89. Оценка качества программных средств. Общие положения.
  14. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения.
  15. ГОСТ 28806-90. Качество программных средств. Термины и определения.
  16. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.
  17. ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.
  18. ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  19. ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  20. ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  21. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
  22. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
  23. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
  24. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
  25. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
  26. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  27. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
  28. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств – источников индустриальных радиопомех.
  29. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
  30. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
  31. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
  32. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
  33. ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
  34. МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
  35. МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
  36. Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
  37. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
  38. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
  39. РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
  40. СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
  41. СНиП 23-03-2003. Защита от шума.
  42. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
  43. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
  44. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
  45. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
  46. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показа­телей качества.
  47. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
  48. ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
  49. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
  50. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
  51. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече­ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
  52. ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
  53. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
  54. ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности.
  55. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
  56. ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
  57. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.
  58. Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000.
  59. Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000.
  60. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03.
  61. Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003.
  62. Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009.

10. Документы Банка России:

  1. № 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г.
  2. № 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г.
  3. № 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г.
  4. Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г.
  5. СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
  6. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.  Аудит информационной безопасности».
  7. СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской  системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх».
  8. РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС­-1.0».
  9. РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  10. РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
  11. РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации».
  12. РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

11. Документы АРБ:

  1. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г.
  2. Стандарт «Система управления непрерывностью деятельности кредитных организаций  банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г.

12. Документы Минкомсвязи РФ:

  1. № 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г.

13. Документы ФСТЭК России:

  1. № 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
  2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г.
  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г.
  4. № 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г.
  5. № 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г.
  6. № 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г.
  7. № 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11.
  8. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп.
  9. № 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02.
  10. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп.
  11. № 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г.
  12. Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г.

14. Документы ФСБ России:

  1. №152 Приказ ФАПСИ «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» от 13.06.2001 г.
  2. № 66 Приказ Федеральной службы безопасности Российской Федерации  «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» от 9 февраля 2005 г.
  3. № 149/6/6-622 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных  от 2008 г.
  4. № 149/54-144 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации  от 2008 г.
  5. № 795 Приказ ФСБ «Об утверждении требований к форме квалификационного сертификата ключа проверки электронной подписи» от 27.12.11 г.
  6. № 796 Приказ ФСБ «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» от 27.12.11 г.

 

Правовая основа является обязательной для изучения всеми специалистами по информационной безопасности Банка, как показывает практика полностью полагаться на юридические подразделения в этом вопросе не стоит. Отдельные документы носят ознакомительный характер, другие необходимо знать достаточно подробно – это зависит от выбранной сферы деятельности. Тем не менее знания в правовой области защиты информации, конечно же, не отменяют обязательности знаний и навыков в областях организационной и технической защиты информации.

Как и большинство банков, мы сталкиваемся с проблемой поиска квалифицированных кадров в области информационной безопасности. На рынке труда можно найти уже готового специалиста, с соответствующими требованиями к зарплате. Второй подход – обучать своих (в том числе только закончивших ВУЗ), получается выигрыш с точки зрения зарплаты, но проигрыш с точки зрения затрат времени и ресурсов на обучение, кроме того в соответствии с реалиями нашей жизни, такие сотрудники обучившись специальности достаточно быстро начинают искать новое, более высокооплачиваемое место работы. У каждого из этих подходов есть право на «жизнь».

Современные высшие учебные заведения выпускают специалистов по информационной безопасности, достаточно слабо подготовленных к работе в Банке. И если знания по технической и организационной защитам информации в некоторой степени присутствуют, то знаний по правовой защите информации практически нет.

Подводя итог, – специалисты по информационной безопасности, обладающие знаниями в области законодательства более востребованы среди банков и могут рассчитывать на более высокую зарплату и карьерный рост. Хочется верить, что те изменения в системах обучения студентов вузов в области информационной безопасности, которые сейчас проводятся, со временем дадут необходимый результат.

 

Смотрите также

Подпишись на новости!
Подписаться