Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
С момента принятия Закона «О персональных данных» (№ 152-ФЗ) прошло почти два года.
Нормативные подзаконные акты появились около года назад, начались практические шаги по
выполнению требований закона. Специфика бизнеса кредитно-финансовых учреждений и пре-
жде побуждала банковские структуры внимательно относиться к защите данных своих клиентов,
выполнять существующие законы и стандарты. Тем не менее, с целью снижения рисков приоста-
новления деятельности многие банки уже классифицировали свои информационные системы и
начали предпринимать шаги по дополнительной защите именно персональных данных (ПДн).
Прошли первые проверки со стороны регулирующих органов, и уже можно говорить о правопри-
менительной практике в отношении Закона № 152-ФЗ.
Вместе с тем, появились и первые разочарования, а главное – множество вопросов по практичес-
кому выполнению требований закона № 152-ФЗ. Искать ответы предстоит всем участникам про-
цесса – регуляторам, операторам ПДн, разработчикам и интеграторам информационных систем.
Ряд актуальных для профессионального сообщества вопросов были вынесены на обсуждение на
Круглом столе, проведенном журналом «Connect! Мир связи» 28 мая.
Поддержку проведению мероприятия оказали компании: Aflex Software, BCC, Cisco, INLINE
Technologies, «Инфосистемы Джет», КРОК, Лаборатория «Скат», «С-Терра СиЭсПи», «ЭЛВИС-
ПЛЮС».
Предлагаем вниманию читателей основные итоги, мнения и предложения, высказанные участни-
ками обсуждения.
КРУГЛЫЙ СТОЛ
заместитель начальника Управления защиты информации МБРР начальник ОЗИ СБ, Банк Москвы
Практические вопросы: мест на каждом. Аттестация по программе, Алексей Лукацкий: Хотелось бы уточ-
которая была согласована со ФСТЭК Рос- нить: может ли лицензиат и разработать
аттестация, сертификация, сии, заняла примерно три месяца. модель угроз, и произвести затем аттес-
лицензирование Андрей Грициенко: Информационные тацию этого же заказчика? И каковы воз-
системы 55 своих филиалов банк «Воз- можные действия, если после аттестации
Вопросы первой части «круглого стола» рождение» аттестовал ровно год. Плюс при проведении надзорных мероприятий
адресовались, главным образом, представи- примерно год заняли подготовительные будут обнаружены какие-то отклонения от
телям регуляторов. работы – создание отдела, отбор и обучение позиции ФСТЭК?
специалистов, приобретение необходимой Как следовало из ответов И. Назарова
Кто может аттестовать рабочие техники и согласование программы испы- на эти вопросы, модель угроз может разра-
места на соответствие таний со ФСТЭК. ботать для оператора лицензиат ФСТЭК.
требованиям законодательства Он же может аттестовать ИСПДн заказ-
и нормативных документов Как убедиться, что модель чика, и поскольку он при этом реализует
в области персональных угроз, разработанная позицию ФСТЭК, возражений со стороны
данных? Каковы сроки для специальной системы, ведомства не будет.
проведения аттестации? не вызовет претензий Сергей Рябко: Напрашивается мысль,
со стороны надзорных что модели угроз и возможные типовые
Игорь Назаров: Аттестацию ИСПДн на органов? решения по их компенсации было бы це-
соответствие требованиям по безопасности лесообразно не разрабатывать с нуля ин-
информации имеют право проводить ли- Игорь Назаров: При желании оператор дивидуальный проект для каждого объекта,
цензиаты ФСТЭК, которые имеют лицен- ПДн может согласовать со ФСТЭК Рос- а типизировать. Есть ли движение в этом
зию на деятельность по технической защите сии разработанную им модель угроз, хотя направлении?
конфиденциальной информации. руководящие документы ФСТЭК России Игорь Назаров: По моей информации,
По поводу сроков проведения аттеста- этого не требуют. На согласование модели такие работы ведутся нашими лицензиата-
ции И. Назаров заметил, что, скорее всего, угроз у нас уходит, как правило, одна- ми, и мы их только приветствуем.
они будут зависеть от аттестуемой сис- две недели, максимум три, если модель Андрей Курило: Важен вопрос, будем
темы. В свою очередь, участники «круглого сложная. ли мы учитывать в модели угроз утечку ин-
стола» привели примеры сроков выполне- Мы будем проверять выполнение тех формации по техническим каналам или нет.
ния таких работ, исходя из собственного требований, которые оператор в соответс- От этого в значительной степени зависят
опыта. твии с моделью угроз определил для своей временные и материальные затраты банка.
Сергей Вихорев: От имени лицензиатов информационной системы, не вникая в со- Поэтому было бы хорошо определиться
хочу сказать, что сейчас назвать конкретные держание обрабатываемых персональных по этому вопросу. Банк России, проведя
сроки и цену проведения аттестационных данных – так определено законом. определенные исследования и применив
испытаний затруднительно. Все зависит от Разбирательство последует в том случае, методику оценки рисков нарушения инфор-
систем, объема работ и требуемой степени если субъект ПДн обратится с претензией мационной безопасности (которую можно
защиты. Но в свое время «ЭЛВИС-ПЛЮС» по поводу утечки его персональных данных найти на сайте Подкомитета № 3) еще раз
провел аттестационные испытания системы в Роскомнадзор либо ФСТЭК России (а убедился в том, что эти каналы не актуаль-
переписи населения – это 68 объектов по ФСТЭК России, соответственно, передаст ны. А значит, нужна более четкая модель,
всей территории РФ, от 200 до 30 рабочих обращение в Роскомнадзор). приближенная к практической жизни.
№ 7, 2009 3
Признав, что меры по защите каналов полномочий, определенных либо дове- средств для защиты наиболее критичных
ПЭМИН и виброакустических каналов для ренностью, либо уставом. В связи с этим, категорий ПДн. Его обсуждение обернулось
многих организаций не являются актуаль- если филиал уполномочен проводить со- вопросами к регулятору.
ными, Игорь Назаров посоветовал банкам ответствующие мероприятия, он может
обосновать в своей модели угроз неактуаль- иметь копию лицензии в установленном Согласно ст. 5 Постановления
ность рисков утечек по этим каналам. порядке, если таковая есть у банка. Если Правительства РФ № 781
же филиал привлекает лицензиатов, ли- средства защиты информации,
Нужно ли операторам, цензия не нужна, а уведомление в Роском- применяемые
обрабатывающим надзор составляется единое, для банка в в информационных системах,
персональные данные целом.
в установленном порядке
в ИСПДн, получение лицензии
проходят процедуру оценки
круглый стол
Предположим, в банке документации ФСТЭК, так называемого Алексей Лукацкий: Будут ли требова-
установлен действующий «четверокнижия». В настоящее время эти ния по НДВ дифференцироваться по классу
межсетевой экран, который документы, которых теперь будет два, систем или они будут общими для всех
не прошел проверку а не четыре, готовятся для передачи на четырех классов? Ведь западной компании
регистрацию в Министерство юстиции. непросто представить исходные коды.
соответствия. Значит ли это,
Документы будут открытыми. Игорь Назаров: Требования по НДВ
что межсетевой экран нужно будут дифференцироваться в зависимости
отключить и отвести Какова степень от класса информационной системы.
к лицензиату для проведения преемственности между ФСБ России также готовит новые
проверки соответствия? первой и второй редакциями версии своих нормативно-методических
документов? Отменят ли новые документов.
Игорь Назаров: Такой межсетевой экран документы какие-либо
подлежит замене на сертифицированный. Возможна ли конкретизация
положения предыдущих?
Кроме того, мы рассматриваем комплект в нормативных документах ФСБ
технической документации по обеспече- Игорь Назаров: Принципиальных от- требований по проведению
нию безопасности персональных данных личий от предыдущей версии новые до- мероприятий по обнаружению
в конкретной информационной системе кументы не имеют. Были лишь устранены вторжений в ИСПДн?
в целом, в том числе и функциональные некоторые неточности и неоднозначности,
свойства указанного межсетевого экрана. которые существовали в прежних доку- Виктор Гаврилов: Федеральная служба
И пока не было прецедентов, чтобы кому-то ментах. В частности, более ясно говорится безопасности, как и ФСТЭК, готовит к
было дано отрицательное заключение. о снятии вопросов защиты таких каналов переизданию два свои нормативно-мето-
На вопрос, что делать, если у организации утечки, как ПЭМИН, если они действитель- дических документа, и в новой редакции,
множество филиалов, в каждом большое коли- но не актуальны. безусловно, этот вопрос будет учтен.
чество оборудования и везде обрабатывают- Модель угроз открытой не будет, с на- Здесь имела место некоторая межве-
ся персональные данные, был дан ответ, что шей точки этот документ должен иметь домственная нестыковка – ссылка на тре-
системы филиалов наверняка в той или иной ограничительную пометку «для служебного бование ФСБ к системе обнаружения ком-
степени типизированы. Поэтому для согла- пользования». пьютерных атак содержится в документах
сования достаточно представить типовое Но отменять какие-либо положения ФСТЭК, а не ФСБ. Но в новой версии мы
техническое задание, технический проект и, прежних документов новые документы не это учтем, и соответствующие рекоменда-
при желании подстраховаться, модель угроз. будут. До их выхода можно руководство- ции будут даны.
ваться прежними документами. К сожалению, классификация средств
Нормативно-методические Игорь Ляпунов: Уточняющий вопрос: обнаружения вторжений отличается от
будут ли в новых версиях документов классификации средств криптографичес-
документы: грядут изменения сняты ограничения или сделаны какие-то кой защиты, более того, сам подход к клас-
нововведения в части сертификации на сификации несколько иной. Тем не менее
Одно из грядущих (и скорых) измене- отсутствие НДВ? определенные рекомендации по выбору
ний – выход новой версии СТР-К, которая Игорь Назаров: В этих документах сертифицированных средств будут даны в
сейчас готовится ФСТЭК. Документ будет будет уточнено, что сертификация по наших документах.
проходить регистрацию в Министерстве контролю отсутствия НДВ касается фун- На уточняющий вопрос, верно ли, что
юстиции. Правда, сроки его выхода пока не кционала безопасности, именно средств для систем IDS и IPS необходим только
называются. защиты, а не всего программного обес- сертификат ФСБ, а сертификат ФСТЭК
К концу лета ожидается выпуск но- печения, которое используется в инфор- не требуется, последовал ответ: средства
вой редакции нормативно-методической мационной системе. должны быть сертифицированы ФСБ.
№ 7, 2009 5
Правоприменительная числе используемых банками библиотек отзыве согласия субъекта ПДн. В числе са-
КриптоПро и Сигнал-КОМ. Потому что мых распространенных нарушений – обра-
практика: подчас на базе готового сертифицированно- ботка персональных данных после достиже-
первые результаты го продукта СКЗИ производитель создает ния цели обработки и наличие в типовых
совершенно другое средство криптозащиты, формах договоров персональных данных
Практика применения Закона № 152-ФЗ вмешиваясь в реализацию криптографичес- третьих лиц (родственников клиента кре-
постепенно начинает складываться, и уже ких функций. дитного учреждения).
можно осмысливать ее первые результаты, Лариса Васильева: На сегодняшний день По итогам этих проверок были выписаны
делать некоторые выводы. в реестре операторов, осуществляющих об- предписания об устранении выявленных
работку персональных данных, зарегист- нарушений. Постепенно формируется и су-
Какие нарушения чаще всего рировано более 52 тыс. операторов, хотя дебная практика, в 2008 году судами было
круглый стол
выявляются в ходе проверок? по прогнозным оценкам это число должно вынесено два решения в пользу субъектов
Какие за них предусмотрены составлять от 5 до 7 млн операторов. персональных данных.
санкции? По состоянию на 25 мая 2009 г. в реес- Необходимо отметить, что сейчас в Госу-
тре операторов было зарегистрировано 173 дарственной Думе Российской Фендерации
Виктор Гаврилов: Контролирующее под- кредитные организации – практически все находится на рассмотрении законопроект
разделение ФСБ имеет два типичных за- ведущие банки. Вместе с тем большая часть ФЗ «О внесении изменений в некоторые
мечания по результатам проверки. Первое организаций считают, что они не обязаны законодательные акты Российской Федера-
– это использование средств криптозащиты, уведомлять уполномоченный орган по за- ции», который должен привести их в со-
отличающихся от эталонной сертифициро- щите прав субъектов персональных данных, ответствие с ФЗ «О персональных данных»
ванной версии. Разработчик системы вносит ссылаясь на ч. 2 ст. 22 ФЗ «О персональных и ФЗ «О ратификации Конвенции Совета
изменение в программный код СКЗИ и тем данных». Это заблуждение. Ссылка на то, Европы «О защите физических лиц при ав-
не менее заявляет, что используются серти- что организация работает в рамках трудо- томатизированной обработке персональных
фицированные средства. Второе, и пожалуй, вых отношений и договоров не убедительна, данных»». Законопроект предполагает вне-
более важное – это использование средств поскольку банки осуществляют работу с сение дополнений в законодательные акты
криптозащиты не в тех условиях, для ко- гражданами, не являющимися клиентами РФ в части установления правил обработки
торых оно было сертифицировано. Я бы банка. персональных данных в различных сферах
напомнил, что надо внимательно читать В первом квартале этого года уже про- деятельности, а также ответственности за
документацию на средства криптозащиты, ведены первые плановые проверки кре- их нарушение.
изучать сертификат, обращать внимание дитных организаций. По итогам проверок Кроме того, Роскомнадзор готовит пред-
на объект криптографической защиты (ко- был выявлен ряд нарушений. Наиболее ложения в проект соглашения с Центробан-
торый мы с некоторых пор стали явным типичные – это в первую очередь обра- ком РФ в части контроля за деятельностью
образом прописывать в самом сертификате). ботка персональных данных без согласия кредитных организаций в области обработ-
И обращать внимание на то, что в случае субъекта персональных данных. Второе – ки персональных данных.
использования этих средств для защиты не предоставление субъекту персональных
информации, подлежащей защите по закону, данных по его запросу информации, касаю- Что проверяет Роскомнадзор
необходимо проводить проверку коррект- щейся обработки его персональных данных в ходе планового мероприятия?
ности их встраивания силами лицензиата, кредитным учреждением. Были выявлены Возможно ли вообще избежать
что в реальности делается далеко не всегда. несоблюдение требований конфиденциаль- нарушений?
Отвечая на один из последующих вопро- ности при обработке персональных дан-
сов, Виктор Гаврилов еще раз подчеркнул, ных, неисполнение кредитным учреждением Лариса Васильева: Прежде всего, про-
что всегда необходимо проводить оценку требований по прекращению обработки и веряется достоверность тех сведений, ко-
корректности встраивания СКЗИ, в том уничтожению персональных данных при торые предоставляет оператор в своем
уведомлении об обработке персональных своих работников, которые могут быть этими рисками происходит исключительно
данных. Практически в 50% случаев эта ин- допущены к обработке персональных данных за счет проверочных мероприятий в отно-
формация не соответствует действительнос- этого лица. Более того, возникает опасение, шении заемщика – других механизмов нет.
ти. Как правило, нарушаются установленные что недобросовестные конкуренты получа- Информация, собираемая службами эко-
Федеральным законом «О персональных ют в свои руки инструмент, действующий номической безопасности, должна накап-
данных» сроки информирования Уполно- аналогично DDoS-атаке, когда массирован- ливаться и анализироваться. Возможности
моченного органа по защите прав субъек- ная подача запросов и жалоб способна фак- доступа к государственным базам данных,
тов персональных данных об изменении тически парализовать работу отделения где содержатся сведения о потенциальных
сведений, указанных в уведомлении. Поми- банка. заемщиках, включая сведения негативного
мо уведомления, проверяется деятельность Лариса Васильева: Уполномоченный характера, у банков практически нет, им от-
оператора по обработке персональных дан- орган не имеет функций по нормативно- казывают, в том числе, со ссылкой на Закон
ных на предмет соответствия требований правовому регулированию. Вместе с тем «О персональных данных». Выполняя закон,
законодательства Российской Федерации в Роскомнадзором выработаны предложения банки должны к 31 декабря всю накоплен-
области персональных данных. Это и нали- по внесению изменений в ФЗ «О персо- ную ими информацию уничтожить. С чем
чие согласия субъекта персональных данных нальных данных». Предложения вносятся мы войдем в 2010 год? Должны ли банки
на обработку его персональных данных, соб- через Министерство связи и массовых ком- начать раздавать кредиты без проверки за-
людение требований конфиденциальнос- муникаций Российской Федерации, которое емщиков? К тому же никто никогда не даст
ти, соблюдение требований при обработке поддерживает нас в этом вопросе. Если у вас согласия на передачу его дела в коллектор-
биометрических и специальных категорий есть конструктивные предложения по части ское агентство.
персональных данных и т. д. совершенствования федерального закона, Банки – это специфическая категория
Что касается вопроса о возможности мы готовы их выслушать. операторов ПДн, чья деятельность регу-
избежания нарушений, то единственный Мнение операторского сообщества отно- лируется Законом «О банках и банковс-
способ – это соблюдение оператором тре- сительно практики массового направления кой деятельности». Поэтому наше пред-
бований, установленных законодательством обращений с целью дестабилизации работы ложение – ввести в этот закон отдельную
РФ. Безусловно, правоприменительная кредитной организации мы прекрасно по- статью об обработке персональных дан-
практика складывается постепенно и пока нимаем и стараемся рассматривать вопрос ных. Тогда мы получим возможность, с
вопросов остается больше чем ответов. Но объективно. Уполномоченный орган обязан одной стороны, учесть законные интере-
мы стремимся строить партнерский диалог защищать права субъектов персональных сы субъектов персональных данных, а с
с операторами, а не выискивать нарушения. данных, но, тем не менее, мы учитываем и другой – учесть и интересы банковского
И те проверки, которые были проведены, интересы операторов. Никто не запреща- сообщества. Мы внесли соответствующие
показывают, что кредитные организации ет кредитным организациям обрабатывать предложения в АРБ. Если бы регуляторы
исполняют закон. персональные данные, необходимо это осу- поддержали нас в этом вопросе, польза
Между тем, представители банковского ществлять в рамках правового поля. была бы для всех.
сообщества сходятся на том, что в пол- Возникает и масса других вопросов по
ной мере выполнить установленные законом поводу требований Закона «О персональных Закон предоставил
требования практически невозможно без данных», в том числе о возможности для уполномоченному органу право
ущерба для основного бизнеса. Например, кредитных учреждений собирать информа-
«направлять заявление в орган,
необходимость отвечать в письменном виде цию о заемщиках.
на запрос любого лица о том, как обрабаты- Сергей Бондарев: Кредитование – это
осуществляющий
ваются его персональные данные, чревата для банков основной источник получения лицензирование деятельности
замедлением работы и созданием очередей. доходов и выплаты дивидендов вкладчи- оператора, для рассмотрения
При этом банк должен сообщить любому кам. Вместе с тем, кредитование сопряже- вопроса о принятии мер
обратившемуся лицу персональные данные но с рисками, и, фактически, управление по приостановлению действия
№ 7, 2009 7
с подрядчиком, уведомление уполномочен- информации. Положения Стандарта Банка ема документирования – это оценка рисков
ного органа не требуется. Основание – ч. 2 России (СТО БР ИББС–1.0–2008) позво- на всех уровнях моделей информационных
ст. 22 ФЗ «О персональных данных». ляют систематизировать организационно- систем, составление планов по минимиза-
технические наработки в этой области и ции этих рисков, контроль, проверка, дове-
являются не только базовым документом, дение до руководства и т. д. Можно реализо-
Закон для создания единой политики обеспечения вать эти процессы, если в банке существует
«О персональных данных» безопасности информации в банковских небольшое количество систем (а лучше, если
бизнес-процессах, но и включают в себя одна). Но, например, в Сбербанке систем
и Стандарт Банка России различные нормативные требования, поз- очень много, ряд территориальных отделе-
воляющие привести работу банков в соот- ний используют собственные системы, и они
Стандарт Банка России по инфор- ветствие с нормами различных отраслевых не располагают необходимыми ресурсами и
мационной безопасности СТО БР ИББС требований, как-то: PCI DSS и ISO 27001. квалификацией, чтобы этим заниматься.
признается хорошей платформой для вы- Несмотря на то, что ФЗ-152 не привязан к Стоит учесть и экономическую ситуацию
полнения других стандартов, например, конкретной отрасли и призван защищать в целом. Для многих отечественных банков
PCI DSS или ISO 27001. Может ли этот права всех частных лиц (клиентов) на кон- речь сейчас идет фактически о выживании,
стандарт стать столь же эффективной фиденциальность их личной информации, и внедрение стандарта не является для них
платформой для выполнения требований для соответствия требованиям и федераль- приоритетной задачей. Поэтому я считаю,
Закона № 152-ФЗ? Какие дополнительные ного закона, и стандарта ЦБ, используются что стандарт должен со временем стать обя-
требования нужно для этого внести в СТО аналогичные методики, как-то: разработка зательным, но для этого должны быть соот-
БР ИББС? И целесообразно ли сделать этот модели угроз и модели нарушителя. Следо- ветствующие условия и возможности.
стандарт обязательным? Эти вопросы вательно, наиболее эффективным решением Андрей Курило: Стандарты ISO, на ко-
стали предметом обсуждения во второй является использование единых подходов к торых основаны стандарты Банка России,
части «круглого стола». защите информации различного характера строятся на вероятностной оценке рисков.
и идентичных технических средств, приме- Но многие документы, которые сейчас дейс-
Андрей Курило: Мы проводили анализ няемых при реализации защиты различных твуют в нашей стране, построены на при-
того, насколько требования СТО БР ИББС элементов информации. нципе детерминированных требований, и
соответствуют требованиям по защите пер- Бравшие слово участники обсуждения это влечет другой подход при контроле.
сональных данных. Должен сказать, что в принципе поддерживали идею сделать Однако постепенно риск-ориентированный
для 3-й и 4-й категорий типовых систем стандарт Банка России обязательным. Но подход проникает в практическую жизнь.
совпадение составляет около 90%, таким с определенными оговорками. В настоящее Что мешает банкам строить внутреннюю
образом выполнение требований СТО БР время возможность выполнения стандарта политику на новой философии? В действи-
ИББС автоматически выводит банк на очень Банка России вызывает сомнение по причине тельности, внутренние аудиторы не готовы
№ 7, 2009 9