19 (61) - 2011
Банковские технологии
УДК 336.71
вопросы взаимодействия банка россии с кредитными организациями в части выполнения требований информационной безопасности комплекса бр иббс
в. П. ХАРЛАМОВ,
кандидат технических наук, начальник отдела Главного управления безопасности и защиты информации E-mail: hvp@cbr.ru Центральный банк Российской Федерации
Статья посвящена актуальным проблемам взаимодействия кредитных организаций различныхуровней для обеспечения информационной безопасности в масштабах банковской системы Российской Федерации.
Ключевые слова: банк, безопасность, информационный, стандарт, кредитный, данные, организация.
Взаимодействие Банка России с кредитными организациями в части выполнения требований по информационной безопасности, содержащихся в документах по стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее — Комплекс БР ИББС) имеет уже примерно десятилетнюю историю соответственно возрасту самого комплекса.
На сегодняшний день Комплекс БР ИББС включает три документа в статусе «Стандарт Банка России» (СТО БР ИББС) и пять документов в статусе «Рекомендации в области стандартизации Банка России» (РС БР ИББС). Они выделены фоном на рис. 1. В течение 2011 г. ожидается выход еще трех документов в статусе РС БР ИББС.
Историю взаимодействия Банка России с кредитными организациями можно отсчитывать с 2000 г., когда была осознана потребность банковского сообщества в помощи главного регулирующего органа при выстраивании единых принципов, единой политики в области информационной безопасности. Тогда и были начаты работы по созданию первой редакции СТО БР ИББС-1.0.
Для активного вовлечения кредитных организаций в обсуждение и создание стандарта, а также отработки последующих документов в 2003 г. был создан подкомитет по стандартизации «Защита информации в кредитно-финансовой сфере» (ПК3) Технического комитета по стандартизации «Защита информации» Федерального агентства по техническому регулированию и метрологии.
В 2006 г. для дальнейшего развития и широкого практического применения стандарта СТО БР ИББС-1.0 в банковской сфере и обеспечения методологического единства, а также повышения достоверности и точности результатов оценки соответствия (что, в свою очередь, повысит доверие к этим результатам) было создано Сообщество ABISS (Association for Banking Information Security Standards).
Классификатор СТО БР ИББС-0.0
Термины и определения СТО БР ИББС-0.1
Общие положения СТО БРИББС-1.0
Аудит информационной безопасности СТО БР И ББС - 1.1
Методика оценки
соответствия СТО БР ИББС- 1.2
Документы по обеспечению информационной
безопасности РСБР ИББС -2.0
Руководство по самооценке РС БР ИББС-2.1
Методика оценки рисков РС БР ИББС-2.2
Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС-2.3
Отраслевая модель угроз РС БР ИББС-2.4
Требования по обеспечению безопасности СКЗИ РСБР ИББС-2.5
Методика классификации активов РС БР ИББС - Х.Х
В том же году компания ЫГоХУа^И и Сообщество АВ188 опубликовали результаты своего первого исследования «100 банков в марте — мае 2007 г.» Изучалось, насколько хорошо банки знают СТОБР ИББС-1.0, какие трудности испытывают при его внедрении, собираются ли вообще его внедрять. Один из результатов (рис. 2) выглядит весьма оптимистично. Однако надо учесть ограниченность выборки и то обстоятельство, что предметом анализа стали только те организации, которые сформировали свое отношение к стандартам Банка России.
Новый мощный импульс к расширению взаимодействия Банка России с кредитными организациями дала зародившаяся в 2006 г. проблема, связанная с персональными данными, но осознанная в начале 2008 г. после ознакомления с постановлением Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также с комплектом методических до-
Методика назначения и описания ролей РСБР ИББС-Х.Х
зе
Сокращения: ПДн — персональные данные; ИСПДн — информационные системы персональных данных.
Рис. 1. Комплекс БР ИББС
Это открытое для членства учреждение, причем не только для банковской системы Российской Федерации (БС РФ), но и для организаций, оказывающих услуги, связанные с вопросами обеспечения информационной безопасности кредитных организаций, а также для профильных образовательных учреждений и ассоциаций.
В 2006 г. для обеспечения широкого доступа банковской общественности к действующим документам в области стандартизации Банка России, а в последнее время и к проектам таких документов открыта специализированная страничка на сайте Банка России в сети Интернет.
После ввода в действие четырех новых документов в 2007 г. был сформирован первичный блок Комплекса БР ИББС - СТО БР ИББС-1.0 (Общие положения), СТО БР ИББС-1.1 (Аудит информационной безопасности), СТО БР ИББС-1.2 (Методика оценки соответствия), РС БР ИББС-2.0 (Реко-
О Е 10 " £ 20 25 30 35 40
мендации по документации), РС БР ИББС-2.1 Источник: 1п!о\\а1с11, ЛШ.Ч.Ч.
(Руководство по само- Рис. 2. Результаты опроса о планах внедрения стандарта Банка России по безопасности оценке). в сфере информационных технологий
В 2007 г.
В 2008 г.
В 2009 г.
В 2010 г.
Стандарт уже внедрен
Вообще не планируется
1 25
1 11
4
I 5
1 16
19 (61) - 2011
Банковские технологии
кументов Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
В течение 2008 г. и особенно интенсивно в 2009 г. с активным участием банков проходили разномасштабные встречи (форумы, конференции, совещания), на которых обсуждалась проблема персональных данных. Сначала это были дискуссии о неточностях, неоднозначностях, противоречиях и чрезмерной жесткости (в том числе финансовой) норм как Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ № 152), так и подзаконных актов. Но уже к середине 2009 г. банковским сообществом была осознана необходимость внесения изменений в законодательную базу.
Апофеозом стали состоявшиеся в Государственной Думе 20 октября 2009 г. парламентские слушания на трех комитетах и последовавшие рекомендации на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных».
Для выработки конкретных предложений по совершенствованию законодательства в сфере персональных данных, по улучшению взаимодействия с регуляторами и обеспечению выполнения положений ФЗ № 152 Ассоциация российских банков создала рабочую группу, в рамках которой Банк России начал постоянное взаимодействие с кредитными организациями, чтобы решить назревшую проблему.
В ходе совместной работы Банка России с кредитными организациями, а также с регуляторами (Роскомнадзор, ФСБ России, ФСТЭК России) возникла идея расширить Комплекс БР ИББС, дополнив его требованиями по обработке и защите персональных данных. Эта идея была поддержана представителями ФСБ России и Роскомнадзора.
К этому времени Банк России уже разработал проекты своих внутренних документов по защите персональных данных и после продолжительного поиска компромиссов и согласования с ФСТЭК России ввел в действие приказом эти разработки в качестве своих действующих внутренних документов. Поэтому для реализации идеи расширения Комплекса БР ИББС на базе введенных внутренних документов Банка России по защите персональных данных были подготовлены проекты новых редакций СТО БР ИББС-1.0 (Общие положения) и СТО БР ИББС-1.2 (Методика оценки соответствия), а также проекты новых РС БР ИББС-2.3 (Требования по обеспечению безопасности ПДн в ИСПДн) и РС БР ИББС-2.4 (Отраслевая модель угроз).
В результате постоянных консультаций и согласований заинтересованных сторон во второй половине июня 2010 г. после соответствующей процедуры прохождения в ПК3 четыре указанных проекта распоряжением Банка России были введены в действие и пополнили Комплекс БР ИББС.
Тогда же появилось хорошо известное теперь «письмо шестерых», которое было подписано Банком России, Ассоциацией российских банков, Ассоциацией региональных банков России (Ассоциацией «Россия») и согласовано с регуляторами (Роскомнадзором, ФСБ России, ФСТЭК России). Этот документ рекомендовал ввести в действие Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.
«Письмо шестерых», в частности, предлагало:
— представить информацию о принятом решении в Банк России;
— провести мероприятия по приведению организации БС РФ в соответствие с требованиями СТО БР ИББС-1.0;
— провести оценку (самооценку) соответствия организации БС РФ требованиям СТО БР ИББС-1.0;
— выпустить документ о подтверждении соответствия организации БС РФ требованиям СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов — Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
После выпуска Комплекса БР ИББС и «письма шестерых» решение проблемы информационной безопасности в БС РФ перешло на новый качественный уровень.
Общее мнение сводится к следующему:
— организации БС РФ осознали себя единым сообществом при решении проблемы безопасности персональных данных и более общей задачи — обеспечения информационной безопасности;
— Банк России осознал себя регулятором при решении названных задач, так как после добровольного введения Комплекса БР ИББС кредитная организация попадает в сферу контроля Банка России (через подтверждение соответствия).
Этот новый качественный уровень проявился в радикальном изменении отношения кредитных организаций к Комплексу БР ИББС. В Банк России во второй половине 2010 г. стали поступать копии документов о вводе в действие комплекса и подтверждения соответствия, тем более что действовал срок приведения информационных систем персональных данных
Таблица 1
Статистика оценки/самооценки отношения кредитных организаций к Комплексу БР ИББР
Регулятор, показатель Количество организаций / %
Роскомнадзор (92) 5/5,43 8/8,7 29/31,52 23/25 2/2,18 25/27,17
ФСТЭК России (92) 2/2,18 9/9,75 22/23,91 33/35,9 19/20,65 7/7,61
ФСБ России (87) 0/0 6/6,9 14/16,07 30/34,5 27/31,03 10/11,5
Итоговый уровень (Банк России) (103) 6/5,83 31/30,1 27/26,21 17/16,5 13/12,62 9/8,74
Уровни соответствия по оценкам, содержащимся в подтверждении соответствия, доля 0—0,25 0,25—0,5 0,5—0,7 0,7—0,85 0,85—0,95 0,95—1
в соответствие с федеральным законодательством в области персональных данных до 31.12.2010.
Однако в конце 2010 г. этот срок был отодвинут еще на полгода, и поток подтверждений сократился. Тем не менее некоторая, хотя и ограниченная, статистика по результатам оценки/самооценки соответствия на конец января 2011 г. была представлена по информации, полученной от 103 кредитных организаций. Меньшие значения по регуляторам (92 и 87) объясняются отсутствием части информации в подтверждениях соответствия (табл. 1).
Некоторая неестественность распределения количества кредитных организаций по уровням соответствия (особенно для Роскомнадзора) объясняется, по мнению автора, сжатыми сроками проведения оценки/самооценки соответствия, а также малым опытом работы с Комплексом БР ИББС и, мягко говоря, недостаточным его пониманием.
Для сбора более полной и представительной статистики в конце 2010 г. Банк России через свои территориальные учреждения направил список вопросов во все кредитные организации, зарегистрированные на территории Российской Федерации. По состоянию на середину марта 2011 г. получены ответы от 853 кредитных организаций из общего количества зарегистрированных — 1 016, т. е. практически 84 %. Результаты обработки полученных ответов представлены ниже.
1. О вводе в действие Комплекса БР ИББС. Приняли такое решение 400 кредитных организаций (46,9 % ответивших). Среди них банки, входящие в 100 крупнейших (в скобках приведены рейтинги по активам и капиталу соответственно): Газпромбанк (3; 3), Россельхозбанк (4; 5), ВТБ (2; 2), ВТБ 24 (6; 6), Промсвязьбанк (9; 14), МБРР (30; 35), Банк «Возрождение» (26; 34), Абсолют Банк (37; 53), ОТП Банк (40; 36), Татфондбанк (64; 59), АМТ Банк (69; 48), Связь-Банк (21; 32), Пробизнесбанк (50; 57), а также Расчетная палата ММВБ/НРД (44; 61) и Расчетная палата РТС (97; 219).
Планирует ввод 361 кредитная организация (42,4 % ответивших), из них 284 — в 2011 г. Среди них Альфа-Банк (7; 7), «Петрокоммерц» (22; 22).
2. О классификации ИСПДн. Классификация проведена в 536 кредитных организациях (62,8 % ответивших). Из них:
— 140 (26,1 %) классифицировали ИСПДн согласно подходу РС БР ИББС-2.3 (присвоены классы ИСПДн — С, — Б, — И, — Д);
— 309 (57,6 %) отнесли ИСПДн к классам типовых, К1, К2, К3, К4 (при этом в 38 из данных организаций Комплекс БР ИББС был введен в действие);
— 87 (16,2 %) классифицировали ИСПДн как специальные.
Классификацию планируют провести 286 кредитных организаций (33,5 %), при этом 243 планируют ее провести в 2011 г. (28,5 %). По данным опроса, в трех кредитных организациях отсутствуют ИСПДн.
Классификация не проведена и не планируется, или не предоставлено данных по этому вопросу — 27 организаций БС РФ (3,1 % ответивших).
3. О плане мероприятий по приведению кредитной организации в соответствие с требованиями Комплекса БР ИББС. План утвержден в 381 кредитной организации (44,7 % ответивших). Наметили утвердить план в 380 кредитных организациях (44,5 %), из них 198 собираются утвердить план в первом полугодии 2011 г. (23,2 %).
4. Об уведомлении. Таковое направили 447 кредитных организаций (52,4 % ответивших). Планируют направить уведомления 252 кредитные организации (29,5 %), из них 198 — в 2011 г. (23,2 %).
Учитывая полученные из кредитных организаций письма и телефонные звонки, следует пояснить, что по действующей редакции ФЗ № 152 уведомления должны направляться в Роскомнадзор (с учетом исключений, предусмотренных законом) независимо от того, ввела кредитная организация в действие Комплекс БР ИББС или не ввела.
5. О проверках, проведенных регуляторами. Результат представлен в табл. 2.
Таблица 2
Ответ Роскомнадзор ФСБ ФСТЭК
Да 46 134 8
Нет 759 689 815
19 (61) - 2011
Банковские технологии
При этом надо иметь в виду, что проверки ФСБ в основном проводились в рамках получения или продления лицензий на деятельность, связанную со средствами криптографической защиты информации.
6. О разработке модели угроз:
• модель разработана — 221 организация (25,9 % ответивших);
• модель введена по РС БР ИББС-2.4 — 311 (36,5 %);
• разработка модели ведется — 263 (30,8 %);
• разработка планируется — 6 (0,7 %);
• разработка не планируется — 27 (3,2 %).
7. Об актуальных источниках угроз. Данные представлены на рис. 3.
8. О лицензии ФСТЭК:
• лицензия получена — 9 кредитных организаций (1,1 % ответивших);
• нет и не планируется — 664 (77,8 %);
• планируется — 138 (16,2 %).
Такое отношение к лицензии ФСТЭК России, по мнению автора, объясняется прежде всего обязательным присутствием в ней необоснованного и дорогостоящего направления деятельности — защиты от утечки по техническим каналам.
9. О лицензиях ФСБ:
• лицензия получена — 436 кредитных организаций (51,1 % ответивших);
• нет и не планируется — 204 (24 %);
• планируется — 170 (19,9 %).
10. Об использовании приказа ФСТЭК от 05.02.2010 № 58:
• используется — 454 кредитные организации (53,2 % ответивших). Из них ввели Комплекс БР ИББС в действие 139 организаций;
• не используется — 266 организаций (31,2 % ответивших);
• используется частично — 75 (8,8 %). Из них ввели Комплекс БР ИББС в действие 30 учреждений.
Требования приказа ФСТЭК России от 05.02.2010 № 58 не вызывают отторжения по сравнению с предыдущим вариантом требований ФСТЭК России по защите персональных данных. Установления приказа коррелируют с требованиями внутренних документов Банка России по защите персональных данных, которые легли в основу РС БР ИББС-2.3. Однако вызывает удивление тот факт, что немалое количество кредитных организаций, которые ввели в действие Комплекс БР ИББС, для защиты персональных данных используют не его, а приказ ФСТЭК России от 05.02.2010 № 58.
11. На кого приходится основная доля работ по реализации требований по обеспечению безопасности персональных данных (рис. 4).
12. Затраты на реализацию ФЗ № 152. Всего предоставили количественную оценку затрат 346 кредитных организаций. Показатели таковы: менее 1 млн руб. — 161 организация; более 1 млн руб. — 185. Из числа последних:
• от 1 до 5 млн руб. — 138 организаций;
• от 5 до 10 млн руб. — 25;
• более 10 млн руб. — 22.
Другие
Несоответствие требованиям надзорных и регулирующих органов действующему законодательству
Сбои, отказы, разрушения/повреждения программных и технических средств
Субъекты, не являющиеся работниками организации БС РФ, но осуществляющие попытки НСД и НРД Сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках полномочий Сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок полномочий
Зависимость от поставщиков, провайдеров, партнеров, клиентов
Компьютерные злоумышленники
Террористы, криминальные элементы
Неблагоприятные события природного и техногенного характера
1
□ 215
1
52
]86
346
342
39
]3
1152
И 90
] 257
0 50 100 150 200 250 300 350 400
рис. 3. Ответы респондентов об источниках угроз
6
Специалисты служб безопасности и (или) информатизации кредитной организации
Специализированные организации (фирмы, оказывающие услуги по безопасности)
Разработчики систем, эксплуатирующихся в организации
Эти результаты наименее информативны, так как не дифференцированы по размерам кредитных организаций, наличию и количеству филиалов.
В заключение можно сделать следующие выводы.
Добровольный статус документов Комплекса БР ИББС оставляет возможность не вводить их в действие как для «малоответственных» руководителей организаций БС РФ, так и для начальников, предпочитающих непрозрачный характер деятельности.
Предварительный анализ данных самооценки дает основание предполагать низкий уровень понимания и реализации Комплекса БР ИББС, а также умения оцен иватьсебя на соответствие его требованиямсостороны значительной части организаций БСРФ, в основном некрупных региональных банков.
Для более полной реализации возможностей комплекса предстоит большая и взаимнаяработа. Поэтому:
• Банк России должен иметь полномочия на нормативное регулирование в области обеспечения информационной безопасности в организациях банковской системы Российской Федерации;
• это нормативное регулированиедолжно опираться на дальнейшее развитие Комплекса БР ИББС и широкое привлечение банковского сообщества к обсуждению проектов
531
73
135
1
0
100 200 300 400 500 600
рис. 4. Ответы респондентов на вопрос об исполнителях требований по безопасности данных
нормативных актов и проектов документов в области стандартизации Банка России как в рамках ПК3, так и на сайте Банка России в сети Интернет.
Список литературы
1. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: постановление Правитель-стваРФот 17.11.2007 №781.
2. О персональных данных: Федеральный закон от27.07.2006№152-ФЗ.
3. Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: приказ ФСТЭКРоссииот05.02.2010№ 58.
РЕКЛАМНЫЙ БЛОК ТАКОГО РАЗМЕРА ОБОЙДЕТСЯВАМ ВСЕГО В 2 950 РУБЛЕЙ!
При неоднократном размещении (или сразу в нескольких журналах Издательства) предусмотрены скидки
(495) 721-85-75, 8-926-523-79-52 popova@fin-izdat.ru
ФИНАНСОВАЯ АНАЛИТИКА
проблемы и решения ^ 53