Ориентация на угрозы

НЕ С ЧИСТОГО ЛИСТА

Банкам, поскольку они являются операторами персональных данных клиентов и сотрудников, Федеральный закон от № 152-ФЗ «О персональных данных» предписывает внедрение соответствующей системы информационной защиты − комплекса организационных мер и технических средств. Следует отметить, что многие банки заранее были готовы к выполнению этих требований: в них на протяжении четырёх лет действовала система обеспечения информационной безопасности, соответствующая стандартам Банка России.

Таким «продвинутым» банкам нерационально создавать новую, специальную систему защиты персональных данных «с чистого листа». Это и дополнительные затраты, и риск неустойчивой работы или даже конфликта разных контуров защиты, функции которых часто пересекается. Банкам-лидерам − в сфере информационной безопасности − целесообразно создавать систему защиты персональных данных как фрагмент общего контура IT-обороны.

Эту работу облегчает то обстоятельство, что защиту персональных данных можно выстраивать не только в соответствии с документами ФСТЭК и ФСБ России, разработанными для четко определенных классов информационных систем персональных. Нормы российского законодательства в этой области позволяют действовать на основе так называемого риск-ориентированного подхода.

Информационные системы персональных данных классифицируются как специальные, для них разрабатывается модели существующих угроз и нарушителей, осуществляется формирование требований к системам защиты. Построение систем защиты ведётся с учетом угроз при работе информационных систем персональных данным, специфических для банков.

УДОБСТВА ГРУППИРОВКИ

Указанный подход нашел отражение в нормативных документах Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» – Комплексе БР ИББС. Отметим, что они были разработаны Банком России при участии Ассоциации российских банков и Ассоциации региональных банков России и согласованы с Роскомнадзором, ФСТЭК и ФСБ России.

Банковская инфраструктура обслуживает много различных бизнес-процессов, в ходе которых происходит обработка персональных данных. Среди них есть процессы, типичные по категориям и объемам персональных данных. Существуют различные группы: «АБС» − основная автоматизированная система, включающая модули расчетов, а также «кадровое делопроизводство», «контроль и отчетность», «обслуживание клиентов» и «справочники», содержащие общедоступные персональные данные.

Следует обратить особенное внимание на группы, оператором персональных данных в которых является внешний контрагент. Например, организация, используемая банком для денежных переводов. В таких случаях защита персональных данных возлагается на эту стороннюю организацию. Объединение в группы информационных систем, обрабатывающих персональные данные, позволяет выстраивать типичные схемы информационной защиты.

Логичным является создание типового технического задания, по защите персональных данных для различных групп информационных систем, исходя из актуальной для банка модели угроз и нарушителей. Такое типовое техническое задание должно содержать требования как общие для всех групп информационных систем, так и специфические для каждой группы.

ОТ ОБЩЕГО К СПЕЦИФИКЕ

К общим требованиям к системам защиты персональных данных банка можно ряд организационных мер:

• назначение ответственного за обеспечение информационной безопасности;
• наличие проектной, эксплуатационной и организационно-распорядительная документации, в том числе инструкции для персонала, описывающая системы защиты и меры по обеспечению безопасности персональных данных;
• контроль по их реализации на всех стадиях цикла информационных систем;
• порядок организации доступа в помещения, в которых находятся технические средства информационных систем, обрабатывающих персональные данные, и носители информации.

Технические рекомендации − наличие нескольких подсистем:

• идентификации и проверки подлинности пользователей посредством пароля длиной не менее 6 буквенно-цифровых символов, а также контроля доступа к портам, устройствам ввода-вывода и съемным носителям;
• регистрации и учета событий, связанных с входом-выходом пользователей, обеспечения сохранности регистрационных данных при переполнении отведенных ресурсов и их защиты от уничтожения, модификации, подмены;
• соблюдения целостности средств защиты, в том числе и неизменности программной среды;
• антивирусной защиты, обеспечивающей защиту от вредоносного программного обеспечения.

К специальным требованиям можно отнести, например, наличие подсистемы криптографической защиты при передаче данных по телекоммуникационным каналам и другим линиям связи.

В СОГЛАСИИ С РЕГУЛЯТОРОМ

Стоит заметить, что многие как общие, так и специальные требований типового технического задания могут быть реализована с помощью традиционных подсистем защиты банка. Так, рекомендации наличия подсистем контроля доступа, регистрации и учета, обеспечения целостности и антивирусной защиты прописывались российским организациям банковской системы и ранее.

Все они содержатся в стандарте Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Эти требования аналогичны стандартам обеспечению информационной безопасности для платежных карт (PCIDSS), которые отражают лучшую зарубежную практику.

Предлагаемый подход построения риск-ориентированной системы защиты персональных данных полностью соответствует комплексу БР ИББС. Типовое техническое задание для банковской системы защиты персональных данных можно рассматривать как один из методических вариантов реализации набора рекомендаций, отраженных в новой редакции комплекса стандартов Банка России.