Изменения СТО БР ИББС-1.0-2014 и оценка защиты персональных данных
С 1 июня 2014 года введена в действие новая редакция СТО БР ИББС-1.0-2014. Предыдущая версия стандарта Банка России давала банкам ряд существенных преимуществ в части соответствия требованиям законодательства в области обработки и защиты персональных данных. Открытым остался вопрос, сохранились ли эти преимущества в новой редакции СТО БР ИББС-1.0-2014.
С момента введения в действие Стандарта Банка России СТО БР ИББС-1.0-2014 (Далее - Стандарт) прошло достаточно времени, чтобы в свет вышли различные обзоры изменений, коснувшихся новой редакции Стандарта. Целью данной статьи является анализ изменений СТО БР ИББС-1.0-2014 с точки зрения положительных и отрицательных моментов применения Стандарта в качестве меры по выполнению требований законодательства в области персональных данных.
ВЫПОЛНЕНИЕ №152-ФЗ ПОСРЕДСТВОМ СТО БР ИББС-1.0-2014
«Письмо шестерых» все еще опубликовано на официальном сайте Банка России вместе с новым стандартом СТО БР ИББС-1.0-2014, однако, в самом письме речь идет о четвертой редакции СТО БР ИББС-1.0-2010, т.е. письмо устарело. Вопрос – зачем его публиковать, если оно распространяется на предыдущие редакции Стандарта, которые официально отменены? Возможно, затем, что нового письма все еще нет, да и старое письмо формально не отменено. Но, так или иначе, использовать опубликованное письмо для тех же целей с новым Стандартом не получится.
Единственной найденной отсылкой к применению Стандарта как инструмента выполнения требований законодательства в области персональных данных является текст Информационного сообщения Банка России от 30 мая 2014 года, опубликованного в выпуске «Вестника Банка России» №48-49 (1526-1527) от 30 мая 2014 года, в котором говорится, что документы Комплекса БР ИББС рекомендованы для выполнения организациями банковской системы Российской Федерации требований законодательства Российской Федерации в области персональных данных.
Также в этом выпуске, в Распоряжении Банка России от 17 мая 2014 года №Р-399, указано, что документы Комплекса БР ИББС должны были быть направлены «для ознакомления в Федеральную службу безопасности Российской Федерации, Федеральную службу по техническому и экспортному контролю, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, Ассоциацию российских банков и Ассоциацию региональных банков России». При этом ни Роскомнадзор, ни ФСТЭК России, ни ФСБ России, ни сам Банк России пока не публиковали в открытых источниках никакой информации о результатах рассмотрения этих документов.
Таким образом, на сегодняшний день организации БС РФ, принявшие Стандарт, все равно должны выполнять прямые требования законодательства по защите персональных данных, изложенные в Приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Далее – Приказ ФСТЭК России №21).
А также − в Приказе Федеральной службы безопасности России от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Далее - Приказ ФСБ №378).
Учитывая вышесказанное, возникает вопрос о целесообразности принятия в организациях БС РФ документов Комплекса БР ИББС в качестве обязательных. До внесения изменений в законодательство РФ в области защиты и обработки персональных данных СТО БР ИББС-1.0-2010 можно было использовать в качестве меры по замещению требований регуляторов, но теперь, к сожалению, эта возможность исчезла.
АРГУМЕНТЫ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ
Отдельного внимания заслуживает изменение Стандарта в пункте 7.11.4, в котором Банк России прямо говорит: «С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей (Далее – угрозы НДВ) в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ». В соответствии с пунктом 6 Постановления Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП № 1119) к таким угрозам относятся угрозы 1-го и 2-го типа.
Кроме того, согласно пункту 7.11.5 Стандарта, Модель угроз безопасности персональных данных формируется по результатам оценки рисков, и включаются в нее только те угрозы, для которых соответствующие риски информационной безопасности оказались выше приемлемого уровня. При этом для оценки рисков можно использовать уже знакомую всем действующую методику Центрального Банка – РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности». Такой подход может позволить организациям банковской системы РФ достаточно легко обосновать неактуальность угроз 1-го и 2-го типа.
Безусловно, и без использования документов Комплекса БР ИББС банки могут признать угрозы 1-го и 2-го типа неактуальными - в соответствии с пунктом 6 ПП № 1119 у них есть такое право, как у операторов персональных данных. Тем не менее те банки, которые признают для себя Стандарт как обязательный, получают несколько дополнительных аргументов, повышающих вероятность успешно отстоять свою позицию при диалоге с регулятором в ходе плановых или неплановых проверок соответствия требованиям закона о персональных данных.
Теперь давайте вспомним, как типы угроз влияют на определение уровней защищенности персональных данных, для чего обратимся к уже известной всем Таблице 1, подготовленной на основании ПП №1119.
Таблица 1. Определение уровней защищенности
| Тип ИСПДн |
Количество субъектов ПДн |
Тип угрозы |
| Тип 1 |
Тип 2 |
Тип 3 |
| ИСПДн-С |
больше 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
| меньше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| ИСПДн-С-СО |
больше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| меньше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| ИСПДн-Б |
больше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| меньше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| ИСПДн-Б-СО |
больше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| меньше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| ИСПДн-И |
больше 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
| меньше 100 000 |
УЗ-1 |
УЗ-3 |
УЗ-4 |
| ИСПДн-И-СО |
больше 100 000 |
УЗ-1 |
УЗ-3 |
УЗ-4 |
| меньше 100 000 |
УЗ-1 |
УЗ-3 |
УЗ-4 |
| ИСПДн-О |
больше 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
| меньше 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
| ИСПДн-О-СО |
больше 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
| меньше 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
Сокращения:
| УЗ |
Уровень защищенности; |
| ИСПДн-С |
Информационная система, обрабатывающая специальные категории персональных данных субъектов, не являющихся сотрудниками оператора;
|
| ИСПДн-С-СО |
Информационная система, обрабатывающая специальные категории персональных данных субъектов, являющихся сотрудниками оператора; |
| ИСПДн-Б |
Информационная система, обрабатывающая биометрические категории персональных данных субъектов, не являющихся сотрудниками оператора; |
|
ИСПДн-Б-СО
|
Информационная система, обрабатывающая биометрические категории персональных данных субъектов, являющихся сотрудниками оператора;
|
|
ИСПДн-И
|
Информационная система, обрабатывающая иные категории персональных данных субъектов, не являющихся сотрудниками оператора;
|
|
ИСПДн-И-СО
|
Информационная система, обрабатывающая иные категории персональных данных субъектов, являющихся сотрудниками оператора;
|
|
ИСПДн-О
|
Информационная система, обрабатывающая общедоступные категории персональных данных субъектов, не являющихся сотрудниками оператора;
|
|
ИСПДн-О-СО
|
Информационная система, обрабатывающая общедоступные категории персональных данных субъектов, являющихся сотрудниками оператора
|
Как видно из таблицы, если угрозы 1-го и 2-го типа признаны неактуальными, организации БС РФ должны обеспечить защищенность персональные данных по требованиям для уровня защищенности 4 или 3. Те же уровни будут актуальными, даже если в банке ведется обработка биометрических персональных данных. Для выполнения этих требований Банк России рекомендует реализацию положений Стандарта, установленных в разделах 7 и 8.
Только в случаях, когда банк обрабатывает значительное количество (больше 100 000) специальных категорий персональных данных субъектов, не являющихся сотрудниками Банка, появляется необходимость защиты персональных данных по 2-му уровню защищенности. Например, на Западе имеется практика, когда кредитная стратегия банка или скоринговые карты требуют собирать сведения о состоянии здоровья или национальности заемщика для принятия решения о выдаче кредита отдельной категории граждан. Но в российских банках я такую практику пока не встречал. Другими словами, если 2-й уровень защищенности в российских банках и будет встречаться, то только в строго исключительных случаях.
Тем не менее, напомню, что для обеспечения 2-го уровня защищенности персональных данных необходимо выполнить дополнительные требования Стандарта, изложенные в пункте 7.11.6, большая часть из которых, конечно же, совпадает с аналогичными требованиями Приказа ФСТЭК №21. Наиболее существенными требованиями являются: применение систем обнаружения вторжений, обеспечение доверенной загрузки средств вычислительной техники, контроль целостности, сегментирование информационной системы. Но, несмотря на то, что требования Стандарта и требования Приказа ФСТЭК №21 для 2-го уровня защищенности большей частью совпадают, имеются определенные различия. Например, в Приказе ФСТЭК №21 содержатся более жесткие требования к защите среды виртуализации.
Рассмотрим еще одно значимое обстоятельство: в вопросе применения сертифицированных средств защиты информации Стандарт (см. пункт 7.11.8) не выдвигает собственных требований или рекомендаций, а прямо ссылается на Приказ ФСТЭК №21, который допускает использование несертифицированных средств защиты информации для обеспечения 3-го и 4-го уровней защищенности, если угрозы НДВ неактуальны.
Таким образом, единственное преимущество, которое дает СТО БР ИББС-1.0-2014 с точки зрения свободы в использовании несертифицированных средств защиты – дополнительная аргументация позиции Банка, признавшего для себя угрозы 1-го и 2-го типов неактуальными.
СТО БР ИББС-1.0-2014 И СКЗИ
Стоит отметить, что требования Центрального Банка РФ к классам СКЗИ, применяемых для защиты персональных данных, являются более жесткими, чем требования Приказа ФСБ №378. Так, организациям БС РФ, избравшим путь выполнения требований Банка России в части защиты персональных данных, необходимо всегда использовать СКЗИ класса не ниже КС2. Однако, организациям БС РФ, решившим придерживаться только требований законодательства в области ПДн, для обеспечения 4-го, 3-го и 2-го уровней защищенности (при условии, что актуальны только угрозы 3-го типа) в соответствии с подпунктом «в» пункта 9, пунктом 18 и пунктом 21 Приказа ФСБ №378 разрешается использование СКЗИ класса КС1 и выше.
Напомню, что основные отличия между КС2 и КС1 заключаются в том, что при использовании СКЗИ класса КС2 необходимо применять средства обеспечения доверенной загрузки, таких как ПАК «Соболь», «Аккорд-АМДЗ» и т.д., которые не всегда совместимы c некоторыми технологиями, например с blade-серверами, виртуальной инфраструктурой или мобильными устройствами. Другими словами, в целом ряде случаев использование СКЗИ класса КС2 невозможно или связано с рядом серьезных проблем.
С другой стороны, хотя это требование Стандарта является обязательным и более жестким, оно оценивается только одним частным показателем (из шестнадцати, входящих в групповой показатель М6). Таким образом, несоблюдение данного требования не может кардинально отразиться на итоговом уровне соответствия. Более того, как уже было сказано выше, согласно требованиям законодательства применение СКЗИ класса КС1 является допустимым. Таким образом, при применении СКЗИ класса КС1 или частичном применении СКЗИ класса КС2 наряду с классом КС1 и надлежащем выполнении остальных требований и рекомендаций Стандарта, организации БС РФ в любом случае не нарушают обязательные требования законодательства и при этом имеют все шансы получить рекомендуемый итоговый уровень соответствия по требованиям Банка России.
ЗНАЧИМОСТЬ ДОКУМЕНТИРОВАНИЯ
В Стандарте заметно изменилась значимость документирования процедур обеспечения и управления ИБ. Так, если раньше, не имея соответствующего нормативного документа, Банк все же реализовывал на практике тот или иной процесс обеспечения безопасности в соответствии с требованиями Стандарта, он мог получить за соответствующий частный показатель ИБ оценку 0,5.
Теперь, даже если требование фактически будет идеально выполнено, но нормативный документ не будет разработан, за этот частный показатель Банку не удастся поставить оценку больше 0. Это относится к частным показателям категории 1, где оценивается как степень документирования, так и степень выполнения. Для частных показателей ИБ категории 2, где оценивается только степень документирования требований ИБ, ситуация, конечно, та же самая - частично установленное в документах требование приведет к получению оценки 0.
Если говорить о количестве документов, необходимых для выполнения требований законодательства по обработке и защите персональных данных, и для выполнения требований Стандарта, относящимся к той же области, то ключевое различие между этим двумя подходами заключается в том, что в подходе Банка России используется процессный характер. Если сравнить требования законодательства и СТО БР ИББС-1.0-2014, то можно увидеть, что для соответствия Стандарту недостаточно просто наличия какого-либо документа.
Необходимо определить, выполнять, регистрировать и контролировать процедуру, связанную с таким документом. Например, в соответствии с ПП-1119, подпунктом «в» пункта 13 необходимо утверждение руководителем документа, определяющего перечень лиц, имеющих доступ к персональным данным, а в соответствии с пунктом 7.10.7 Стандарта, в организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к персональным данным. Как видно из приведенного примера, требование, по своей сути, является одним и тем же, но количество и состав документов будет отличаться.
Учитывая вышеизложенное, выполнение требований Стандарта к обработке и защите персональных данных, в части документирования защиты и обработки ПДн, видится более трудоемким, чем выполнение прямых требований законодательства.
АБС КАК ИСПДН
Хотелось бы обратить внимание еще на одно значительное изменение. Так, раньше организации БС РФ могли не относить свои АБС, реализующие банковские платежные технологические процессы, к ИСПДн, т.к. это было явно прописано в предыдущей редакции Стандарта. Таким образом, организации БС РФ имели возможность вывести такие АБС из-под действия требований законодательства по персональным данным и, тем самым, значительно сократить свои ресурсы на приведение АБС в соответствие с требованиями Федерального закона №152-ФЗ «О персональных данных».
В новой версии Стандарта ситуация несколько изменилась. Банк России не стал предъявлять прямых требований по включению или исключению АБС из состава ИСПДн, а обтекаемо написал в пункте 7.10.3 Стандарта, что в организациях БС РФ должны быть установлены критерии отнесения АБС к ИСПДн, т.е. Банк России оставляет возможность сделать выбор непосредственно самим банкам.
Безусловно, в случае ошибочного решения по исключению АБС из перечня своих ИСПДн организации БС РФ не смогут апеллировать к требованиям или рекомендациям Банка России, и, конечно, будут нести ответственность перед регулятором в области защиты ПДн самостоятельно.
ВЫВОДЫ
Итак, Комплекс БР ИББС может дать банкам дополнительные аргументы для обоснования неактуальности угроз 1-го и 2-го типа перед регулятором по защите прав субъектов ПДн.
Следствием признания неактуальными угроз 1-го и 2-го типа являются возможность фактического выполнения требований только для уровней защищенности 3 или 4, и возможность применения более широкого спектра средств защиты информации.
К негативным особенностям принятия Стандарта можно отнести более жесткие требования по применению СКЗИ для организаций БС РФ, выполняющих требования Стандарта, чем для организаций, исполняющих прямые требования законодательства. Но, учитывая действующую Методику оценки соответствия требованиям Стандарта, такую особенность можно называть только условно негативной.
Кроме того, стоит обратить внимание на исчезновение прошлых явных преимуществ Стандарта:
- исчезновение явной возможности исключения АБС, реализующих банковские платежные технологические процессы, из состава ИСПДн;
- на сегодняшний день возможность использования Стандарта в целях замещения прямых требований регуляторов по защите ПДн, как это было раньше, отсутствует.
Безусловно, Стандарт носит рекомендательный характер, и принимать (или не принимать) документы Комплекса БР ИББС в качестве обязательных каждый банк решает для себя сам, взвешивая все «за» и «против».
Но в заключение все же следует отметить, что Стандарт разработан специально для Банков и учитывает их отраслевую специфику. На сегодняшний день существует большое количество всевозможных законодательных и отраслевых требований по защите информации, которые банки обязаны выполнять. Кроме рассмотренного в настоящей статье Федерального Закона №152-ФЗ «О персональных данных» существует, например, Федеральный Закон №161-ФЗ «О национальной платежной системе».
Оба федеральных закона предъявляют ряд требований к защите информации, которые где-то пересекаются, где-то имеют определенные нюансы совместного применения. В ходе разработки новой версии Стандарта Банк России постарался учесть эти требования, и гармонизировать их с уже привычным многим текстом СТО БР ИББС-1.0-2010. И независимо от того, принимает банк Комплекс БР ИББС в качестве обязательного или нет, должное выполнение требований и рекомендаций Стандарта может позволить организациям БС РФ выполнить разнообразные требования различных регуляторов в рамках одной системы обеспечения информационной безопасности.
(1).png)