Защита персональных данных в российских банках: есть ли правила?
Согласно точки зрения небезызвестного писателя, «доверие не покупается и не продается». Но доверие к компании со стороны её клиента сейчас имеет в полной мере осязаемую экономическую значимость. И, пожалуй, никакой второй бизнес так не зависит от пресловутого «уровня доверия», как банковский.
Джабраил Матиев, начальник направления защиты персональных данных по коммерческой части компании ReignVox
Постоянная работа с огромными массивами клиентских данных требует от банка любого формата постоянной работы в области защиты этих данных.
Как раз исходя из этого тема информационной безопасности, а вместе с ней и тема доверия, есть особенно актуальной в денежном секторе. Более того, требование обезопасисть каждые персональные эти, входящие в структуру информационной совокупности современной денежной компании есть и законодательно обоснованным – закон№152 «О персональных данных» совсем четко обязывает каждую компанию, обрабатывающую эти сведенья, совершить их защиту в строго определенные сроки.
Как новые, так и уже существующие информационные совокупности, обрабатывающие персональные эти, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. Учитывая столь строго обозначенные временные рамки, у организаций, обрабатывающих такую данные, остаётся меньше времени, дабы выполнить требования закона.
С чего направляться затевать работу по защите персональных данных? На какие конкретно сроки работ рассчитывать? Кому поручить проведение работ?
Какова средняя цена проекта и как сократить издержки? Все эти вопросы являются актуальными сейчас для любой компании, ведущей бизнес в денежном секторе. Экспертные ответы на них разрешает дать обширный опыт компанииReignVox в области защиты персональных данных в денежных структурах.
Жизнь в режиме обратного отсчета
закон№ 152 «О персональных данных» вступает в полную силу с 1 января 2011 года – более полугода в первых рядах до обозначенного законотворцами срока. Но не следует поддаваться обманчивому впечатлению об избытке времени.
Во-первых, внедрение проекта, направленного на исполнение требований по защите персональных данных, требует от четырех до полугода в зависимости от его сложности. Но и эта цифра не окончательна — сроки смогут увеличиться до шести-восьми месяцев за счет того периода, что банк израсходует на выбор хорошего интегратора для ведения и разработки проекта.
Проведение для того чтобы типа работ собственными силами угрожает для банка утратой объективности на стадии анализа и обследования, существующих в нем средств защиты, и необходимостью изыскать для данной работы отдельные трудовые ресурсы. В этом случае направляться не забывать и о таких факторах, как наличие подготовленных по тематике защиты персональных данных экспертов, нужного количества нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных. Опыт говорит, что в большинстве случаев всем этим требованиям в комплексе отвечают как раз сторонние интеграторы.
Во-вторых, возвращаясь к теме сроков, поставленных законом «О персональных данных» перед операторами данных (а о том, что банки именно и являются такими операторами, вопрос уже не следует в принципе), что бы в том месте ни говорили об их «перенесении», первые проверки регуляторов уже имеют место быть. Вывод — в полной мере логичен: актуальность неприятности не просто сохранилась, она в разы возросла, и её ответ делается насущной необходимостью.
«А ларчик…»
Около задачи по приведению ИСПДн в соответствие с положениями закона «О персональных данных» в течении последнего времени ведутся активные дискуссии, результат которых сводится по большей части к одному: ответ данной задачи очень проблематично в силу совокупности её организационных и правовых изюминок. Таковой вывод не в полной мере верен: практика применения требований по защите персональных данных, показавшаяся в течение первых трех месяцев 2010 года (в том числе и в банковской сфере), подтверждает понятность и интерпретируемость требований, предъявляемых к ИСПДн.
Их формулирование, документальное подтверждение и выполнение последнего с минимальным риском каких-либо неточностей не столько сложно в собственной реализации, сколько принципиально важно с позиций безопасности банковского бизнеса. Ещё более упрощает задачу возможность перепоручить её стороннему интегратору, чьи эксперты максимально оперативно и профессионально выполнят проект по защите персональных данных с учетом личных изюминок банковского бизнеса.
Так, первостепенной задачей делается выбор компании-интегратора, которой и будет решено доверить ведение проекта.
«Типовой» = «Эксклюзивный»?
Таковой символ равенства между данными взаимоисключающими друг друга понятиями в праве на существование. Данное утверждение подкрепляется практическим опытом уже завершенных компанией ReignVox успешных проектов по защите персональных данных.
С одной стороны, любой таковой проект включает в себя стандартное количество этапов: этап обследования информационных совокупностей персональных данных, этап проектирования совокупности защиты персональных данных, этап внедрения СЗПДн, этап оценки соответствия ИСПДн требованиям закона и этап помощи созданной совокупности. Причем оценка соответствия ИСПДн, как этап, носит необязательный темперамент и проводится по усмотрению компании-клиента. Равно как и этап помощи созданной совокупности.
Типичность в большинстве случаев заканчивается на начальной стадии (этапе обследования информационных совокупностей), так как именно он разрешает распознать и обрисовать те требования, каковые будут предъявлены в будущем к совокупностям. И эти параметры уже личны и ориентированы на каждого конкретного клиента, оптимизированы в соответствии с его потребностями.
На протяжении данного обследования анализируются информационные ресурсы, типовые ответы, используемые при построении IT-инфраструктуры, информационные потоки персональных данных, имеющиеся средства и системы защиты информации.
На этом же этапе разрабатывается модель нарушителя и угроз безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с применением криптосредств.
Хорошая схема проведения второго этапа включает в себя аудит нормативной базы и оценку её соответствия требованиям регуляторов. Его итогом делается разработка недостающих внутренних документов, и разработка технического задания на разработку СЗПДн. На этом же этапе интегратор приступает к яркой разработке комплекса мероприятий по защите информации.
По окончанию этого этапа банк уже в полной мере способен удачно пройти диагностику одного из регуляторов.
Сущность третьего этапа сводится к настройке и внедрению систем существующих средств защиты. По окончании тестирования, при необходимости, производится доработка комплекса технических и программных средств.
На каждом из обрисованных этапов перед компаниейReignVox, как перед интегратором, поднимаются разные дополнительные задачи, обусловленные спецификой бизнеса, что ведет компания-клиент ее размерами, инфраструктурой, активностью бизнес-процессов и многими вторыми пунктами. И из множества таких составляющих любой раз складывается новая, лично адаптированная концепция проекта по защите персональных данных.
«…и овцы целы»
Минимизация затрат, оптимизация бюджета, экономия – какое словосочетание ни подбери, сущность останется одной – рациональный подход к применению денег – именно он есть вторым основа успешности денежной структуры (по окончании доверия, конечно же). А посему, рвение по возможности сократить затраты не в ущерб информационной безопасности есть закономерным и в полной мере достижимым.
Цена среднестатистического типового проекта по созданию совокупности защиты персональных данных для банковской структуры образовывает порядка 1,5 млн. руб. При расчете данной суммы учитывается и последовательность правил, следование которым разрешает сократить бюджет на создание совокупности защиты персональных данных.
Прежде всего мы стремимся максимально сохранить уже существующую в организации ИТ-инфраструктуру. В большинстве случаев говорят о двух полярных сценариях защиты ПДн. Первый – коренная переделка всех ИСПДн, а второй – формальный, заключающийся только в выпуске внутренних нормативных документов, без внесения каких-либо трансформаций в ИСПДн.
Мы вычисляем оптимальным третий вариант, заключающийся как раз в сохранении действующей ИТ-инфраструктуры банка, сопровождающейся метаморфозой некоторых её элементов, добавлением новых, нужных для обеспечения соответствия законодательству.
В этом случае речь заходит о первом принципе, основанном на большом применении существующих средств защиты информации при проектировании совокупностей защиты информации. Средства защиты в любой компании используются независимо от необходимости защиты персональных данных, это и совокупности противовирусной защиты, и встроенные средства контроля доступа ОС, и межсетевые экраны и многие другие средства.
Исходя из этого предельное число требований закрывается существующими средствами защиты. И лишь в том случае, если какие-то требования не удовлетворяются текущими средствами защиты, нужно закупить и внедрить дополнительные.
Второй принцип — принцип экономичного логического структурирования информационных совокупностей персональных данных. Следуя этому принципу, в рамках внедрения проекта по защите персональных данных в банке, экономически обоснованным делается объединение нескольких совокупностей, находящихся в одном помещении, в одну, в сочетании с понижением класса некритичных сегментов. Так, создается ИСПДн «Центр обработки данных», защита в котором обеспечивается по периметру.
Это разрешает в значительной степени сократить затраты на разделение потоков в рамках разных совокупностей.
Принцип третий — защищаться лишь от актуальных угроз. Наряду с этим актуализация угроз описывается в необходимом для особых совокупностей документе, именующемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья возможность низка, а ущерб при реализации – мал.
При условии применения уже отработанных методик, задача по приведению ИСПДн любого банка в соответствие с требованиями законодательства в срок до 1 января 2011 года всецело реализуема. Для большой успешности внедрения аналогичных разработок в банковской сфере, все же нужно не забывать о комплексном подходе к работе над проектом. В этом случае имеется ввиду организация совместной работы экспертов самых разных подразделений – экспертов по IT-разработкам, по информационной безопасности и по управлению проектами, финансистов, юристов – обеспечивающих соблюдение нужного сбалансированности неспециализированного подхода к защите критичных данных в рамках денежной структуры.
Справка:ReignVox – русский компания, специализирующаяся на разработках и инновационных проектах в области IT и обеспечении их информационной безопасности.
Целью создания компании есть оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных совокупностей защиты информации.
ReignVox есть членом межрегиональной публичной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным участником «Инфокоммуникационного альянса» (Infocommunication Union), и участником Ассоциации региональных банков России.
Компания ReignVox владеет большим опытом успешной реализации проектов по защите персональных данных в больших коммерческих банках. В числе её клиентов НОТА-Банк, ВЭБ, «ЦентроКредит», «Темпбанк», «Альта-Банк» и др.
