Семинар RISSPA "Информационная безопасность 2011: итоги, тенденции, перспективы"

Только сейчас нашлось время и собрались мысли, чтобы поделиться впечатлениями от семинара RISSPA "Информационная безопасность 2011: итоги, тенденции, перспективы", который прошел 8 декабря в гостинице "Золотое кольцо".

Общий обзор прошедшего мероприятия уже сделал Валерий Коржов, я же хотел бы остановиться на вопросах, относящихся к банковскому сектору.  

Основные тезисы, связанный с темой ИБ в банковской сфере, прозвучали в выступлении Алексея Лукацкого:

• Легитимность информационных писем Консультационного центра АРБ - в Консультационный центр входят представители РКН, ФСБ, ФСТЭК, ЦБ, АРБ и Ассоциация "Россия", поэтому его информационные письма можно рассматривать как мнение регуляторов - это конечно не официальные документы РКН, ФСБ и ФСТЭК, но позиции, изложенные в письмах, согласованы с этими регуляторами (применительно к кредитным организация) и могут применяться банками при реализации требований по обработке и обеспечению безопасности ПДн.
• Необходимость лицензии на ТЗКИ для собственных нужд - ФСТЭК занял жесткую позицию: деятельность по ТЗКИ для собственных нужд организации является лицензируемой деятельностью, поскольку п.5. ч.1 ст. 12 ФЗ "О лицензировании .." для лицензирования деятельности по ТЗКИ исключение "для обеспечения собственных нужд" не предусмотрено. Данная позиция находит подтверждение и в официальных ответах ФСТЭК, например, тут. Так что вперед 7 млн. операторов =).
• Новинки в Комплексе БР ИББС: 
• РС "Методика назначения и описания ролей" - принята и должна скоро появиться;
• РС "Методика классификации активов" - под вопросом, документ получился  очень большой, да и тема сложная, по которой нет однозначного мнения у экспертов - история с этим документом тянется уже порядка 4 лет;
• РС "Требования по обеспечению безопасности СКЗИ" - планируется к разработке.
• Развитие регулирования ИБ банков: 
• Упор на отраслевые стандарты, разрабатываемые в рамках ТК 122 и рабочих групп ЦБ;
• В ноябре в ЦБ создана рабочая группа по разработке требований по защите Национальной платежной системы - за основу будут брать требования PCI DSS, но в чистом виде этот стандарт использоваться не будет - планируется его трансформация в документ ЦБ;
• Банк России стал официальным регулятором - требования СТО станут обязательными;
• На фоне общей тенденции закручивания гаек (обязательной сертификации, возвращения аттестации, необходимости лицензирования и т.п.) для кредитных организаций есть и будут послабления, в рамках того же Комплекса БР ИББС. 

Кстати, фото с этого семинара можно найти на страничке RISSPA в Facebook.

Консультационный центр АРБ опубликовал информационное письмо, касающееся применения банками СТО БР ИББС в свете изменившегося 152-ФЗ

Консультационный центр АРБ опубликовал новое информационное письмо (№ 5) "Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона  от 25 июля 2011 года № 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных".

Напомню, что ранее Консультационный центр АРБ обращалась к банковскому сообществу с  просьбой направлять в их адрес проблемные вопросы, с которыми сталкиваются банки в свете новой редакции 152-ФЗ.

Новое письмо как раз и является ответом, на поступившие в АРБ запросы.

Итак, обо всем по порядку:  

1. Подход к реализации требований по ПДн в банках: в связи с тем, что до настоящего времени не завершено формирование законодательной базы, направленной на выполнение новых требований по защите ПДн, то подход к обеспечению безопасности ПДн в организациях БС РФ остается прежним:

• в случае введения в организации БС РФ Комплекса БР ИББС, следует продолжать руководствоваться отраслевыми документами, содержащими положения по обработке и обеспечению безопасности ПДн, а также порядком, рекомендованном в Письме-обращении;
• в том случае, если не планируется введение комплекса БР ИББС, следует руководствоваться ранее изданными нормативными актами, а впоследствии подзаконными актами, предусмотренными ст. 19 ФЗ № 261 от 25 июля 2011 года, после их издания.  

2. Статус СТО БР ИББС в свете принятия новой редакции 152-ФЗ: легитимный:

• Банк России совместно с РКН, ФСБ  и ФСТЭК ведет работу по согласованию подходов к выполнению БС РФ требований новой редакции 152-ФЗ;
• изучается вопрос о внесении изменений в Комплекс БР ИББС - т.е. решение еще не принято;
• рассматривается возможность выпуска новой редакции письма-обращения Банка Росси, Ассоциации российских банков,  Ассоциации региональных банков России (Ассоциация «Россия») и регуляторов - новое письмо шестерых с адаптацией к новой редакции 152-ФЗ,  о котором уже говорилось на различных мероприятиях. 

3. Срок приведения в соответствие требования по обработке и защите ПДн: остался прежним - до 1 июля 2011,  т.е. все уже должно соответствовать. 

4. АБС и ИСПДн: в части классификации ИСПДн и их отнесения к АБС в дополнение к положениям п. 7.10.9 СТО БР ИББС-1.0-2010 дано следующее разъяснение: 

"Специалисты Банка самостоятельно, проведя обследование эксплуатируемых систем, должны сделать обоснованный вывод на основе сведений о функциях и технологиях АБС о возможности отнесения к ИСПДн. При этом должны учитываться следующие данные: цели создания системы, обрабатываемые в ней персональные данные и т.д."

т.е. банк сам определяет, какая АБС является ИСПДн, а какая нет. Об этом, кстати, уже говорилось в информационном письме № 2 Консультационного центра. 

5. Необходимость использования сертифицированных СЗИ: равнение на СТО БР ИББС, согласно которому эта мера является рекомендованной (см. п.7.4.2 СТО БР ИББС-1.0.2010), в отношении СКЗИ - используются сертифицированные или имеющие разрешение ФСБ СКЗИ (см. п.7.7.2 СТО БР ИББС-1.0.-2010).

Так что, господа банкиры, кто присоединился к СТО БР ИББС, но еще не начал работы по приведению ИБ своих банков в соответствие - самое время начать, пока еще есть возможность использовать деньги из бюджета 2011 года. Пожалуй это лучшее для них применение =) .

Также в письме Консультационного центра АРБ даны разъяснений по другим вопросам обработки ПДн, которые будут интересны не только банкирам, но и другим операторам ПДн: 

• определение уровней защищенности ПД и мер по защите ПД; 
• несогласованность терминов в новой редакции 152-ФЗ и действующими нормативными актами Правительства; 
• обработка ПДн уволившихся сотрудников,  а также клиентов, после расторжения  договоров с ними; 
• обработка ПДн кандидатов на работу; 
• необходимость сбора согласий по договорам, заключенным до принятия 152-ФЗ;
• обработка ПДн в рамках международных транзакций; 
• необходимость учета жестких дисков, на которых обрабатываются ПДн;
• возможные «юридические последствия» отказа предоставления субъектом ПДн;
• уведомление РКН об изменении сведений, изложенных в первоначальном уведомлении «о намерении осуществлять обработку ПДн»; 
• возможные формы согласия на обработку ПДн, в том числе при наличии договора с субъектом ПДн;
• возможные формы отзыва на обработку ПДн; 
• необходимость пересмотра и переделки системы защиты ПДн в случае выхода новых нормативных актов по тематике ПДн. 

В письме затронут также интересный момент, относительно отнесения фотографии к биометрическим ПДн, который вызывает много споров между операторами и регуляторами. Мнение АРБ такое:   

"... фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн)  только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения  (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)."

т.е. все ксерокопии и сканы с фотографиями, равно как и фото (веб-камеры или фотоаппараты) и видео записи к биометрическим можно не относить.