Защита персональных данных в российских банках: есть ли правила?

Согласно точки зрения небезызвестного писателя, «доверие не покупается и не продается». Но доверие к компании со стороны её клиента сейчас имеет в полной мере осязаемую экономическую значимость. И, пожалуй, никакой второй бизнес так не зависит от пресловутого «уровня доверия», как банковский.

Защита персональных данных в российских банках: есть ли правила?

Джабраил Матиев, начальник направления защиты персональных данных по коммерческой части компании ReignVox

Постоянная работа с огромными массивами клиентских данных требует от банка любого формата постоянной работы в области защиты этих данных.

Как раз исходя из этого тема информационной безопасности, а вместе с ней и тема доверия,  есть особенно актуальной в денежном секторе. Более того, требование обезопасисть каждые персональные эти, входящие в структуру информационной совокупности современной денежной компании есть и законодательно обоснованным – закон№152 «О персональных данных» совсем четко обязывает каждую компанию, обрабатывающую эти сведенья, совершить их защиту в строго определенные сроки.

Как новые, так и уже существующие информационные совокупности, обрабатывающие персональные эти, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. Учитывая столь строго обозначенные временные рамки, у организаций, обрабатывающих такую данные, остаётся меньше времени, дабы выполнить требования закона.

С чего направляться затевать работу по защите персональных данных? На какие конкретно сроки работ рассчитывать? Кому поручить проведение работ?

Какова средняя цена проекта и как сократить издержки? Все эти вопросы являются актуальными сейчас для любой компании, ведущей бизнес в денежном секторе. Экспертные ответы на них разрешает дать обширный опыт компанииReignVox в области защиты персональных данных в денежных структурах.

Жизнь в режиме обратного отсчета

закон№ 152 «О персональных данных» вступает в полную силу с 1 января 2011 года – более полугода в первых рядах до обозначенного законотворцами срока. Но не следует поддаваться обманчивому впечатлению об избытке времени.

Во-первых, внедрение проекта, направленного на исполнение требований по защите персональных данных, требует от четырех до полугода в зависимости от его сложности. Но и эта цифра не окончательна — сроки смогут увеличиться до шести-восьми месяцев за счет того периода, что банк израсходует на выбор хорошего интегратора для ведения и разработки проекта.

Проведение для того чтобы типа работ собственными силами угрожает для банка утратой объективности на стадии анализа и обследования, существующих в нем средств защиты, и необходимостью изыскать для данной работы отдельные трудовые ресурсы. В этом случае направляться не забывать и о таких факторах, как наличие подготовленных по тематике защиты персональных данных экспертов, нужного количества нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных. Опыт говорит, что в большинстве случаев всем этим требованиям в комплексе отвечают как раз сторонние интеграторы.

Во-вторых, возвращаясь к теме сроков, поставленных законом «О персональных данных» перед операторами данных (а о том, что банки именно и являются такими операторами, вопрос уже не следует в принципе), что бы в том месте ни говорили об их «перенесении», первые проверки регуляторов уже имеют место быть. Вывод — в полной мере логичен: актуальность неприятности не просто сохранилась, она в разы возросла, и её ответ делается насущной необходимостью.

«А ларчик…»

Около задачи по приведению ИСПДн в соответствие с положениями закона «О персональных данных» в течении последнего времени ведутся активные дискуссии, результат которых сводится по большей части к одному: ответ данной задачи очень проблематично в силу совокупности её организационных и правовых изюминок. Таковой вывод не в полной мере верен: практика применения требований по защите персональных данных, показавшаяся в течение первых трех месяцев 2010 года (в том числе и в банковской сфере), подтверждает понятность и интерпретируемость требований, предъявляемых к ИСПДн.

Их формулирование, документальное подтверждение и выполнение последнего с минимальным риском каких-либо неточностей не столько сложно в собственной реализации, сколько принципиально важно с позиций безопасности банковского бизнеса. Ещё более упрощает задачу возможность перепоручить её стороннему интегратору, чьи эксперты максимально оперативно и профессионально выполнят проект по защите персональных данных с учетом личных изюминок банковского бизнеса.

Так, первостепенной задачей делается выбор компании-интегратора, которой и будет решено доверить ведение проекта.

«Типовой» = «Эксклюзивный»?

Таковой символ равенства между данными взаимоисключающими друг друга понятиями в праве на существование. Данное утверждение подкрепляется практическим опытом уже завершенных компанией ReignVox успешных проектов по защите персональных данных.

С одной стороны, любой таковой проект включает в себя стандартное количество этапов: этап обследования информационных совокупностей персональных данных, этап проектирования совокупности защиты персональных данных, этап внедрения СЗПДн, этап оценки соответствия ИСПДн требованиям закона и этап помощи созданной совокупности. Причем оценка соответствия ИСПДн, как этап, носит необязательный темперамент и проводится по усмотрению компании-клиента. Равно как и этап помощи созданной совокупности.

Типичность в большинстве случаев заканчивается на начальной стадии (этапе обследования информационных совокупностей), так как именно он разрешает распознать и обрисовать те требования, каковые будут предъявлены в будущем к совокупностям. И эти параметры уже личны и ориентированы на каждого конкретного клиента, оптимизированы в соответствии с его потребностями.

На протяжении данного обследования анализируются информационные ресурсы, типовые ответы, используемые при построении  IT-инфраструктуры, информационные потоки персональных данных, имеющиеся средства и системы защиты информации.

На этом же этапе разрабатывается модель нарушителя и угроз безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с применением криптосредств.

Хорошая схема проведения второго этапа включает в себя аудит нормативной базы и оценку её соответствия требованиям регуляторов. Его итогом делается разработка недостающих внутренних документов, и разработка технического задания на разработку СЗПДн. На этом же этапе интегратор приступает к яркой разработке комплекса мероприятий по защите информации. 

По окончанию этого этапа банк уже в полной мере способен удачно пройти диагностику одного из регуляторов.

Сущность третьего этапа сводится к настройке и внедрению систем существующих средств защиты. По окончании тестирования, при необходимости, производится доработка комплекса технических и программных средств.

На каждом из обрисованных этапов перед компаниейReignVox, как перед интегратором, поднимаются разные дополнительные задачи, обусловленные спецификой бизнеса, что ведет компания-клиент ее размерами, инфраструктурой, активностью бизнес-процессов и многими вторыми пунктами. И из множества таких составляющих любой раз складывается новая, лично адаптированная концепция проекта по защите персональных данных.

«…и овцы целы»

Минимизация затрат, оптимизация бюджета, экономия – какое словосочетание ни подбери, сущность останется одной – рациональный подход к применению денег – именно он есть вторым основа успешности денежной структуры (по окончании доверия, конечно же). А посему, рвение по возможности сократить затраты не в ущерб информационной безопасности есть закономерным и в полной мере достижимым.

Цена среднестатистического типового проекта по созданию совокупности защиты персональных данных для банковской структуры образовывает порядка 1,5 млн. руб. При расчете данной суммы учитывается и последовательность правил, следование которым разрешает сократить бюджет на создание совокупности защиты персональных данных.

Прежде всего мы стремимся максимально сохранить уже существующую в организации ИТ-инфраструктуру. В большинстве случаев говорят о двух  полярных сценариях защиты ПДн. Первый – коренная переделка всех ИСПДн, а второй – формальный, заключающийся только в выпуске внутренних нормативных документов, без внесения каких-либо трансформаций в ИСПДн.

Мы вычисляем оптимальным третий вариант, заключающийся как раз в сохранении действующей ИТ-инфраструктуры банка, сопровождающейся метаморфозой некоторых её элементов, добавлением новых, нужных для обеспечения соответствия законодательству.

В этом случае речь заходит о первом принципе, основанном на большом применении существующих средств защиты информации при проектировании совокупностей защиты информации. Средства защиты в любой компании используются независимо от необходимости защиты персональных данных, это и совокупности противовирусной защиты, и встроенные средства контроля доступа ОС, и межсетевые экраны и многие другие средства.

Исходя из этого предельное число требований закрывается существующими средствами защиты. И лишь в том случае, если какие-то требования не удовлетворяются текущими средствами защиты,  нужно закупить и внедрить дополнительные.

Второй принцип — принцип экономичного логического структурирования информационных совокупностей персональных данных. Следуя этому принципу, в рамках внедрения проекта по защите персональных данных в банке, экономически обоснованным делается объединение нескольких совокупностей, находящихся в одном помещении, в одну, в сочетании с понижением класса некритичных сегментов. Так, создается ИСПДн «Центр обработки данных», защита в котором обеспечивается по периметру.

Это разрешает в значительной степени сократить затраты на разделение потоков в рамках разных совокупностей.

Принцип третий — защищаться лишь от актуальных угроз. Наряду с этим актуализация угроз описывается в необходимом для особых совокупностей документе, именующемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья возможность низка, а ущерб при реализации – мал.

При условии применения уже отработанных методик, задача по приведению ИСПДн любого банка в соответствие с требованиями законодательства в срок до 1 января 2011 года всецело реализуема. Для большой успешности внедрения аналогичных разработок в банковской сфере, все же нужно не забывать о комплексном подходе к работе над проектом. В этом случае имеется ввиду организация совместной работы экспертов самых разных подразделений – экспертов по IT-разработкам, по информационной безопасности и по управлению проектами, финансистов, юристов – обеспечивающих соблюдение нужного сбалансированности неспециализированного подхода к защите критичных данных в рамках денежной структуры.

 

Справка:ReignVox – русский компания, специализирующаяся на разработках и инновационных проектах в области IT и обеспечении их информационной безопасности.

Целью создания компании есть оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных совокупностей защиты информации.

ReignVox есть членом межрегиональной публичной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным участником «Инфокоммуникационного альянса» (Infocommunication Union), и участником Ассоциации региональных банков России.

Компания ReignVox владеет большим опытом успешной реализации проектов по защите персональных данных в больших коммерческих банках. В числе её клиентов НОТА-Банк, ВЭБ, «ЦентроКредит», «Темпбанк», «Альта-Банк» и др.

Роскомнадзор России: обучать правилам защиты персональных данных необходимо со школы