Персональные данные в СТО БР

В настоящий момент подходит к концу отсрочка, данная операторам в прошлом году, для приведения своих систем в соответствие с требованиями 152-ФЗ «о персональных данных». За этот год было сделано многое как Регуляторами, так и самими операторами для упорядочения нормативной базы в данной области. Одним из таких событий стало разработка, согласование с Регуляторами и официальное опубликование Банком России отраслевого стандарта  СТО БР ИББС, включающий раздел о защите персональных данных.

Немного истории о СТО БР

Еще совсем недавно обеспечение информационной безопасности строилось на основании  знания и опыта своих сотрудников, мероприятия по обеспечению защищенности велись   бессистемно и хаотично, что не могло дать какого-то положительного результата.

Использование международного стандарта ISO 27001, основанного на оценке рисков и определении критичных активов, могло бы сильно помочь в построении органичной системы обеспечения информационной безопасности в Банках.Однако, внедрение его в полном объеме в масштабах Банка, вполне логично сталкивалось с рядом трудностей и ограничений, как объективных, так и субъективных: предложение со стороны безопасников и интеграторов ISO 27001  в качестве «руководства к действию» в условиях суровой Российской действительности (низкий уровень зрелости процессов управления большинства Российских Банков) встречало непонимание со стороны менеджмента.

В 2004г. Банком России с целью повышения уровня информационной безопасности, как самого ЦБ РФ, так и коммерческих российских банков, была разработана и введена в действие первая редакция стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», и в течение 2005–2006гг. в ряде территориальных учреждений Банка России и коммерческих банках проводились работы по опытному внедрению данного стандарта, по итогам которых стандарт был доработан.

В результате распоряжением ЦБ РФ от 26.01.2006 №Р-27 была введена в действие вторая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006, уже учитывающая положения таких стандартов как ISO 27001 и Cobit, что «побуждало» к повышению уровня зрелости внутренних процессов организации.

Логическим развитием стало появление третьей редакции, введенной в действие  Распоряжением Банка России от 25.12.2008 N Р-1674 с 01.05.2009 введена в действие третья редакция Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2008". Стандарт продолжил  развиваться, был более широко рассмотрены вопросы СМИБ, не забыли и про сами процессы обеспечения ИБ, но, к сожалению, были сделаны шаги по упрощению требований, как то отказались  от целевого уровня зрелости процессов.

С появлением нормативных актов регуляторов, детализирующих требования к защите персональных данных, была проведена работа по разработке уже четвёртая редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010). Так же, в дополнению к Стандарту, были разработаны новая методика оценки соответствия СТО, отраслевая модель угроз ПДн и рекомендации по приведению в соответствие. Документы Комплекса БР ИББС были согласованы с Роскомнадзором, ФСБ России, ФСТЭК России, приняты и введены в действие распоряжением ЦБР от 21 июня 2010 г. N Р-705.

Взаимосвязь с требованиями других регуляторов

Как уже было сказано выше, разработанные БР документы были согласованны с регуляторами и не противоречат установленным правилам. В приложении к Рекомендациям приведена таблица соответствия между положениями Стандарта, Методикой оценки соответствия, Рекомендациями  и приказом №58 ФСТЭК (а так же ISO 17799/27002):

Табл.1 Выдержка из приложения к Рекомендациям по защите ПД

Дополнительно, финансовая организация имеет на руках частную модель угроз безопасности ПД, которая избавляет от «изобретения велосипеда» при построении защиты ПД.

Требования ФСБ явно указаны – в Стандарте дано прямое указание на использование класса криптосредств: «СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.»

Требования ФСТЭК, не имевшие прямых трактовок, разъяснены. Как то -  сертифицированными должны быть наложенные средства защиты, но не встроенные.

 Аналогично и с двусмысленностями в тексте Закона. Самое важное: «7.10.9. В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как минимум АБС, целью создания и использования которых является обработка персональных данных. АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.»

Произведено «разделение» защиты информации, содержащей ПД, соответственно целям ее обработки и устранено дублирование требований по ее защите. Т.к. целью функционирования АБС является осуществление платежных процессов, то информация относится к банковской тайне «395ФЗ «О банках и банковской деятельности»» и защита ее регламентируется ст. 857 ГК РФ

Таким образом согласно трактовке СТО БР к ИСПДн относятся системы кадрового учета, информация в которых не попадает под категорию банковской тайны.

Комплекс документов, таким образом, явно «упрощает жизнь» подразделениям информационной безопасности кредитных организаций, давая им понятный план действий и рекомендации, выполнение которых приводит к достижимому результату.

Страхи и подозрения

Однако, не смотря на  все явные преимущества, на данный момент существует недоверие к данному Стандарту со стороны многих финансовых организаций, которое обусловлено имеющимся опытом проверок со стороны  ГТУ ЦБ, которые могут иметь «свой взгляд» на внедрение СТО БР в организациях банковской сферы.

Страх 1-ый: Со стороны ГТУ уже сейчас задаются вопросы о том, как выполняются положения Стандарта в кредитной организации, безотносительно того, принят ли Стандарт в качестве обязательного приказом по организации. Многие опасаются, что после принятия его обязательным, при проверке может быть «выявлено» множество несоответствий, не смотря на наличие плана внедрения, что повлечет за собой санкции со стороны контролирующих органов.

Страх 2-й: При подаче уведомления о «переходе в стан БР» в отношении защиты ПД регуляторы будут проявлять чересчур пристальное внимание к выстроенной системе защиты. «Даже на Солнце есть пятна», а у нас обязательно что-нибудь найдут, т.к. будут пристально искать».

Страх 3-ий: При проверке представитель регулятора просто проигнорирует внутренний приказ и «письмо 6-ти» и при проверке все равно будет руководствоваться собственными методиками оценки выполнения требований 152- ФЗ.

Кредитные организации так же осознают, что принятия стандарта обязательным обязывает их к планомерному его внедрению, что, в свою очередь, предполагает существенные затраты, пусть и протяженные по времени.

На данные замечания трудно возразить, но возможно. Хотя бы начав с того, что Банку России не выгодно «кошмарить бизнес» и Стандарт разрабатывался как раз с целью формализации и внесения ясности в области защиты ПД в финансовых организациях. Принимая Стандарт, Банк получает союзника во взаимоотношении с Регуляторами, во многом более опытного и «сильного», которому выгодно поддержать принявших Стандарт и выступить единым фронтом в диалоге с проверяющими.

Другие отраслевые рекомендации по защите ПД

Данный положительный опыт создания отраслевого стандарта для упорядочивания и детализации требований в рамках конкретной отрасли не был проигнорирован другими операторами персональных данных. В настоящий момент так же ведутся работы по выработке отраслевых рекомендаций по защите ПД для других отраслей.

Телеком в рамках НИР «Тритон» компанией ReignVox были разработаны и согласованы с Регуляторами документы:

•  Концепция защиты персональных данных в информационных системах персональных данных оператора связи
• Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли
• Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли

которые были рассмотрены и одобрены Минкомсвязи 28.04.2010. Полный список документов, планировавшихся к разработке в рамках НИР гораздо больше:

• Терминологический аппарат систем защиты персональных данных
• Анализ международного и российского законодательства в области защиты ПДн в коммерческих системах и сетях связи
• Обобщенная информационная модель операторов связи
• Отраслевой классификатор. Информационные системы персональных данных операторов связи
• Высокоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с оценкой потенциального ущерба для субъектов персональных данных и операторов связи
• Низкоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с определением каналов реализации угроз безопасности персональных данных
• Анализ возможностей по минимизации требований к обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных операторов связи
• Анализ необходимости обеспечения безопасности персональных данных в информационных системах персональных данных операторов связи с использованием криптосредств
• Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи
• Отраслевая модель угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи и использовании криптосредств
• Технико-экономическое обоснование системы защиты персональных данных операторов связи
• Информационная система персональных данных "АРМ пользователя». Профиль защиты"
• Специальная информационная система персональных данных оператора связи второго класса. Профиль защиты
• Специальная информационная система персональных данных оператора связи третьего класса. Профиль защиты
• Концепция защиты персональных данных в информационных системах персональных данных операторов связи
• Сравнительный анализ международных и российских нормативных документов, содержащих требования по защите персональных данных
 

Медицина Минсоцздравразвития так же согласовавший еще в 2009ом году с регуляторами:

• «Модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ)»
• «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости».

Примечательно, что в данных документах написано, что внедрение части технических  средств является обязательным (межсетевые экраны и антивирус), а остальное - при наличии дополнительного финансирования.

Страховые компании

В настоящий момент дальше разговоров дело не дошло: крупные страховые компании самостоятельно внедряют требования по защите ПД, небольшие заняли выжидательную позицию, ориентируясь на правоприменительную практику – «как будут наказывать?» Позиция связанна со сложностью проектов, т.к. ОМС и ДМС автоматически приводят к ИСПДн класса К1.

В качестве заключения

В настоящий момент совместно с Ассоциацией российских банков Банк России начал создания саморегулируемой организации в области обеспечения информационной безопасности организаций кредитно-финансовой сферы. Члены СРО будут обязаны выполнять требования Стандарта, а внутри организации определенный механизм будет обеспечивать проведение соответствующих работ по защите ПД, проверку качества проведенных мероприятий, обучение специалистов. СРО будет проводить внутренние проверки на соответствие кредитных организаций отраслевым требованиям, а Регуляторы, назначенные 152-ФЗ, будут получать информацию о соответствии требованиям Стандарта кредитных организаций (являющихся членами СРО) уже в обобщенном виде, хотя и это не отменяет и проверок операторов с их стороны.