Очевидно, что Федеральный закон № 152-ФЗ «О персональных данных», равно как и подзаконные акты, призванные конкретизировать требования закона, полностью не раскрывали всех аспектов обеспечения безопасности персональных данных. Конкретных рекомендаций операторы персональных данных ожидали от нормативных документов регулирующих органов, в частности ФСТЭК России. Однако позиция регуляторов сводилась к тому, что, мол, вы делайте, а мы потом посмотрим. В результате имели место непонимание и разные трактовки требований регуляторов. Дополнительный год, который был дан участникам рынка, тоже не помог полному решению проблемы. Однако необходимость приводить свои ИТ-инфраструктуры в соответствие требованиям закона сохраняла свою актуальность.
Владимир Сергеев, руководитель службы информационной безопасности НБ «Траст», считает, что закон № 152-ФЗ в целом сыграет положительную роль для финансового рынка, поскольку мотивирует кредитные организации заняться в том числе пересмотром своих информационных ресурсов и активов. В частности, НБ «Траст» пригласил специалистов ЗАО НПО «Эшелон», лицензиата ФСТЭК России, для проведения аудита множества информационных систем банка и подготовки рекомендаций по их приведению в соответствие требованиям закона о персональных данных.
«Надо отдавать себе отчет в том, что банковский бизнес развивался довольно стремительно, причем в конкурентной среде, — отмечает Сергеев. — Когда создавались информационные системы, нужно было как можно быстрее реализовать тот или иной проект или вывести на рынок новую банковскую услугу. ИТ-сотрудники понимали важность задач ИБ, но в то время эти вопросы не входили в число приоритетных. Конечно, долго так продолжаться не может. Нельзя было постоянно ставить бизнес под угрозу и использовать слабые решения».
В сотрудничестве с аудиторами-консультантами была составлена модель угроз, учитывающая централизованный характер обработки и хранения данных о клиентах, и проведена классификация систем. Кроме того, для обеспечения соответствия процессов обработки персональных данных закону № 152-ФЗ была создана постоянно действующая рабочая группа. Так как персональные данные могут «преподносить сюрпризы» в разных областях, то и в группу, помимо ИТ-специалистов и специалистов по информационной безопасности, вошли руководители бизнес-подразделений, сотрудники кадрового отдела и службы внутреннего контроля, а также юристы. Все проблемы, которые возникали в процессе работ по реализации требований закона № 152-ФЗ, выносились на обсуждение этой рабочей группой.
Задача обеспечения защиты персональных данных в банке «Траст» существенно упрощалась благодаря тому, что здесь применяется централизованная система обработки данных клиентов. Филиалы вводят данные в систему и имеют доступ только к той информации, которая им необходима.
Развернутая в банке система информационной безопасности находилась на высоком уровне с точки зрения как «реальной» безопасности, так и соответствия действующим стандартам безопасности (СТО БР ИББС-1.0, PCI DSS и др.); тем не менее определенные усовершенствования потребовались, поскольку закон № 152-ФЗ предъявляет к системе информационной безопасности новые серьезные требования в отношении защиты персональных данных. Одним из таких требований, в частности, является использование средств защиты информации, прошедших процедуру оценки соответствия, то есть сертификацию в системе сертификации ФСТЭК России или ФСБ России.
Новый подход к защите
Основными задачами для консультантов были обследование и помощь в классификации информационных систем персональных данных, а также техническое проектирование системы защиты этой категории данных. «Раньше мы стремились обеспечить защиту каждой системы в отдельности. Консультанты предложили выделить три основных сегмента (серверная часть в целом, каналы передачи данных, пользовательский сегмент) и обеспечить их защиту», — вспоминает Сергеев.
Проект было решено провести в четыре этапа: обследование бизнес-процессов и информационных систем, связанных с обработкой персональных данных; разработка моделей угроз безопасности; подготовка технического задания; разработка технического проекта системы защиты персональных данных. Отчетные материалы по каждому этапу согласовывались с ответственными за эксплуатацию информационных систем ИТ-подразделениями и бизнес-департаментами, а также с дирекцией информационной безопасности банка. Кроме того, частная модель угроз безопасности персональных данных была согласована с ФСТЭК России — это потребовалось для оценки ее соответствия требованиям действующих нормативно-методических документов по защите конфиденциальной информации. В ходе проекта была также разработана программа обучения по вопросам, связанным с выполнением требований закона № 152-ФЗ при обработке персональных данных в банке, и проведено дистанционное обучение сотрудников его региональных подразделений.
В ходе проекта были разработаны внутренние регламенты, направленные на защиту персональных данных (положения, приказы, инструкции и т. п.), выявлены и классифицированы информационные системы персональных данных, составлено уведомление в Роскомнадзор, проведено обучение сотрудников, выявлены угрозы безопасности персональным данным, содержащимся в информационных системах банка, произведена оценка рисков, связанных с их реализацией, и разработан эскиз технического проекта, в соответствии с которым будет осуществляться внедрение средств защиты персональных данных. По словам Сергеева, к выполнению этих работ будет приглашена другая компания.
Вступление в силу
Очевидно, что к январю 2011 года, к моменту вступления в силу закона № 152-ФЗ, мало кто из операторов персональных данных сможет продемонстрировать полную готовность. Сергеев считает, что в условиях настолько ограниченных сроков необходимо получить документ, который позволит понять, какие вопросы защиты персональных данных уже решены, в каком направлении работы будут продолжаться и в какие сроки они должны быть завершены. «Разработанная модель угроз отвечает тому, что есть сейчас. Но как быть, скажем, через год, когда что-то изменится во внутренних процессах в банке или внешней бизнес-среде? И как эти изменения повлияют на сложившуюся ИТ-архитектуру? Нам еще предстоит понять, насколько принятое нами решение окажется адаптируемым к изменениям и правильным в долгосрочной перспективе», — отмечает Сергеев.
Очевидно, что ответственность за выполнение требований закона № 152-ФЗ лежит на операторе, который осуществляет обработку персональных данных, то есть на банке. Консультанты и компания-интегратор могут нести ответственность только за реализованные в рамках проекта решения. Вероятнее всего, для поддержания системы защиты персональных данных в соответствии с требованиями законодательства понадобится уже не проект, а постоянный процесс, который в дальнейшем будет требовать от банка и людских, и финансовых затрат. В случае развертывания в банке новых информационных систем, имеющих отношение к обработке или хранению персональных данных, либо изменения угроз информационной безопасности банку придется модифицировать созданную систему защиты персональных данных, а следовательно, проходить повторную сертификацию. Хотелось бы надеяться, что будут приняты поправки к закону, избавляющие от необходимости частых (а в реальности практически постоянных) процедур повторной сертификации.
В НБ «Траст» уверены, что выбранное законодательством направление по защите персональных данных правильное, — считает Сергеев. — Это общегосударственное дело, и такой защитой, как и сохранностью и безопасностью других активов, надо серьезно заниматься, иначе могут возникнуть проблемы».
Изменения в законе, вероятнее всего, могут потребовать новых усилий, средств и времени. «Хотелось бы, чтобы требования закона больше отвечали российским реалиям — особенностям бизнеса, его взаимоотношений с государством, различными регулирующими органами, с другими участниками рынка и пр., — отмечает Сергеев. — Уточняя понятия, наши законодатели и регуляторы избавили бы нас от заблуждений. Это чрезвычайно важно, ведь заблуждения выливаются в немалые финансовые потери».