ОТ ДЕ-ФАКТО К ДЕ-ЮРЕ
Дело в том, что в банке «Возрождение» предстояло всего лишь перевести от статуса де-факто в статус де-юре ситуацию соотнесения системы обеспечения информационной безопасности банка с Комплексом БР ИББС. Катализатором этого процесса стала необходимость выполнения банком требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».
Рассмотрим практические аспекты внедрения в банке «Возрождение» Комплекса БР ИББС. История сложившейся для банка ситуации уходит корнями в недалекое прошлое, примерно пятилетней давности.
В 2006 году в банке была принята первая редакция политики информационной безопасности, которая полностью базировалась на второй редакции стандарта Банка России по обеспечению информационной безопасности организаций банковской системы (далее – организации БС РФ) СТО БР ИББС-1.0. Фактически с этого момента в банке было начато поэтапное внедрение стандарта Банка России по обеспечению информационной безопасности в его действующей на то время редакции.
Внедрение отраслевого стандарта может оказаться безуспешным или недостаточно эффективным, на уровне так называемой «бумажной безопасности». Главное условие успеха − высокий уровень осознания (по терминологии стандарта Банка России) руководством банка необходимости решения вопросов обеспечения информационной безопасности и выполнения соответствующих законодательных требований в области защиты информации должным образом.
Далее банком был пройден путь по приведению системы обеспечения информационной безопасности банка в соответствие с требованиями Комплекса БР ИББС. При этом, безусловно, не забывались и требования таких регуляторов как Федеральная служба безопасности Российской Федерации (ФСБ России) и Федеральная служба по техническому и экспортному контролю (ФСТЭК России), лицензиатом которых банк является, соответственно, с 1999 и с 2005 годов.
ПРАГМАТИЧНАЯ ИЗБИРАТЕЛЬНОСТЬ
В процессе внедрения отраслевого стандарта, руководствуясь постулатом о рекомендательном характере Комплекса БР ИББС для организаций БС РФ, банк при разработке документов по обеспечению информационной безопасности верхнего уровня (политики информационной безопасности, частных политик информационной безопасности) не включал в них некоторые требования Комплекса БР ИББС или придавал этим требованиям рекомендательный характер.
Необходимо подчеркнуть: политика информационной безопасности банка после ее принятия корректировалась не только после выхода новых редакций документов из состава Комплекса БР ИББС. Изменения вносились в соответствии с изменениями законодательной базы, в частности с выходом федеральных законов «О персональных данных», «Об информации, информационных технологиях и о защите информации» и соответствующих им подзаконных актов.
Так, в конце 2007 года была утверждена очередная редакция политики информационной безопасности банка с новым разделом, посвященном вопросам обработки и защиты персональных данных. А в конце 2008 года уже и в эту редакцию были внесены дополнения и изменения, отражающие требования новых тематических подзаконных актов. После принятия в банке осенью 2010 года в качестве обязательного для исполнения Комплекса БР ИББС все его требования (за исключением единичных, обоснованно неприменимых в банке) включали в локальные нормативные акты банка в статусе обязательных.
Основным документом банка «Возрождение», да и любой организации БС РФ, по вопросу обеспечения информационной безопасности, безусловно, является политика информационной безопасности. Именно эта политика становится де-факто (не де-юре!) стандартом организации БС РФ в статусе, определенном Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
СТАНДАРТ ДИКТУЕТ ПОЛИТИКУ
При прохождении внешней или внутренней оценки соответствия требованиям и рекомендациям Комплекса БР ИББС практически на каждом ее шаге приходится отвечать на важный вопрос. Конкретные требования обеспечения информационной безопасности должны устанавливаться именно собственными документами организации БС РФ, а не только обязательным для исполнения стандартом СТО БР ИББС-1.0.
В результате чего получается, хочется этого или не очень, знак равенства, то есть почти полная корреляция фрагментов текстов Комплекса БР ИББС и политики информационной безопасности банка вместе с ее частными политиками.
Суть самих процессов обеспечения информационной безопасности, конечно, от этого не меняется, но, в данном случае, документирование весьма существенно, пусть формальным образом, влияет на абсолютную величину оценки по многим частным показателям. Тем самым и на общий рейтинг банка.
Знаковым событием для банковского сообщества стало так называемое «письмо шестерых» за исходящим номером Банка России от 28.06.2010 г. № 01-23/3148. Этот важный документ увидел свет только благодаря колоссальной организаторской работе, проведенной Банком России, в основном, в лице Главного управления безопасности и защиты информации. «Письмо шестерых» подвело некий итог очередному этапу отраслевой стандартизации процессов обработки и защиты информации, в том числе содержащей персональные данные.
В соответствие с этим письмом банку «Возрождение» предстояло сделать ряд шагов по приведению в соответствие законодательным требованиям в области персональных данных. Одним из них стала оценка соответствия системы обеспечения информационной безопасности банка требованиям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией, имеющей опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.
ПРОЦЕСС ОЦЕНКИ
Банком на конкурсной основе в качестве аудитора было выбрано ЗАО НИП «Информзащита» − член сообщества ABISS (Association for Banking Information Security Standards). Последовавшая более чем двухмесячная процедура оценки соответствия проходила весьма непросто для банка.
Основные затруднения были вызваны вопросами, имевшими прямое или косвенное отношение к тематике персональных данных − обработке, классификации, защите и т.п. Дело в том, что ранее в банке вопросы обработки и безопасности персональных данных не выделялись в отдельные тематические процедуры. Их безопасность обеспечивалась в рамках режимов конфиденциальности банковской и коммерческой тайн.
Нужно учитывать: процедуры обработки именно персональных данных не могли быть просто выделены в отдельные технологические процессы по отношению к иной банковской информации. В этом случае пришлось бы идти на значительную и не целесообразную, с точки зрения банка, перестройку информационной инфраструктуры и соответствующие материальные затраты.
Кроме этого, вновь появившиеся в последней версии методики оценки соответствия информационной безопасности СТО БР ИББС-1.2-2010 вопросы пока не обрели однозначного толкования. В частности − вопросы приложения В по мотивам новых рекомендаций РС БР ИББС-2.3-2010. Причина − в сравнительно небольшом промежутке времени, прошедшего после опубликования Комплекса БР ИББС, и отсутствии достаточной практики его применения.
Оценка соответствия проводилась не только в центральном аппарате банка «Возрождения», но и в ряде филиалов, как московского региона, так и расположенных в других субъектах Российской Федерации. Общим итогом стала констатация факта: банк достиг четвертого уровня соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0-2010. Величина итогового уровня R, после применения уточняющих вопросов упомянутого выше приложения В к предварительно оцененным частным показателям, составила 0,86 − немного больше минимального значения для четвертого уровня, рекомендуемого Банком России.
СТРОГОСТЬ МЕТОДИКИ
Косвенным образом такой итоговый уровень R означает: оценка степени выполнения требований стандарта СТО БР ИББС-1.0-2010, регламентирующих обработку именно персональных данных в контексте надзорных полномочий Роскомнадзора, должна иметь величину 1,0. Что, в свою очередь, означает полное выполнение требований по групповому показателю М9 «Общие требования по обработке персональных данных в организации БС РФ», состоящему из 23-х частных показателей (вопросов).
Оценка этого группового показателя по методике оценки соответствия информационной безопасности стандарта СТО БР ИББС-1.2-2010 имеет самый жесткий характер. Потому что его общая оценка определяется по наименьшему значению оценок входящих в него частных показателей, при этом коэффициенты их значимости стандартом не установлены.
Например, оценка «0,25» по любому из 23-х оцениваемых вопросов группового показателя М9 автоматически означает не только общую оценку всего показателя М9, равную также «0,25», но и величину итогового уровня R, имеющую значение «0,25» и, как следствие, − только первый уровень соответствия для всей организации БС РФ.
На практике «неправильный» ответ, скажем, на один из вопросов подобных «определена ли в организации необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных?» приводит к общему нулевому (?!) уровню соответствия информационной безопасности всем остальным требованиям стандарта СТО БР ИББС-1.0-2010. Отношение стандарта СТО БР ИББС-1.2-2010 к оценке выполнения требований остальных регуляторов в области персональных данных (ФСБ России и ФСТЭК России) более лояльно, но ненамного.
Жесткости в методике оценки по подведомственным им вопросам не с избытком, как в тематике Роскомнадзора, но также хватает. Для ФСТЭК России, например, это «методика в методике», если иметь в виду 34, а реально почти вдвое больше вопросов приложения В. Такая методика оценки «работает» только на «веерное» понижение значений большинства− более 40 частных показателей информационной безопасности, предварительно уже оцененных.
ОТ ХОРОШЕГО К ЛУЧШЕМУ
В стандарте появились некоторые «неудобные» для практического применения вопросы. Так в разделе требований ФСБ России (групповой показатель М6 «Обеспечение информационной безопасности при использовании средств криптографической защиты информации») таковым является обязательный вопрос, имеют ли СKЗИ, применяемые для защиты персональных данных, класс не ниже KС2.
По всем вопросам, удобным или неудобным для организаций БС РФ, регуляторы, каждый по «своей тематике», увидят интегральную оценку в документе «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010». В соответствии с упомянутым ранее «письмом шестерых» предполагается, что он должен быть выслан в адрес Банка России и территориальных органов регуляторов (рис. 1).
Основные преимущества внедрения организацией БС РФ Комплекса БР ИББС, как показывает опыт банка «Возрождение», следующие.
1. Результатом проведения процедуры оценки соответствия требованиям стандарта СТО БР ИББС-1.0-2010, законодательных и ведомственных нормативно-правовых актов в области персональных данных является итоговый уровень соответствия и оценки степени выполнения отдельных требований регуляторов, которые имеют строго ранжированное количественное выражение.
2. Комплексное решение задач защиты информации, в том числе и персональных данных, в различных режимах конфиденциальности (банковской и коммерческой тайн) позволяет банку оптимизировать затраты на выполнение требований по информационной безопасности различных регуляторов.
3. Система обеспечения информационной безопасности банка приводится в соответствие с лучшими мировыми практиками, на основе которых и был разработан Банком России Комплекс БР ИББС.
4. Выполнение требований стандарта СТО БР ИББС-1.0-2010 способствует не только систематизации и упорядочению системы обеспечения информационной безопасности банка и работы соответствующих служб банка, но и, в конечном счёте, снижению операционных и некоторых других рисков, связанных с основной деятельностью банка.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных