Максим Викторович Подлесный, технический директор Национального бюро кредитных историй (БКИ) дал интервью редакции журнала "Information Security/Информационная безопасность" для публикации в четвертом номере.
Как известно, в настоящее время многие небезосновательно опасаются утечек данных, не исключая и того, что в какой-то момент и данные Национального бюро кредитных историй могут оказаться на Митинском рынке. Поэтому редакцию интересовал вопрос, что делается для того, чтобы такой утечки не произошло, каким образом в БКИ организована система защиты информации.
М. Подлесный ответил нам следующее:
"Система защиты информации у нас достигается несколькими способами. Первый - это шифрование информации. Вся приходящая к нам информация зашифрована, кроме тех случаев, когда она находится на этапе обработки. Банки подписывают и присылают нам информацию в зашифрованном виде, наша автоматизированная система расшифровывает ее, проверяет ЭЦП кредитной организации. После обработки расшифрованная информация уничтожается, копия ее хранится только в нашей базе данных. Таким образом, мы сделали все, чтобы исключить человеческий фактор на этапе получения, обработки и помещения конфиденциальной информации в СУБД. Доступ к информации в СУБД осуществляется через сервер приложений по защищенному каналу передачи данных, строго регламентирован и протоколируется.
Второй способ защиты состоит в том, что данные находятся не в офисе компании, а в определенном месте в специальной опечатанной стойке. При таком способе защиты мы заключаем договор с компанией, обеспечивающей физическую безопасность наших данных. Доступ к оборудованию в этом случае строго регламентирован и ограничен узким кругом лиц, поэтому несанкционированно завладеть носителем практически нереально.
Третий способ представляет собой шифрование всей архивируемой информации. Таким образом, любая информация за пределами комплекса хранится только в зашифрованном виде.
Программно-аппаратный комплекс обработки и хранения кредитных историй граждан прошел сертификацию ФСТЭК России на соответствие заданию по безопасности и имеет ОУД1 (оценочный уровень доверия усиленный)".
Кроме того, мы получили ответы на следующие вопросы:
- Какими нормативными актами Вы руководствуетесь при организации ИБ?
- С какими проблемами, связанными с организацией защиты информации, Вы сталкиваетесь и как их решаете?
- Какие технические средства в бюро кредитных историй применяются для защиты информации?
- Как Вы выбираете поставщиков, и есть ли задачи, для решения которых Вы пока не нашли производителей?
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231.
По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231.