RSS
Стандарты Банка России в области информационной безопасности
Закон N 152-ФЗ "О персональных данных" поставил перед российской банковской системой новые задачи по обеспечению информационной безопасности. Центральный банк Российской Федерации должен быть локомотивом таких изменений, издавать отраслевые стандарты по приведению работы кредитных организаций в соответствие с требованиями законодательства в области персональных данных (далее - ПДн).
В связи с выходом новых стандартов Банка России по информационной безопасности (СТО БР ИББС), включающих требования по защите ПДн, а также рекомендаций в области стандартизации перед кредитными организациями встает вопрос: как достичь соответствия требованиям федерального законодательства по защите ПДн и при этом минимизировать расходы.
Целью данной статьи является разъяснение преимуществ и недостатков выполнения работ по защите ПДн в рамках СТО БР ИББС.
Закон о персональных данных
Принятый летом 2006 г. Закон N 152-ФЗ сначала не вызвал широкого резонанса. Этот документ воспринимали как один из нормативных документов, сравнимый по значимости с Законом об информации, информатизации и защите информации.
С точки зрения информационной безопасности Закон N 152-ФЗ стал рассматриваться только после подписания Постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн". Именно в этот момент ИТ-рынок проявил первую негативную реакцию. Дело в том, что указанный документ носит явный технический характер и является обязательным для исполнения всеми операторами ПДн.
Следует отметить, что на волне защиты ПДн рынок услуг информационной безопасности за 2008 - 2010 гг. вырос на 20 - 30%, в то время как рынок ИТ-консалтинга за эти кризисные годы показал падение более чем на 50%. Данный факт, безусловно, является хорошей новостью для рынка информационной безопасности, однако и здесь возникают проблемы.
Подавляющее большинство созданных систем защиты ПДн в рамках руководящих документов регуляторов (ФСТЭК России, ФСБ России) оказывается неэффективным. Приведем основные причины:
существующие документы ФСТЭК России и ФСБ России разрабатывались без учета реальных бизнес-процессов и существующих технологий. Перекос получился в сторону требований, больше свойственных системам по обработке государственной тайны;
согласно документам регуляторов защиту ПДн необходимо организовывать почти во всех информационных системах компании;
во все системы нужно внедрять сертифицированные средства защиты, которые не всегда оказываются действительно эффективными, в то же время средства защиты, удовлетворяющие требованиям бизнеса, остаются "за бортом";
защита ПДн в рамках действующего подхода ФСТЭК России в кредитных организациях превращается в дорогой, трудоемкий и длительный процесс, не учитывающий реалий бизнеса.
Таким образом, ценность проекта по защите ПДн для бизнеса становится минимальной.
Новая версия Стандарта Банка России
На этом фоне новая версия СТО БР ИББС - безусловно, успешная попытка как самого Банка России, так и всего банковского сообщества Российской Федерации вернуть рискоориентированный подход к процессу обеспечения информационной безопасности в кредитные организации, призванная значительно облегчить жизнь последним в части решения вопроса по защите ПДн.
Участники рынка долго ждали новой версии СТО БР ИББС, включающего требования по защите ПДн. Первоначально согласование планировалось до Второй Межбанковской конференции "Информационная безопасность банков", которая проходила с 15 по 20 февраля 2010 г. в Магнитогорске, но по ряду причин работа затянулась. В настоящее время Комплекс БР ИББС окончательно согласован с ФСТЭК России, ФСБ России и Роскомнадзором.
Выход новой версии СТО БР ИББС (21 июня 2010 г.) является знаковым событием, так как банковское сообщество получило адаптированные для применения в банковской системе Российской Федерации методические рекомендации по защите ПДн, которые в рамках СТО БР ИББС стали более понятными по сравнению с общими требованиями ФСБ России и ФСТЭК России.
Сегодня перед кредитными организациями стоит вопрос выбора одного из двух вариантов:
вводить СТО БР ИББС в организации в качестве обязательного, что позволит защищать ПДн в разрезе требований Стандарта Банка России. Однако принятие этого Стандарта подразумевает планирование работы по планомерному внедрению других его требований;
не вводить СТО БР ИББС и выполнять требования по защите ПДн в соответствии с методическими рекомендациями ФСБ России, ФСТЭК России и Роскомнадзора на общих с остальными операторами основаниях.
По мнению авторов, выбор очевиден, нужно вводить СТО БР ИББС и двигаться в направлении достижения соответствия его требованиям и рекомендациям.
Чтобы пояснить нашу позицию, необходимо ответить на три вопроса.
1. Что получает кредитно-финансовое учреждение, если выполняет требования СТО БР ИББС в качестве обязательного?
Всем хорошо известно, что стоимость реализации тех или иных требований зависит от величины области внедрения, т.е. в нашем случае от размеров и количества автоматизированных систем, в которых есть ПДн. Основные затраты при проведении проекта по защите ПДн появляются на стадии покупки и внедрения технических решений.
Руководствуясь рекомендациями СТО БР ИББС, можно значительно минимизировать количество информационных систем, относящихся к ИСПДн, и тем самым уменьшить расходы на внедрение технических решений. Остановимся на этом подробнее.
Согласно Методическим рекомендациям по выполнению законодательных требований при обработке ПДн в организациях банковской системы Российской Федерации если вы защищаете систему, в которой присутствует, например, банковская тайна, то защищать нужно не по требованиям защиты ПДн, а по требованиям защиты банковской тайны. В этом положении и заключаются основные преимущества защиты ПДн по требованиям СТО БР ИББС.
Банковские платежные технологические процессы. Согласно Стандарту Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010) автоматизированная банковская система, реализующая банковский платежный технологический процесс, не относится к ИСПДн.
Банковские информационные технологические процессы. Их можно разделить на:
процессы, в которых не обрабатываются ПДн;
процессы, в которых обрабатываются ПДн.
В первом случае система не относится к ИСПДн по определению, во втором - разделение на ИСПДн и "неИСПДн" происходит в зависимости от целей создания системы. Если таковой является обработка ПДн, то это ИСПДн, если же автоматизированная банковская система содержит ПДн, но помимо них присутствует информация, защищаемая в соответствии с требованиями, составляющими банковскую тайну, коммерческую тайну и др., то защищать нужно не по требованиям защиты ПДн, а по требованиям конкретного вида тайны.
Таким образом, по требованиям ФСТЭК России к ИСПДн нужно защищать очень немногие автоматизированные банковские системы (около 20% от тех систем, которые необходимо защитить). Это означает, что затраты на технические средства будут значительно ниже. Учитывая, что затраты на закупку сертифицированных средств защиты являются основными в проектах по защите ПДн, то и стоимость всего проекта становится гораздо меньше.
2. Что проще для компании с точки зрения изменения подходов к защите информации: переход с ISO 27001 на СТО БР ИББС или совместное выполнение требований ISO 27001 и Закона N 152-ФЗ?
СТО БР ИББС был разработан с учетом основных отечественных и зарубежных стандартов в этой сфере. Его цель - обеспечить повышение доверия ко всей банковской системе Российской Федерации посредством установки единых требований к информационной безопасности кредитных организаций.
СТО БР ИББС создан на основе ISO 27001, поэтому если в кредитной организации принят ISO 27001, то можно считать, что средства, затраченные на его внедрение, потрачены в том числе и на соответствие СТО БР ИББС. Связка ISO 27001 + СТО БР ИББС организуется значительно проще и дешевле, чем ISO 27001 + ПДн.
3. Зачем вводить СТО БР ИББС в качестве обязательного к выполнению, если соответствие ему намного дороже, чем выполнение требований и рекомендаций ФСБ России и ФСТЭК России в части защиты ПДн?
Во время бесед с представителями кредитных организаций нам часто задают этот вопрос. Заметим, что Банк России понимает, что лишь небольшой процент кредитных организаций достиг рекомендуемого стандартом четвертого уровня соответствия. Поэтому, на наш взгляд, введение Стандарта необходимо позиционировать как выбор вектора движения или расстановку приоритетов.
Информационная безопасность - это процесс, которым необходимо управлять. Стандарт предусматривает процессный подход - построение непрерывного циклического процесса обеспечения информационной безопасности, предполагающего как планирование, так и управление.
Нельзя говорить о том, что банк, даже потратив значительные инвестиции, в одночасье достигнет соответствия. Построение системы обеспечения информационной безопасности (СОИБ) не должно рассматриваться как разработка регламентов и внедрение технических средств. Построение СОИБ следует рассматривать как выполнение технических, технологических и организационных процессов.
Кроме того, внедряя СТО БР ИББС, банк решает сопутствующие задачи по информационной безопасности (например, требования к участникам системы банковских электронных срочных платежей), что позволяет значительно повысить реальный уровень информационной безопасности.
Следовательно, выбирая СТО БР ИББС как вектор развития информационной безопасности, кредитная организация выигрывает как с точки зрения тактики (решение проблемы защиты ПДн), так и с точки зрения стратегии (экономия на выполнении последующих задач информационной безопасности).
Е.Царев
Заместитель директора департамента продуктов и услуг Компания LETA IT-company
М.Плахута
Заместитель руководителя направления аудита и консалтинга Компания LETA IT-company
В связи с выходом новых стандартов Банка России по информационной безопасности (СТО БР ИББС), включающих требования по защите ПДн, а также рекомендаций в области стандартизации перед кредитными организациями встает вопрос: как достичь соответствия требованиям федерального законодательства по защите ПДн и при этом минимизировать расходы.
Целью данной статьи является разъяснение преимуществ и недостатков выполнения работ по защите ПДн в рамках СТО БР ИББС.
Закон о персональных данных
Принятый летом 2006 г. Закон N 152-ФЗ сначала не вызвал широкого резонанса. Этот документ воспринимали как один из нормативных документов, сравнимый по значимости с Законом об информации, информатизации и защите информации.
С точки зрения информационной безопасности Закон N 152-ФЗ стал рассматриваться только после подписания Постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн". Именно в этот момент ИТ-рынок проявил первую негативную реакцию. Дело в том, что указанный документ носит явный технический характер и является обязательным для исполнения всеми операторами ПДн.
Следует отметить, что на волне защиты ПДн рынок услуг информационной безопасности за 2008 - 2010 гг. вырос на 20 - 30%, в то время как рынок ИТ-консалтинга за эти кризисные годы показал падение более чем на 50%. Данный факт, безусловно, является хорошей новостью для рынка информационной безопасности, однако и здесь возникают проблемы.
Подавляющее большинство созданных систем защиты ПДн в рамках руководящих документов регуляторов (ФСТЭК России, ФСБ России) оказывается неэффективным. Приведем основные причины:
существующие документы ФСТЭК России и ФСБ России разрабатывались без учета реальных бизнес-процессов и существующих технологий. Перекос получился в сторону требований, больше свойственных системам по обработке государственной тайны;
согласно документам регуляторов защиту ПДн необходимо организовывать почти во всех информационных системах компании;
во все системы нужно внедрять сертифицированные средства защиты, которые не всегда оказываются действительно эффективными, в то же время средства защиты, удовлетворяющие требованиям бизнеса, остаются "за бортом";
защита ПДн в рамках действующего подхода ФСТЭК России в кредитных организациях превращается в дорогой, трудоемкий и длительный процесс, не учитывающий реалий бизнеса.
Таким образом, ценность проекта по защите ПДн для бизнеса становится минимальной.
Новая версия Стандарта Банка России
На этом фоне новая версия СТО БР ИББС - безусловно, успешная попытка как самого Банка России, так и всего банковского сообщества Российской Федерации вернуть рискоориентированный подход к процессу обеспечения информационной безопасности в кредитные организации, призванная значительно облегчить жизнь последним в части решения вопроса по защите ПДн.
Участники рынка долго ждали новой версии СТО БР ИББС, включающего требования по защите ПДн. Первоначально согласование планировалось до Второй Межбанковской конференции "Информационная безопасность банков", которая проходила с 15 по 20 февраля 2010 г. в Магнитогорске, но по ряду причин работа затянулась. В настоящее время Комплекс БР ИББС окончательно согласован с ФСТЭК России, ФСБ России и Роскомнадзором.
Выход новой версии СТО БР ИББС (21 июня 2010 г.) является знаковым событием, так как банковское сообщество получило адаптированные для применения в банковской системе Российской Федерации методические рекомендации по защите ПДн, которые в рамках СТО БР ИББС стали более понятными по сравнению с общими требованиями ФСБ России и ФСТЭК России.
Сегодня перед кредитными организациями стоит вопрос выбора одного из двух вариантов:
вводить СТО БР ИББС в организации в качестве обязательного, что позволит защищать ПДн в разрезе требований Стандарта Банка России. Однако принятие этого Стандарта подразумевает планирование работы по планомерному внедрению других его требований;
не вводить СТО БР ИББС и выполнять требования по защите ПДн в соответствии с методическими рекомендациями ФСБ России, ФСТЭК России и Роскомнадзора на общих с остальными операторами основаниях.
По мнению авторов, выбор очевиден, нужно вводить СТО БР ИББС и двигаться в направлении достижения соответствия его требованиям и рекомендациям.
Чтобы пояснить нашу позицию, необходимо ответить на три вопроса.
1. Что получает кредитно-финансовое учреждение, если выполняет требования СТО БР ИББС в качестве обязательного?
Всем хорошо известно, что стоимость реализации тех или иных требований зависит от величины области внедрения, т.е. в нашем случае от размеров и количества автоматизированных систем, в которых есть ПДн. Основные затраты при проведении проекта по защите ПДн появляются на стадии покупки и внедрения технических решений.
Руководствуясь рекомендациями СТО БР ИББС, можно значительно минимизировать количество информационных систем, относящихся к ИСПДн, и тем самым уменьшить расходы на внедрение технических решений. Остановимся на этом подробнее.
Согласно Методическим рекомендациям по выполнению законодательных требований при обработке ПДн в организациях банковской системы Российской Федерации если вы защищаете систему, в которой присутствует, например, банковская тайна, то защищать нужно не по требованиям защиты ПДн, а по требованиям защиты банковской тайны. В этом положении и заключаются основные преимущества защиты ПДн по требованиям СТО БР ИББС.
Банковские платежные технологические процессы. Согласно Стандарту Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010) автоматизированная банковская система, реализующая банковский платежный технологический процесс, не относится к ИСПДн.
Банковские информационные технологические процессы. Их можно разделить на:
процессы, в которых не обрабатываются ПДн;
процессы, в которых обрабатываются ПДн.
В первом случае система не относится к ИСПДн по определению, во втором - разделение на ИСПДн и "неИСПДн" происходит в зависимости от целей создания системы. Если таковой является обработка ПДн, то это ИСПДн, если же автоматизированная банковская система содержит ПДн, но помимо них присутствует информация, защищаемая в соответствии с требованиями, составляющими банковскую тайну, коммерческую тайну и др., то защищать нужно не по требованиям защиты ПДн, а по требованиям конкретного вида тайны.
Таким образом, по требованиям ФСТЭК России к ИСПДн нужно защищать очень немногие автоматизированные банковские системы (около 20% от тех систем, которые необходимо защитить). Это означает, что затраты на технические средства будут значительно ниже. Учитывая, что затраты на закупку сертифицированных средств защиты являются основными в проектах по защите ПДн, то и стоимость всего проекта становится гораздо меньше.
2. Что проще для компании с точки зрения изменения подходов к защите информации: переход с ISO 27001 на СТО БР ИББС или совместное выполнение требований ISO 27001 и Закона N 152-ФЗ?
СТО БР ИББС был разработан с учетом основных отечественных и зарубежных стандартов в этой сфере. Его цель - обеспечить повышение доверия ко всей банковской системе Российской Федерации посредством установки единых требований к информационной безопасности кредитных организаций.
СТО БР ИББС создан на основе ISO 27001, поэтому если в кредитной организации принят ISO 27001, то можно считать, что средства, затраченные на его внедрение, потрачены в том числе и на соответствие СТО БР ИББС. Связка ISO 27001 + СТО БР ИББС организуется значительно проще и дешевле, чем ISO 27001 + ПДн.
3. Зачем вводить СТО БР ИББС в качестве обязательного к выполнению, если соответствие ему намного дороже, чем выполнение требований и рекомендаций ФСБ России и ФСТЭК России в части защиты ПДн?
Во время бесед с представителями кредитных организаций нам часто задают этот вопрос. Заметим, что Банк России понимает, что лишь небольшой процент кредитных организаций достиг рекомендуемого стандартом четвертого уровня соответствия. Поэтому, на наш взгляд, введение Стандарта необходимо позиционировать как выбор вектора движения или расстановку приоритетов.
Информационная безопасность - это процесс, которым необходимо управлять. Стандарт предусматривает процессный подход - построение непрерывного циклического процесса обеспечения информационной безопасности, предполагающего как планирование, так и управление.
Нельзя говорить о том, что банк, даже потратив значительные инвестиции, в одночасье достигнет соответствия. Построение системы обеспечения информационной безопасности (СОИБ) не должно рассматриваться как разработка регламентов и внедрение технических средств. Построение СОИБ следует рассматривать как выполнение технических, технологических и организационных процессов.
Кроме того, внедряя СТО БР ИББС, банк решает сопутствующие задачи по информационной безопасности (например, требования к участникам системы банковских электронных срочных платежей), что позволяет значительно повысить реальный уровень информационной безопасности.
Следовательно, выбирая СТО БР ИББС как вектор развития информационной безопасности, кредитная организация выигрывает как с точки зрения тактики (решение проблемы защиты ПДн), так и с точки зрения стратегии (экономия на выполнении последующих задач информационной безопасности).
Е.Царев
Заместитель директора департамента продуктов и услуг Компания LETA IT-company
М.Плахута
Заместитель руководителя направления аудита и консалтинга Компания LETA IT-company
Другие новости по теме:
Защита персональных данных в кредитно-финансовых организациях Защита персональных данных в банках Защита персональных данных: как рынку вырваться из противоречий? Реализация положений федерального закона 152 ФЗ "О защите персональных дан ... Закон "О защите персональных данных": ответы на вопросы Особенности регулирования персональных данных для банков и страховщиков