Суть – верна, детали – нет. Стандарты ИБ в банках лучше учитывают отраслевую специфику

 АРТЕМ СЫЧЕВ, заместитель директора Департамента безопасности – начальник Управления информационной безопасности «Россельхозбанка»

Суть – верна, детали – нет
Стандарты ИБ в банках лучше учитывают отраслевую специфику

Для ИТ-подразделений и служб информационной безопасности стало проблемой обеспечение соответствия работы кредитной организации требованиям различных нормативных документов и стандартов

Хотя страсти вокруг Федерального закона №152 «О персональных данных» улеглись, проблема соответствия требованиям этого закона остается актуальной. Как показывает практика, обеспечение соответствия требованиям этого закона и подзаконных актов к нему в кредитно-финансовой сфере имеет ряд проблем и особенностей.

Прежде всего необходимо учитывать следующие особенности. Вся деятельность организаций кредитно-финансовой сферы основана на риск-ориентированном подходе, как это рекомендуют Банк России и лучшая мировая практика. В полной мере риск-ориентированный подход используется и в деятельности, направленной на обеспечение информационной безопасности, в том числе и безопасности персональных данных. При этом банковское сообщество ориентируется на комплекс документов в области стандартизации информационной безопасности Банка России (БР ИББС).

В большинстве организаций кредитно-финансовой сферы еще до вступления в действие №152-ФЗ были установлены режимы банковской и/или коммерческой тайны. Тем не менее вступление в силу закона о персональных данных потребовало пересмотреть сложившуюся систему обеспечения информационной безопасности банков.

Во-первых, нет необходимости в получении дополнительных лицензий на непрофильную деятельность. Задача службы безопасности совместно с другими заинтересованными подразделениями организации – оценить риски и сформулировать требования по безопасности. В силу сложности современных автоматизированных систем и ИТ, применяемых в организациях кредитно-финансовой сферы, реализация этих требований, как правило, ложится на специализированные организации, интеграторов, которые уже имеют соответствующий набор необходимых лицензий. Последующее же использование средств и технологий обеспечения ИБ по действующей в настоящее время законодательно-нормативной базе не требует лицензирования.

Во-вторых, очевидна экономическая нецелесообразность аттестации информационных систем. Тем более когда законодательство предлагает альтернативные способы подтверждения выполнения требований по информационной безопасности. Современные информационные системы, особенно в многофилиальных организациях, – это живой организм, изменение которого происходит постоянно. Так, например, только внесение исправлений или дополнений, связанных с обновлением законодательной или методической базы, в АБС может происходить до трех раз в неделю. Поскольку АБС – это сердце любого банка, то замораживание состояния АБС на долгий срок для проведения аттестации приведет к потере конкурентоспособности банка. Процедура аттестации не только долгая, но и крайне затратная. Организации кредитно-финансовой сферы вынуждены изыскивать на эти процедуры средства, сокращая при этом кредитование физических и юридических лиц.

В-третьих, сомнительно, что найдется хоть одна кредитная организация, готовая потратить значительные финансовые ресурсы на оснащение своих операционных залов и допофисов средствами предотвращения утечки информации по техническим каналам. И прежде всего – потому, что нецелесообразно выстраивать дорогостоящую защиту от неактуальных угроз (виброакустика, ПЭМИН и т.д.). Безусловно, банки и другие финансовые организации обеспечивают особую защиту ряда своих помещений, прибегая к помощи специализированных лицензированных организаций. Но, как правило, это к персональным данным не имеет никакого отношения.

В-четвертых, типовые решения для головной организации и филиалов в части ИТ и бизнес-процессов ставят вопрос об унификации и типизации технологий и средств обеспечения ИБ, в том числе обеспечения безопасности персональных данных. В связи с этим имеет смысл рассматривать не каждую автоматизированную систему в отдельности, создавая полный комплекс защитных мер для нее одной, а оценивать всю организацию в целом. Иначе, имея несколько ИСПДн, можно получить несколько подсистем информационной безопасности, которые будут не только дублировать друг друга, но, вполне возможно, еще и мешать друг другу.

В рамках комитета по информационной безопасности Ассоциации российских банков (http://www.arb.ru/site/docs/?doccode=25) и при поддержке Центробанка (http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Met, http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd) были разработаны рекомендации для банков в части достижения соответствия требованиям №152-ФЗ и подзаконных актов к нему (http://www.abiss.ru/doc). Основа этих рекомендаций – опора на отраслевую специфику и следование стандартам отраслевого применения (БР ИББС).

Комментарии могут оставлять только зарегистрированные пользователи