Нужен ли банкам отраслевой Стандарт?

Юрий Черкас
Руководитель отдела технической защиты информации компании ReignVox

Год 2010-ый в сфере защиты ПДн стал в прямом смысле слова годом отраслевых стандартов: такие отрасли отечественного бизнеса, как ритейл, страхование и пенсионные фонды анонсировали свое намерение разрабатывать и использовать отраслевые стандарты в дальнейшем. Для телекоммуникационного сектора был разработан первый отраслевой стандарт – проект «Тритон» (автором разработки впервые стала негосударственная, коммерческая структура – компания ReignVox). Cобытием же первостепенной значимости для ИБ всего отечественного финансового сектора в 2010 году стала доработка Стандарта Банка России, введенного в действие ещё в 2006 году.

Защита ПДн \ Стандарт: нужно ли выбирать?

Просуществовавший в течение четырех лет банковский Стандарт представлял собой стройную систему документов (требований, рекомендаций и методик), вполне учитывающих особенности деятельности банковских структур и соответствующих концепции обеспечения ИБ организаций БС. В 2010 году после выхода ряда нормативно-методических документов ФСТЭК и ФСБ России, а также – вступления в силу ФЗ-152, Стандарт был доработан, что позволяет с его помощью выполнять все требования отечественного законодательства по защите ПДн без изменения общей концепции обеспечения ИБ банков. Т.е., Стандарт нацелен в первую очередь на обеспечение ИБ банков в целом и защиту ПДн в частности, что, по мнению экспертов компании ReignVox, «является наиболее верным подходом, так как выделение коммерческой, банковской тайн и ПДн в отдельные категории с различными подходами к их защите нецелесообразно». Весь комплекс документов обновленного Стандарта предварительно согласован и одобрен ФСБ России, Роскомнадзором и ФСТЭК России.

С появлением доработанного Стандарта организации отечественной банковской сферы получили возможность выбора между соответствием требованиям ФСТЭК и ФСБ по защите персональных данных и использованием собственно Стандарта Банка России. В случае выбора первого варианта оператор столкнется с необходимостью реализовать типовой проект по защите ПДн с корректировкой его под конкретные условия и особенности банковской сферы бизнеса. Накопленный практический опыт работ по защите ПДн (в том числе и с разработкой и использованием отраслевых стандартов), позволяет экспертам компании ReignVox отметить, что именно при отраслевом подходе максимально учитываются особенности любого бизнеса, и банковского в частности. Этот вариант предпочтителен, как априори учитывающий все тонкости работы в кредитно-финансовом секторе, при одновременном удовлетворении и требований отечественного законодательства в сфере защиты ПДн. Также Стандарт предоставляет конкретные методики оценки и самооценки соответствия его требованиям, что позволяет создать единые правила игры и для операторов, и для Регуляторов, что, в свою очередь, является его бесспорным преимуществом. Более того, Стандарт Банка России учитывает и международные стандарты, такие, к примеру, как ISO/IESIS 27001-2005 или ISO/IEC 17799-2005, что играет в пользу продуктивного участия Российского финансового бизнеса в мировом сообществе. Именно совокупность озвученных моментов, по мнению специалистов компании ReignVox, является причиной «резко возросшего количества запросов со стороны банковских организаций, направленных на обеспечение соответствия требованиям Стандарта».

Как обеспечить соответствие Стандарту?

В случае использования Стандарта банк должен направить соответствующую информацию в Банк России. Также не позднее 31 декабря 2010 года в Банк России и территориальные органы Регуляторов необходимо направить документ, подтверждающий соответствие организации БС РФ требованиям Стандарта Банка России (СТО БР ИББС-1.0.). Таким образом, вне зависимости от принятого решения, к 1 января 2011 года банки обязаны привести все ИСПДн либо в соответствие требованиям Стандарта, либо – нормативно-методических документов ФСТЭК и ФСБ России.

При условии выбора в пользу Стандарта для обеспечения соответствия его требованиям банкам необходимо выполнить 6 основных задач:

• Выделение в составе IT-инфраструктуры ИСПДн;
• Проведение их классификации;
• Разработка пакета необходимых организационно-распорядительных документов (этот перечень документов не ограничивается Методическими рекомендациями) в соответствии с Методикой СТО БР ИББС-1.2, также необходимо будет разработать дополнительные документы (если для оцениваемого частного показателя ИБ установлено требование по документированию);
• Настройка, при необходимости, должным образом существующих средств защиты или внедрение дополнительных, разработка пакета эксплуатационной и технической документации;
• Проведение оценки соответствия банка требованиям Стандарта;
• Оформление результатов оценки и предоставление их Банку России и Регуляторам.

Кому доверить исполнение?

По итогам подтверждения соответствия должен быть выпущен документ, визируемый руководителем организации и подтверждающий результаты оценки, в ходе которой собираются свидетельства аудита по различным направлениям обеспечения ИБ. При наличии достаточного числа компетентных специалистов банки могут самостоятельно оценить уровень соответствия требованиям по защите ПДн а также провести соответствующий аудит. Но зачастую штатные сотрудники банков не обладают должной подготовкой и опытом для проведения подобных работ. Поэтому в данном случае целесообразнее рассмотреть возможность привлечения сторонней организации к проекту. При этом следует помнить, что необходимый спектр услуг в части внедрения стандартов по информационной безопасности Банка России и проведения оценки соответствия ИБ требованиям стандарта СТО БР ИББС-1.0, могут быть оказаны только организациями-членами Совета ABISS и организациями-консультантами, входящими в состав ABISS. Актуализированный список соответствующих организаций общедоступен на официальном сайте ABISS в разделе «Состав ABISS».

О компании

ReignVox – Российская компания, специализирующаяся на инновационных проектах и разработках в области ИТ и обеспечении их информационной безопасности. Цель создания компании - оказание услуг по обеспечению защиты ПДн в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox - член Межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированный член «Инфокоммуникационного союза» (Infocommunication Union), а также член Ассоциации Региональных Банков. Компания обладает необходимыми лицензиями ФСТЭК России и ФСБ РФ для проведения комплекса работ по технической защите информации, в том числе с применением средств криптографической защиты. С сентября 2010 года имеет статус «кандидата в члены ABISS», который позволяет проводить работы в кредитно-финансовых организациях по оценке соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС.

Наиболее значимыми, из успешно реализованных компанией проектов по защите ПДн, являются отраслевой проект по защите персональных данных операторов сотовой связи, проекты для телекоммуникационных компаний (ОАО «ВымпелКом», ОАО «МегаФон»), крупных коммерческих банков (ОАО «НОТА-Банк», Внешэкономбанк, ЗАО АКБ «ЦентроКредит» и др.), Научно-исследовательского института ревматологии РАМН, компании Zepter International, группы компаний HeadHunter и др.