Готовность к силе закона

Оче­вид­но, что Фе­де­раль­ный закон № 152-ФЗ «О пер­со­наль­ных дан­ных», равно как и под­за­кон­ные акты, при­зван­ные кон­кре­ти­зи­ро­вать тре­бо­ва­ния за­ко­на, пол­но­стью не рас­кры­ва­ли всех ас­пек­тов обес­пе­че­ния без­опас­но­сти пер­со­наль­ных дан­ных. Кон­крет­ных ре­ко­мен­да­ций опе­ра­то­ры пер­со­наль­ных дан­ных ожи­да­ли от нор­ма­тив­ных до­ку­мен­тов ре­гу­ли­ру­ю­щих ор­га­нов, в част­но­сти ФСТЭК Рос­сии. Од­на­ко по­зи­ция ре­гу­ля­то­ров сво­ди­лась к тому, что, мол, вы де­лай­те, а мы потом по­смот­рим. В ре­зуль­та­те имели место непо­ни­ма­ние и раз­ные трак­тов­ки тре­бо­ва­ний ре­гу­ля­то­ров. До­пол­ни­тель­ный год, ко­то­рый был дан участ­ни­кам рынка, тоже не помог пол­но­му ре­ше­нию про­бле­мы. Од­на­ко необ­хо­ди­мость при­во­дить свои ИТ-ин­фра­струк­ту­ры в со­от­вет­ствие тре­бо­ва­ни­ям за­ко­на со­хра­ня­ла свою актуальность.

Вла­ди­мир Сер­ге­ев, ру­ко­во­ди­тель служ­бы ин­фор­ма­ци­он­ной без­опас­но­сти НБ «Траст», счи­та­ет, что закон № 152-ФЗ в целом сыг­ра­ет по­ло­жи­тель­ную роль для фи­нан­со­во­го рынка, по­сколь­ку мо­ти­ви­ру­ет кре­дит­ные ор­га­ни­за­ции за­нять­ся в том числе пе­ре­смот­ром своих ин­фор­ма­ци­он­ных ре­сур­сов и ак­ти­вов. В част­но­сти, НБ «Траст» при­гла­сил спе­ци­а­ли­стов ЗАО НПО «Эше­лон», ли­цен­зи­а­та ФСТЭК Рос­сии, для про­ве­де­ния ауди­та мно­же­ства ин­фор­ма­ци­он­ных си­стем банка и под­го­тов­ки ре­ко­мен­да­ций по их при­ве­де­нию в со­от­вет­ствие тре­бо­ва­ни­ям за­ко­на о пер­со­наль­ных данных.

«Надо от­да­вать себе отчет в том, что бан­ков­ский биз­нес раз­ви­вал­ся до­воль­но стре­ми­тель­но, при­чем в кон­ку­рент­ной среде, — от­ме­ча­ет Сер­ге­ев. — Когда со­зда­ва­лись ин­фор­ма­ци­он­ные си­сте­мы, нужно было как можно быст­рее ре­а­ли­зо­вать тот или иной про­ект или вы­ве­сти на рынок новую бан­ков­скую услу­гу. ИТ-со­труд­ни­ки по­ни­ма­ли важ­ность задач ИБ, но в то время эти во­про­сы не вхо­ди­ли в число при­о­ри­тет­ных. Ко­неч­но, долго так про­дол­жать­ся не может. Нель­зя было по­сто­ян­но ста­вить биз­нес под угро­зу и ис­поль­зо­вать сла­бые решения».

В со­труд­ни­че­стве с ауди­то­ра­ми-кон­суль­тан­та­ми была со­став­ле­на мо­дель угроз, учи­ты­ва­ю­щая цен­тра­ли­зо­ван­ный ха­рак­тер об­ра­бот­ки и хра­не­ния дан­ных о кли­ен­тах, и про­ве­де­на клас­си­фи­ка­ция си­стем. Кроме того, для обес­пе­че­ния со­от­вет­ствия про­цес­сов об­ра­бот­ки пер­со­наль­ных дан­ных за­ко­ну № 152-ФЗ была со­зда­на по­сто­ян­но дей­ству­ю­щая ра­бо­чая груп­па. Так как пер­со­наль­ные дан­ные могут «пре­под­но­сить сюр­при­зы» в раз­ных об­ла­стях, то и в груп­пу, по­ми­мо ИТ-спе­ци­а­ли­стов и спе­ци­а­ли­стов по ин­фор­ма­ци­он­ной без­опас­но­сти, вошли ру­ко­во­ди­те­ли биз­нес-под­раз­де­ле­ний, со­труд­ни­ки кад­ро­во­го от­де­ла и служ­бы внут­рен­не­го кон­тро­ля, а также юри­сты. Все про­бле­мы, ко­то­рые воз­ни­ка­ли в про­цес­се работ по ре­а­ли­за­ции тре­бо­ва­ний за­ко­на № 152-ФЗ, вы­но­си­лись на об­суж­де­ние этой ра­бо­чей группой.

За­да­ча обес­пе­че­ния за­щи­ты пер­со­наль­ных дан­ных в банке «Траст» су­ще­ствен­но упро­ща­лась бла­го­да­ря тому, что здесь при­ме­ня­ет­ся цен­тра­ли­зо­ван­ная си­сте­ма об­ра­бот­ки дан­ных кли­ен­тов. Фи­ли­а­лы вво­дят дан­ные в си­сте­му и имеют до­ступ толь­ко к той ин­фор­ма­ции, ко­то­рая им необходима.

Раз­вер­ну­тая в банке си­сте­ма ин­фор­ма­ци­он­ной без­опас­но­сти на­хо­ди­лась на вы­со­ком уровне с точки зре­ния как «ре­аль­ной» без­опас­но­сти, так и со­от­вет­ствия дей­ству­ю­щим стан­дар­там без­опас­но­сти (СТО БР ИББС-1.0, PCI DSS и др.); тем не менее опре­де­лен­ные усо­вер­шен­ство­ва­ния по­тре­бо­ва­лись, по­сколь­ку закон № 152-ФЗ предъ­яв­ля­ет к си­сте­ме ин­фор­ма­ци­он­ной без­опас­но­сти новые се­рьез­ные тре­бо­ва­ния в от­но­ше­нии за­щи­ты пер­со­наль­ных дан­ных. Одним из таких тре­бо­ва­ний, в част­но­сти, яв­ля­ет­ся ис­поль­зо­ва­ние средств за­щи­ты ин­фор­ма­ции, про­шед­ших про­це­ду­ру оцен­ки со­от­вет­ствия, то есть сер­ти­фи­ка­цию в си­сте­ме сер­ти­фи­ка­ции ФСТЭК Рос­сии или ФСБ России.

Новый под­ход к защите

Ос­нов­ны­ми за­да­ча­ми для кон­суль­тан­тов были об­сле­до­ва­ние и по­мощь в клас­си­фи­ка­ции ин­фор­ма­ци­он­ных си­стем пер­со­наль­ных дан­ных, а также тех­ни­че­ское про­ек­ти­ро­ва­ние си­сте­мы за­щи­ты этой ка­те­го­рии дан­ных. «Рань­ше мы стре­ми­лись обес­пе­чить за­щи­ту каж­дой си­сте­мы в от­дель­но­сти. Кон­суль­тан­ты пред­ло­жи­ли вы­де­лить три ос­нов­ных сег­мен­та (сер­вер­ная часть в целом, ка­на­лы пе­ре­да­чи дан­ных, поль­зо­ва­тель­ский сег­мент) и обес­пе­чить их за­щи­ту», — вспо­ми­на­ет Сергеев.

Про­ект было ре­ше­но про­ве­сти в че­ты­ре этапа: об­сле­до­ва­ние биз­нес-про­цес­сов и ин­фор­ма­ци­он­ных си­стем, свя­зан­ных с об­ра­бот­кой пер­со­наль­ных дан­ных; раз­ра­бот­ка мо­де­лей угроз без­опас­но­сти; под­го­тов­ка тех­ни­че­ско­го за­да­ния; раз­ра­бот­ка тех­ни­че­ско­го про­ек­та си­сте­мы за­щи­ты пер­со­наль­ных дан­ных. От­чет­ные ма­те­ри­а­лы по каж­до­му этапу со­гла­со­вы­ва­лись с от­вет­ствен­ны­ми за экс­плу­а­та­цию ин­фор­ма­ци­он­ных си­стем ИТ-под­раз­де­ле­ни­я­ми и биз­нес-де­пар­та­мен­та­ми, а также с ди­рек­ци­ей ин­фор­ма­ци­он­ной без­опас­но­сти банка. Кроме того, част­ная мо­дель угроз без­опас­но­сти пер­со­наль­ных дан­ных была со­гла­со­ва­на с ФСТЭК Рос­сии — это по­тре­бо­ва­лось для оцен­ки ее со­от­вет­ствия тре­бо­ва­ни­ям дей­ству­ю­щих нор­ма­тив­но-ме­то­ди­че­ских до­ку­мен­тов по за­щи­те кон­фи­ден­ци­аль­ной ин­фор­ма­ции. В ходе про­ек­та была также раз­ра­бо­та­на про­грам­ма обу­че­ния по во­про­сам, свя­зан­ным с вы­пол­не­ни­ем тре­бо­ва­ний за­ко­на № 152-ФЗ при об­ра­бот­ке пер­со­наль­ных дан­ных в банке, и про­ве­де­но ди­стан­ци­он­ное обу­че­ние со­труд­ни­ков его ре­ги­о­наль­ных подразделений.

В ходе про­ек­та были раз­ра­бо­та­ны внут­рен­ние ре­гла­мен­ты, на­прав­лен­ные на за­щи­ту пер­со­наль­ных дан­ных (по­ло­же­ния, при­ка­зы, ин­струк­ции и т. п.), вы­яв­ле­ны и клас­си­фи­ци­ро­ва­ны ин­фор­ма­ци­он­ные си­сте­мы пер­со­наль­ных дан­ных, со­став­ле­но уве­дом­ле­ние в Ро­с­ком­над­зор, про­ве­де­но обу­че­ние со­труд­ни­ков, вы­яв­ле­ны угро­зы без­опас­но­сти пер­со­наль­ным дан­ным, со­дер­жа­щим­ся в ин­фор­ма­ци­он­ных си­сте­мах банка, про­из­ве­де­на оцен­ка рис­ков, свя­зан­ных с их ре­а­ли­за­ци­ей, и раз­ра­бо­тан эскиз тех­ни­че­ско­го про­ек­та, в со­от­вет­ствии с ко­то­рым будет осу­ществ­лять­ся внед­ре­ние средств за­щи­ты пер­со­наль­ных дан­ных. По сло­вам Сер­ге­е­ва, к вы­пол­не­нию этих работ будет при­гла­ше­на дру­гая компания.

Вступ­ле­ние в силу

Оче­вид­но, что к ян­ва­рю 2011 года, к мо­мен­ту вступ­ле­ния в силу за­ко­на № 152-ФЗ, мало кто из опе­ра­то­ров пер­со­наль­ных дан­ных смо­жет про­де­мон­стри­ро­вать пол­ную го­тов­ность. Сер­ге­ев счи­та­ет, что в усло­ви­ях на­столь­ко огра­ни­чен­ных сро­ков необ­хо­ди­мо по­лу­чить до­ку­мент, ко­то­рый поз­во­лит по­нять, какие во­про­сы за­щи­ты пер­со­наль­ных дан­ных уже ре­ше­ны, в каком на­прав­ле­нии ра­бо­ты будут про­дол­жать­ся и в какие сроки они долж­ны быть за­вер­ше­ны. «Раз­ра­бо­тан­ная мо­дель угроз от­ве­ча­ет тому, что есть сей­час. Но как быть, ска­жем, через год, когда что-то из­ме­нит­ся во внут­рен­них про­цес­сах в банке или внеш­ней биз­нес-сре­де? И как эти из­ме­не­ния по­вли­я­ют на сло­жив­шу­ю­ся ИТ-ар­хи­тек­ту­ру? Нам еще пред­сто­ит по­нять, на­сколь­ко при­ня­тое нами ре­ше­ние ока­жет­ся адап­ти­ру­е­мым к из­ме­не­ни­ям и пра­виль­ным в дол­го­сроч­ной пер­спек­ти­ве», — от­ме­ча­ет Сергеев.

Оче­вид­но, что от­вет­ствен­ность за вы­пол­не­ние тре­бо­ва­ний за­ко­на № 152-ФЗ лежит на опе­ра­то­ре, ко­то­рый осу­ществ­ля­ет об­ра­бот­ку пер­со­наль­ных дан­ных, то есть на банке. Кон­суль­тан­ты и ком­па­ния-ин­те­гра­тор могут нести от­вет­ствен­ность толь­ко за ре­а­ли­зо­ван­ные в рам­ках про­ек­та ре­ше­ния. Ве­ро­ят­нее всего, для под­дер­жа­ния си­сте­мы за­щи­ты пер­со­наль­ных дан­ных в со­от­вет­ствии с тре­бо­ва­ни­я­ми за­ко­но­да­тель­ства по­на­до­бит­ся уже не про­ект, а по­сто­ян­ный про­цесс, ко­то­рый в даль­ней­шем будет тре­бо­вать от банка и люд­ских, и фи­нан­со­вых за­трат. В слу­чае раз­вер­ты­ва­ния в банке новых ин­фор­ма­ци­он­ных си­стем, име­ю­щих от­но­ше­ние к об­ра­бот­ке или хра­не­нию пер­со­наль­ных дан­ных, либо из­ме­не­ния угроз ин­фор­ма­ци­он­ной без­опас­но­сти банку при­дет­ся мо­ди­фи­ци­ро­вать со­здан­ную си­сте­му за­щи­ты пер­со­наль­ных дан­ных, а сле­до­ва­тель­но, про­хо­дить по­втор­ную сер­ти­фи­ка­цию. Хо­те­лось бы на­де­ять­ся, что будут при­ня­ты по­прав­ки к за­ко­ну, из­бав­ля­ю­щие от необ­хо­ди­мо­сти ча­стых (а в ре­аль­но­сти прак­ти­че­ски по­сто­ян­ных) про­це­дур по­втор­ной сертификации.

В НБ «Траст» уве­ре­ны, что вы­бран­ное за­ко­но­да­тель­ством на­прав­ле­ние по за­щи­те пер­со­наль­ных дан­ных пра­виль­ное, — счи­та­ет Сер­ге­ев. — Это об­ще­го­су­дар­ствен­ное дело, и такой за­щи­той, как и со­хран­но­стью и без­опас­но­стью дру­гих ак­ти­вов, надо се­рьез­но за­ни­мать­ся, иначе могут воз­ник­нуть проблемы».

Из­ме­не­ния в за­коне, ве­ро­ят­нее всего, могут по­тре­бо­вать новых уси­лий, средств и вре­ме­ни. «Хо­те­лось бы, чтобы тре­бо­ва­ния за­ко­на боль­ше от­ве­ча­ли рос­сий­ским ре­а­ли­ям — осо­бен­но­стям биз­не­са, его вза­и­мо­от­но­ше­ний с го­су­дар­ством, раз­лич­ны­ми ре­гу­ли­ру­ю­щи­ми ор­га­на­ми, с дру­ги­ми участ­ни­ка­ми рынка и пр., — от­ме­ча­ет Сер­ге­ев. — Уточ­няя по­ня­тия, наши за­ко­но­да­те­ли и ре­гу­ля­то­ры из­ба­ви­ли бы нас от за­блуж­де­ний. Это чрез­вы­чай­но важно, ведь за­блуж­де­ния вы­ли­ва­ют­ся в нема­лые фи­нан­со­вые потери».

Источник: osp.ru