Защита персональных данных в кредитно-финансовых организациях

Федеральный закон "О защите персональных данных" установил новые стандарты обращения с данными клиентов в кредитных организациях.
На сегодняшний день проблема защиты персональных данных (ПДн) является одной из наиболее актуальных для большинства российских банков. Это обусловлено наличием обязательных требований по защите данной категории информации, сформулированных в Законе о персональных данных и соответствующих подзаконных актах.

До недавнего времени кредитно-финансовые организации могли выполнять мероприятия по приведению своих систем в соответствие с требованиями законодательства исключительно на основе документов ФСТЭК и ФСБ России. Одним из недостатков данного подхода является тот факт, что документы этих регуляторов не учитывают специфики банковской отрасли и в ряде случаев их реализация сопряжена с целым рядом сложностей. Понимая это, Банк России выпустил новую версию отраслевого Стандарта СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", базирующегося на лучших практиках и принципах международных стандартов менеджмента. Данный Стандарт позволяет организациям, работающим в банковской системе РФ, выполнять требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Стандарт является открытым, и его текст доступен на сайте сообщества ABISS (Association of Banking Information Security Standards) - www.abiss.ru. В 2010 г. ЗАО "ДиалогНаука" получило статус организации - консультанта сообщества ABISS и аккредитацию Банка России на участие в конкурсах по направлению "Информационная безопасность".

Стандарт СТО БР ИББС-1.0-2010 основан на международных стандартах и опыте и определяет основные требования к структуре и основным элементам системы обеспечения информационной безопасности кредитной организации. Несмотря на рекомендательный характер, он стал основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности, в том числе и систем защиты персональных данных. Многие наши клиенты считают соответствие Стандарту СТО БР ИББС-1.0-2010 обязательным признаком успешного и надежного банка, заботящегося о своих клиентах. Одним из главных требований Стандарта СТО БР ИББС-1.0-2010 являются требования в части защиты персональных данных. Другими словами, соблюдение всех рекомендаций, выработанных Роскомнадзором, ФСБ России и ФСТЭК России, автоматически делает возможным и соответствие банка требованиям Закона о персональных данных.

Конечно же, многие компании на рынке информационной безопасности стараются своевременно реагировать на изменения в бизнесе, однако при выборе поставщика услуг следует обращать внимание в первую очередь на опыт и репутацию компании. Достойных представителей на рынке услуг огромное количество, однако, к сожалению, вместе с лидерами появляются компании-однодневки, компетенция которых не позволяет им оказывать качественные услуги. Нашей компании приходится сталкиваться с подобным итогом работ, поэтому особенно хочется отметить, что именно в области консалтинговых услуг следует выбирать известную и достойную компанию-партнера.

Что касается самих работ и порядка их проведения, то следует отметить, что лучше всего для организации кредитно-финансовой области пользоваться полным циклом работ от одной компании, что априори позволяет избежать возможных негативных последствий.

Как правило, система защиты включает в себя следующие основные подсистемы:
- подсистему антивирусной защиты, предназначенную для выявления и блокирования вредоносного кода;
- разграничения доступа, обеспечивающую защиту от несанкционированного доступа к персональным данным. Как правило, данная подсистема выполняет функции регистрации и учета, а также контроля целостности;
- криптографической защиты, предназначенную для обеспечения конфиденциальности персональных данных в процессе их передачи по каналам связи;
- межсетевого экранирования, которая устанавливается в точке сопряжения с Интернетом либо между информационными системами разных классов. Подсистема предназначена для фильтрации потенциально опасных пакетов данных, проходящих через межсетевой экран;
- обнаружения вторжений, предназначенную для выявления и блокирования сетевых атак в информационной системе;
- анализа уязвимостей, обеспечивающую обнаружение имеющихся уязвимостей в программном, аппаратном и телекоммуникационном обеспечении информационной системы, обрабатывающей персональные данные.

Каждый из этапов работ имеет свои особенности, которые необходимо учитывать для успешной реализации проекта. Так, на этапе обследования необходимо правильно определить и классифицировать информационные системы персональных данных, а также составить корректную модель угроз и модель нарушителя. На стадии проектирования основная задача заключается в правильном выборе средств защиты информации с учетом результатов стендовых испытаний. Кроме этого, в рамках проекта, безусловно, необходимо также разработать комплексный пакет документов, полностью соответствующий требованиям российского законодательства.

Каждый проект по защите ПДн является по-своему уникальным, поскольку всегда учитывает особенности бизнес-процессов организаций, а также тех информационных систем, при помощи которых они реализованы. Кроме этого, своя специфика также есть у банков и операторов связи, поскольку для защиты информации в этих организациях можно применять соответствующие отраслевые стандарты.

Реализация требований российского законодательства по защите персональных данных является необходимым, но недостаточным условием для обеспечения высокого уровня реальной защищенности системы. Необходимо понимать, что даже аттестованная информационная система может быть потенциально взломана, если в рамках проекта был использован формальный подход, предусматривающий реализацию исключительно тех требований, которые изложены в нормативных документах регуляторов. Реальная защищенность информационной системы ПДн возможна только при комплексном подходе, который учитывал бы не только требования российского законодательства, но и рекомендации международных стандартов.
Безусловно, задача по защите ПДн и приведению информационной структуры к требованиям Стандарта СТО БР ИББС-1.0-2010, равно как и любая другая задача в области защиты информации, не должна рассматриваться как проект. Система защиты информации должна постоянно сопровождаться и совершенствоваться в рамках процессной модели управления информационной безопасностью. Это подразумевает администрирование средств защиты информации, актуализацию документов, регламентирующих вопросы защиты, проведение периодического аудита защищенности и т.д.
Именно поэтому со своей стороны мы можем посоветовать банкам и компаниям кредитно-финансовых сфер бизнеса как можно тщательней подходить к вопросам именно соответствия Стандарту СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и, конечно же, Закону о персональных данных.

Будучи системным интегратором в области информационной безопасности, наша компания оказывает максимально широкий комплекс услуг по защите информации, в частности по соблюдению требований вышеуказанных Стандарта и Закона. Конечно же, лучше всего для крупной финансовой организации - создать единый комплексный центр управления ИБ, так называемый ситуационный центр (SOC, Security Operations Center), предназначенный для сбора, анализа и реагирования на события информационной безопасности. Центры управления ИБ предназначены для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. Как правило, подобные центры функционируют 24 часа в сутки и позволяют анализировать данные, поступающие от средств защиты информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других источников.

Любой подобный центр состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM (www.arcsight.ru), который занимает одну из лидирующих позиций в данной области.

Опыт нашей компании по внедрению подобных комплексов в рамках проектов по приведению информационной системы к требованиям СТО БР ИББС-1.0-2010 или Закона о персональных данных свидетельствует о том, что именно подобный вариант контроля за происходящим в информационной среде компании является наиболее эффективным.

Сегодня также есть еще одна очень интересная услуга в области защиты информации - тест на проникновение. Каждый банк может проверить свою систему безопасности на надежность и, исходя из результатов этой проверки, принимать необходимые меры. Эта услуга представляет собой имитацию последовательности действий взломщика по осуществлению несанкционированного проникновения в информационную систему заказчика. Сегодня этот вид аудита активно применяется зарубежными компаниями для получения независимой оценки защищенности своей корпоративной сети. Необходимо отметить, что согласно стандарту PCI DSS рекомендуется проводить тест на проникновение не реже одного раза в год, а также после любого значимого изменения или обновления ИТ-инфраструктуры.

В отличие от традиционных схем проведения аудита информационной безопасности тестирование на проникновение позволяет взглянуть на безопасность банка глазами профессионального взломщика, мотивированного на эффективное и результативное проникновение. Перед "взломщиком" ставятся задачи, максимально приближенные к реальной действительности, и непосредственно перед началом работы "взломщик" имеет самое минимальное представление об объекте проникновения. Цель, преследуемая тестированием на проникновение, заключается в получении контроля над какими-либо заранее обусловленными компонентами атакуемой системы всеми доступными взломщику способами, и вся работа взломщика подчинена достижению этой цели. При этом политика безопасности и системы защиты, применяющиеся в атакуемой системе, рассматриваются как препятствия, которые необходимо преодолеть.
В качестве исходных данных в начале проекта банк может предоставить минимум информации в виде одного или нескольких внешних IP-адресов компании, доступных из Интернета. Этого будет достаточно для того, чтобы провести полноценный тест на проникновение.

В зависимости от масштабов и сложности тестирование на проникновение требует от одного до нескольких месяцев работы высококвалифицированных специалистов, поэтому стоимость таких работ сопоставима со стоимостью проведения традиционных форм аудита информационной безопасности.
В результате успешно и качественно проведенного тестирования на проникновение заказчик получает итоговый отчет, отражающий объективный и реальный взгляд на уровень информационной безопасности банка глазами профессионального взломщика, озадаченного целевым проникновением в его информационную инфраструктуру. Отчет также будет содержать подробное техническое описание всех предпринятых и удачно реализованных сценариев проникновения, анализ всего возможного спектра воздействия на информационную инфраструктуру банка, а также рекомендации по повышению уровня защищенности кредитно-финансовой организации. Рекомендации содержат пошаговое описание тех действий, которые необходимо предпринять для повышения уровня защищенности банка от внешних угроз. В тех случаях, когда для повышения уровня безопасности требуется приобретение дополнительного программного или программно-аппаратного обеспечения, в отчет всегда включается описание нескольких альтернативных вариантов, которые наиболее удовлетворяют требованиям банка и учитывают специфику его автоматизированной системы.

Актуальность теста на проникновение подтверждается и тем фактом, что уровень защищенности большинства российских банков от внешних угроз все еще остается не очень высоким. В частности, практический опыт ЗАО "ДиалогНаука" показывает, что в более чем 90% случаев из более чем 20 реализованных проектов за последние несколько лет нашим консультантам удалось успешно реализовать тест на проникновение и получить доступ к внутренним ресурсам банка из Интернета.

Поэтому на сегодняшний день все больше и больше компаний приходят к пониманию того, что соответствие требованиям международных стандартов, а также правильный выбор поставщика услуг в области защиты информации позволяют не только создать надежную информационную структуру, но и обеспечить надежное функционирование организации.

Р.Катчиев
Руководитель группы по защите персональных данных ЗАО "ДиалогНаука"

    
Другие новости по теме:
  • Защита персональных данных в банках
  • Стандарты Банка России в области информационной безопасности
  • FAQ: аудит информационной безопасности
  • Реализация положений федерального закона 152 ФЗ "О защите персональных дан ...
  • Oracle Identity and Access Management Suite 11g получил допуск от ФСТЭК Рос ...
  • Закон "О защите персональных данных": ответы на вопросы