Национальное бюро кредитных историй: утечка невозможна

Национальное бюро кредитных историй: утечка невозможна

Максим Викторович Подлесный, технический директор Национального бюро кредитных историй (БКИ) дал интервью редакции журнала "Information Security/Информационная безопасность" для публикации в четвертом номере. 

Как известно, в настоящее время многие небезосновательно опасаются утечек данных, не исключая и того, что в какой-то момент и данные Национального бюро кредитных историй могут оказаться на Митинском рынке. Поэтому редакцию интересовал вопрос, что делается для того, чтобы такой утечки не произошло, каким образом в БКИ организована система защиты информации.

М. Подлесный ответил нам следующее:

"Система защиты информации у нас достигается несколькими способами. Первый - это шифрование информации. Вся приходящая к нам информация зашифрована, кроме тех случаев, когда она находится на этапе обработки. Банки подписывают и присылают нам информацию в зашифрованном виде, наша автоматизированная система расшифровывает ее, проверяет ЭЦП кредитной организации. После обработки расшифрованная информация уничтожается, копия ее хранится только в нашей базе данных. Таким образом, мы сделали все, чтобы исключить человеческий фактор на этапе получения, обработки и помещения конфиденциальной информации в СУБД. Доступ к информации в СУБД осуществляется через сервер приложений по защищенному каналу передачи данных, строго регламентирован и протоколируется.

Второй способ защиты состоит в том, что данные находятся не в офисе компании, а в определенном месте в специальной опечатанной стойке. При таком способе защиты мы заключаем договор с компанией, обеспечивающей физическую безопасность наших данных. Доступ к оборудованию в этом случае строго регламентирован и ограничен узким кругом лиц, поэтому несанкционированно завладеть носителем практически нереально.

Третий способ представляет собой шифрование всей архивируемой информации. Таким образом, любая информация за пределами комплекса хранится только в зашифрованном виде.

Программно-аппаратный комплекс обработки и хранения кредитных историй граждан прошел сертификацию ФСТЭК России на соответствие заданию по безопасности и имеет ОУД1 (оценочный уровень доверия усиленный)".

Кроме того, мы получили ответы на следующие вопросы:

- Какими нормативными актами Вы руководствуетесь при организации ИБ?

- С какими проблемами, связанными с организацией защиты информации, Вы сталкиваетесь и как их решаете?

- Какие технические средства в бюро кредитных историй применяются для защиты информации?

- Как Вы выбираете поставщиков, и есть ли задачи, для решения которых Вы пока не нашли производителей?

Полный текст интервью будет опубликован в №4 журнала "Information Security/Информационная безопасность" в разделе "Персоны", выход которого ожидается в начале сентября.
 
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231.
По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231.