Сколько уровней конфиденциальности в банке
Перейти к содержимому

Сколько уровней конфиденциальности в банке

  • автор:

Стандарты информационной безопасности Банка России

В сфере финансово-кредитных отношений вопросам информационной безопасности уделяется пристальное внимание. Иначе и быть не может: вспомните, как часто в последние годы мы слышим об очередных хакерских атаках на банковские дата-центры, краже баз с персональными данными сотен тысяч пользователей и так далее.

Банки и иные финансовые организации не могут нормально функционировать, не имея разработанной системы информационной защиты, основанной на стандартизированных требованиях, принятых отраслью. Совокупность требований к информационной безопасности, которые ведомственные регуляторы предъявляют участникам рынка, представлена рекомендациями и национальными (государственными) стандартами.

Стандарт СТО БР ИББС-1.0-2014

Единым регулирующим органом финансово-кредитных организаций, зарегистрированных и действующих на территории Российской Федерации, является Банк России. Начиная с 2004 года, ЦБ РФ регулярно разрабатывает и обновляет отраслевые стандарты, предоставляющие банкам унифицированные подходы по обеспечению информационной безопасности.

Комплекс стандартов Банка России под общим названием «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» представлен рядом документов, описывающих различные аспекты ИБ-систем (защита персональных данных, оценка рисков ИБ, рекомендации по документации в части создания ИБ-систем и проч.)

Общие положения комплекса описывает национальный стандарт СТО БР ИББС-1.0-2014 (введен с 2004 года, сейчас действует его пятая редакция), который сыграл немалую роль в развитии информационной безопасности финансовой отрасли РФ. Впрочем, документы комплекса носят рекомендательный характер, что потребовало дополнительного контроля со стороны Банка России над соблюдением финансовыми организациями адекватных действий по защите информации.

Национальный стандарт по защите информации

8 августа 2017 года Федеральное агентство по техническому регулированию и метрологии утвердило первый оригинальный Национальный стандарт по защите информации в организациях кредитно-финансовой сферы. Положения стандарта распространяются на банки, страховые и микрофинансовые организации, а также на субъекты национальной платежной системы.

Важнейшим изменением в стратегии Банка России, отраженным в стандарте, является введение трех уровней защиты информации, каждый из которых предлагает свой набор мер по обеспечению ИБ:

– при этом то, какие именно меры использовать для своих задач финансовые организации могут определить самостоятельно. Стандарт предполагает, что в финансовых организациях формируются контуры безопасности, уровни защиты информации для которых устанавливаются нормативными актами Банка России.

Используя стандарт, финансовые организации могут трансформировать эти контуры согласно используемым ими технологиям хранения и обмена данными, моделями нарушителей информационной безопасности и функциональных параметров объектов информатизации.

Национальный стандарт по защите информации объединяет в себе практики предыдущих лет по разработке отраслевых регулирующих нормативов и является прологом к последующим инициативам Банка России по развитию отечественного финтеха.

Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2020

Важным шагом на пути создания конкурентного современного банкинга стало развитие концепции открытых программных интерфейсов (Открытые API) — прочитать подробнее о том, как именно открытые банковские API помогают развитию рынка можно в другой нашей статье. Ключевая идея концепции подразумевает, что клиенты финансовых учреждений смогут одновременно пользоваться большим количеством сервисов и приложений, предоставляя доступ к своим данным в банках.

Организация доверенной среды Открытых API требует не только наличия защищенной и отлаженной инфраструктуры, но и стандартизации всех операций в рамках единого пространства обмена финансовыми сообщениями.

С 2020 года Банк России опубликовал несколько отраслевых стандартов, посвященных Открытым API. Основополагающим для безопасности банковских операций считается Стандарт Банка России СТО БП ФАПИ.СЕК-1.6-2020 «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID».

Данный стандарт был разработан Ассоциацией ФинТех и ОАО «ИнфоТеКС» при поддержке Банка России в октябре 2020 года. Он основан на спецификациях организации OpenID Foundation (OIDF), которая продвигает и поддерживает сообщество и технологии OpenID (OpenID Connect Core (OIDC), OpenID Connect Discovery (OIDD) и другие) и определяет порядок использования модели прикладных программных интерфейсов (API) со структурированными данными и модель токена для повышения безопасности финансовых технологий.

Стандарт СТО БП ФАПИ.СЕК-1.6-2020 описывает рекомендации для участников отрасли при создании и оценке программных средств, предназначенных для защищенного обмена финансовыми сообщениями в рамках доверенной среды. Область применения стандарта распространяется на сообщения, связанные:

  • С получением информации о банковских счетах;
  • С переводом денежных средств в национальной валюте РФ.

Стандарт предназначен для банков, их клиентов и сторонних поставщиков финансовых услуг, претендующих на организованное взаимодействие в рамках доверенной среды Открытых API. Несмотря на то, что положения стандарта носят рекомендательный характер, некоторые из них становятся обязательными, если компания хочет подключиться к среде Открытых банковских API Банка России.

Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021

Полное название стандарта — СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования».

Стандарт характеризует требования, предъявляемые к аутентификации в условиях рисков использования данных клиента. Стандарт предназначен для:

  • Участников обмена информацией о банковском счете (банки и их клиенты, а также сторонние поставщики платежных услуг);
  • Участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики);
  • Разработчики программного обеспечения и информационных систем.

Стандарт СТО БР ФАПИ.ПАОК-1.0-2021 позволяет стороне, занимающейся проверкой финансового сообщения и имеющей актуальный идентификатор конечного пользователя, использовать протокол OpenID Connect для инициирования потока аутентификации конечного пользователя без отправки данных через браузер. То есть аутентификация выполняется по выделенному каналу напрямую от клиента к серверу авторизации.

Ключевая задача Стандарта СТО БР ФАПИ.ПАОК-1.0-2021 связана с усовершенствованием механизма безопасности и сохранения данных при проведении финансовых операций. Благодаря ему, поставщики финансовых приложений (ставшие участниками доверенной среды Открытых API) смогут применять определенные механизмы для более надежной аутентификации клиентов по альтернативным каналам.

Как и СТО БП ФАПИ.СЕК-1.6-2020, описанный стандарт также носит рекомендательный характер, однако не исключено, что в связи с дальнейшим развитием Открытых API и вхождению в доверенную среду новых игроков финансового рынка, стандарты получат статус обязательных.

Что такое банковская тайна и тайна вклада в России

В 2021 году в российском даркнете опубликовали 20 объявлений о продаже информации о клиентах банков. Например, в апреле 2021-го в сеть попало 500 000 записей клиентов «Сбербанка». Этот и подобные инциденты нарушают банковскую тайну и приводят к потенциальным убыткам тысяч людей.

Поделиться

Что такое банковская тайна и что она охраняет

Банковская тайна — это обязанность банков хранить конфиденциальную информацию клиентов в секрете. К такой информации относятся любые сведения о счетах, вкладах и операциях клиентов:

  • Об имуществе и уровне дохода;
  • Об открытии счетов, их номерах и датах открытия, типе валюты;
  • О количестве денег на счетах и размере получаемых процентов;
  • О проводимых операциях.

Например, вы открыли вклад. Банк не имеет права рассказывать посторонним людям, на каких условиях вы это сделали: под какой процент, на какой срок, какая сумма у вас там хранится, какие операции вы осуществляете по вкладу и пр.

Соблюдение банковской тайны регулируется федеральным законом «О банках и банковской деятельности». В статье 26 прописано все: от определения банковской тайны до нюансов ее распространения. Например, кому банк может раскрыть информацию о вкладе, если его владелец умер.

По закону хранить банковскую тайну должны не только банки, но любые «кредитные организации». К ним относятся расчетные, брокерские и микрофинансовые компании, депозитарии.

Ведущий юрист юридической фирмы «Мадрок» Гаджи Гаджиев объясняет, зачем нужна банковская тайна:

«Банковская тайна помогает клиентам почувствовать себя в безопасности при сделках с кредитными организациями. Благодаря банковской тайне человек может не бояться, что о его средствах, кредитах или вкладах узнают третьи лица, которые могут воспользоваться этой информацией и причинить человеку вред. Например, получить доступ к его деньгам.

При этом стоит разграничивать понятия «банковская тайна» и «персональные данные». Последние также подлежат охране, но их защищает другой закон. К персональным данным относится личная информация клиента: ФИО, номер телефона, адрес, паспортные данные и пр.».

Защита банковской тайны — это обязанность финансовых организаций. Для этого они должны:

  • Ограничить круг лиц, у которых есть доступ к конфиденциальной информации. Оптимально, если у клиента есть личный менеджер и только он занимается вкладом или кредитом.
  • Организовать отдельное делопроизводство с документами, которые содержат банковскую тайну. Например, хранить электронные документы на отдельном зашифрованном сервере, а бумажные копии — в ячейках архива, доступ к которым есть только у личных менеджеров.
  • Использовать защитные технические средства и программное обеспечение. Например, сделать так, чтобы данные с рабочего компьютера нельзя было скачивать на флешки или отправлять по электронной почте.

Кому финансовые организации могут раскрыть информацию о вкладе и вкладчике

Закон четко определяет случаи, когда можно раскрыть банковскую тайну. Во-первых, доступ к своей информации всегда есть у клиента банка, а также у его доверенных лиц. Во-вторых, запросить данные о вкладчиках могут государственные организации. Чаще всего за конфиденциальной информацией обращаются:

Росфинмониторинг — есть отдельный список операций, которые контролирует организация. Например, сделки с недвижимостью на сумму от 3 млн рублей или покупку ювелирных украшений на сумму от 600 000.

Налоговые органы — например, если клиент часто открывает и закрывает юрлица и таким образом уклоняется от уплаты налогов.

Суды и судебные приставы — например, если клиента вызвали в суд и обвинили в укрытии от долгов. Чтобы получить доступ к данным о счетах должника, суд или приставы отправляют запрос в налоговую. Запрашивать такую информацию они могут только при наличии заведенного исполнительного делопроизводства в отношении должника.

Таможенные органы — у таможенников есть доступ к контрактам, оплата по которым производится в валюте. Такие договоры всегда ставятся на учет в банке. Изучив эти документы, таможня может проверить, соответствует ли количество купленного товара указанному в договоре.

Следственные органы — информация нужна, чтобы проводить оперативно-розыскные мероприятия. Например, если клиент банка подозревается во взяточничестве, следователи могут проверить, кому или от кого поступали деньги на счет подозреваемого.

Также банковскую тайну могут разглашать в рамках закона о противодействии коррупции. Например, если человек претендует на должность судьи или чиновника, банк раскроет госорганам данные о доходах и расходах клиента, его имуществе, соблюдении запретов и ограничений.

Обычно госорганы запрашивают у банков:

  • Выписку из расчетного счета, которая подтверждает интересующую их транзакцию — например, по которой клиент предположительно получил взятку;
  • Данные об открытии или закрытии счетов;
  • Информацию о смене платежных реквизитов: ФИО, номер расчетного счета, корреспондентский счет, ИНН, БИК, КПП.

В какой бы ситуации ни раскрывалась банковская тайна, передавать информацию третьим лицам — незаконно.

Можно ли подать в суд за разглашение банковской тайны

Нарушение банковской тайны — это умышленное или случайное распространение любых сведений, которые относятся к банковской тайне. При этом неважно, воспользовались ли третьи лица распространенными сведениями и повлекло ли такое распространение реальные последствия — например, кражу средств со счета.

За нарушение банковской тайны финансовые организации несут ответственность по закону. При этом истец может самостоятельно выбрать ответчика: им может стать сам банк или его сотрудник. Степень наказания определяется последствиями утечки.

Гражданская ответственность. Наступает при любом нарушении банковской тайны, когда действия злоумышленника приносят моральный или материальный вред. Виновное лицо должно возместить все убытки пострадавшего — как понесенный ущерб, так и недополученную выгоду.

Административная ответственность. Основанием для привлечения является сам факт разглашения банковской тайны. Виновное лицо платит штраф в размере 5000 рублей. Для этого пострадавший должен подать заявление в правоохранительные органы. К этому прибегают редко, т. к. сумма штрафа не стоит затраченных усилий.

Уголовная ответственность. Наступает, если информацию целенаправленно собирают из различных источников и используют в целях, не связанных с законной деятельностью банка. Например, для рекламы. Виновное лицо платит штраф в размере до 1,5 млн рублей, наказывается принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.

Наказания за нарушение банковской тайны встречаются часто, но до уголовной ответственности дело обычно не доходит. Так, в 2020 году два сотрудника «Альфа-Банка» отделались суммарным штрафом в 95 000 рублей, хотя на продаже конфиденциальной информации заработали 140 000. А банковский сотрудник из Москвы в 2020-м продал мошенникам данные об одном из клиентов банка, и те похитили со счета 5,7 млн рублей. В итоге менеджер заплатил штраф 250 000 рублей и получил двухлетний запрет на работу в сфере финансов.

Гаджи Гаджиев уверен, что клиент, права которого были нарушены, вправе требовать от банка возмещения причиненных убытков: «Любое нарушение прав может быть защищено в суде. Суд будет учитывать и то, какие действия или бездействия банка привели к утечке данных. Может быть и так, что разглашение информации — это следствие преступной деятельности сторонних лиц, которые не имеют никакого отношения к банку. В этом случае суд должен разобраться, мог ли банк предотвратить распространение тайны. При этом следует понимать, что чаще всего суды любое нарушение прав клиентов трактуют в пользу последних.

Если говорить о цифрах, судебная практика показывает, что не стоит рассчитывать на большую компенсацию. Однако ответственных лиц ожидает существенный штраф либо лишение свободы. Но это уголовная ответственность, и в таком случае штраф пополнит государственную казну, а не карман клиента».

Если информацию незаконно разгласили, нужно сделать следующее:

1. Установить, как, кем и какая конкретно информация была распространена. Важно этот факт зафиксировать. Например, если данные «утекли» в интернет, нужно нотариально заверить страницу сайта, где можно получить охраняемые сведения.

2. Обратиться в полицию до подачи иска в суд, чтобы проверить наличие или отсутствие состава уголовного преступления. Нередко следственные органы помогают собрать необходимые доказательства для суда.

3. Обратиться в финансовую организацию с претензией и требованием возместить убытки. А если претензия не принесет результата — подать исковое заявление в суд.

Несмотря на несколько громких случаев утечки в последние годы, злоумышленники продают все меньше баз данных. Эксперты считают, что скоро утечек не будет вовсе, т. к. банки переходят на новые технологии защиты, которые перехватывают попытки выгрузок. Самое большее, на что могут рассчитывать мошенники, — это ФИО и номера телефонов. А эта информация уже не является банковской тайной.

Если пока не планируете отказываться от кредитов, посмотрите, на каких условиях вам одобрят кредит банки

Классы информационной безопасности в международных стандартах

Разграничение классов информационной безопасности позволяет отличать друг от друга системы, обеспечивающие разную степень защищенности информации и информационной инфраструктуры, лучше знать возможности классифицируемых систем и выполняемые ими требования. Это гарантирует более обоснованный выбор и более качественное управление системой информационной безопасности.

Классы информационной безопасности определены в нескольких общеизвестных стандартах. Наиболее известна классификация, данная в стандарте министерства обороны США «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC). Стандарт TCSEC также именуется «Оранжевой книгой». В «Оранжевой книге» определены четыре уровня безопасности – D, C, B и A. Уровень D признан неудовлетворительным. Уровни С и В подразделяются на классы (C1, С2, B1, В2 и ВЗ). Таким образом, всего в стандарте определено шесть классов информационной безопасности – C1, C2, B1, B2, B3 и A1.

По мере перехода от D к А растет уровень информационной безопасности, а к информационной системе предъявляются все более жесткие требования.

В таблице, приведенной ниже, отражены основные требования «Оранжевой книги», предъявляемые к уровням и классам информационной безопасности.

Уровень C — Произвольное управление доступом

Класс C1 обеспечивает базовый уровень безопасности, разделяя пользователей и данные. Информационные системы, принадлежащие к данному классу, должны отвечать следующим основным требованиям:

доверенная база управляет доступом именованных пользователей к именованным объектам;

пользователи четко идентифицируют себя;

аутентификационная информация пользователей защищена от несанкционированного доступа;

доверенная вычислительная база имеет изолированную область для собственного выполнения, защищенную от внешних воздействий;

есть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

защитные механизмы протестированы на отсутствие способов обхода или разрушения средств защиты доверенной вычислительной базы;

описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

Класс C2 (в дополнение к требованиям к C1) гарантирует ответственность пользователей за свои действия:

права доступа гранулируются с точностью до пользователя, а доступ к любому объекту контролируется;

при выделении объекта из пула ресурсов доверенной вычислительной базы, устраняются следы его использования;

каждый пользователь системы уникальным образом идентифицируется, а каждое регистрируемое действие ассоциируется с конкретным пользователем;

доверенная вычислительная база позволяет создавать, поддерживать и защищать журнал регистрационной информации, касающейся доступа к объектам, которые контролируются базой;

тестирование подтверждает отсутствие видимых недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Уровень B — Принудительное управление доступом

Класс B1 (в дополнение к требованиям к C2):

доверенная вычислительная база управляет метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

доверенная вычислительная база обеспечивает реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

доверенная вычислительная база обеспечивает взаимную изоляцию процессов путем разделения их адресных пространств;

специалисты тщательно анализируют и тестируют архитектуру и исходный код системы;

существует неформальная или формальная модель политики безопасности, поддерживаемая доверенной вычислительной базой.

Класс B2 (в дополнение к требованиям к B1):

все ресурсы системы, прямо или косвенно доступные субъектам, снабжаются метками секретности;

в доверенной вычислительной базе поддерживается доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

доверенная вычислительная база внутренне структурирована на хорошо определенные, относительно независимые модули;

системный архитектор тщательно анализирует возможность организации тайных каналов обмена с памятью и оценивает максимальную пропускную способность каждого выявленного канала;

продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

модель политики безопасности является формальной; для доверенной вычислительной базы существуют описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс;

в процессе разработки и сопровождения доверенной вычислительной базы используется система управления конфигурациями, обеспечивающая контроль изменений в спецификациях верхнего уровня, архитектурных данных, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

тесты подтверждают действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к требованиям к B2):

для произвольного управления доступом используются списки управления доступом с указанием разрешенных режимов;

предусмотрена возможность регистрации появления и накопления событий, несущих угрозу нарушения политики безопасности системы. Администратор безопасности немедленно получает сообщения о попытках нарушения политики безопасности; система, в случае продолжения таких попыток сразу их пресекает;

доверенная вычислительная база спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

анализируется и выявляется возможность временных тайных каналов;

существует роль администратора безопасности, получить которую можно только после выполнения явных, протоколируемых действий;

имеются процедуры и/или механизмы, позволяющие без ослабления защиты произвести восстановление после сбоя;

продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Уровень A — Верифицируемая безопасность

Класс A1 (в дополнение к требованиям к B3):

тестирование продемонстрировало то, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;

представлены формальные спецификации верхнего уровня; используются современные методы формальной спецификации и верификации систем;

механизм управления конфигурациями распространяется на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Таб. Классы информационной безопасности, определённые в «Оранжевой книге»

Еще один стандарт, описывающий классы информационной безопасности, – «Европейские критерии» (Information Technology Security Evaluation Criteria, ITSEC), выдвинутые рядом западноевропейских государств. Данный стандарт, вышедший в 1991 году, содержит согласованные критерии оценки безопасности информационных технологий, выработанные в ходе общеевропейской интеграции. «Европейские критерии» описывают классы функциональности систем информационной безопасности, характерных для правительственных и коммерческих структур. Некоторые из этих классов соответствуют классам информационной безопасности «Оранжевой книги».

По аналогии с «Оранжевой книгой» были построены вышедшие чуть позже «Руководящие документы» Гостехкомиссии при президенте России. «Документы» устанавливают семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. В некоторых вопросах «Руководящие документы» отклоняются от американского стандарта – например, они отдельно определяют классы межсетевых экранов.

Уровни защищенности персональных данных

Уровни защищенности персональных данных

Увеличение количества угроз и объемов обрабатываемой информации привело к формированию нормативно-правовой базы, устанавливающей требования к операторам персональных данных. Поскольку информационные системы между собой существенно отличаются, государственные органы предусмотрели отдельные правила по обеспечению безопасности для ИС с разным уровнем защищенности ПДн. Данный показатель позволяет определить, насколько эффективно организация справляется с угрозами. Рассчитывают его с учетом нескольких параметров, о которых вы узнаете, прочитав данный обзор. Сразу отметим, что для правильного определения требуется доскональное знание законодательной базы, опыт и навыки работы в сфере ИБ.

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Длительный период времени классификация ИСПДн осуществлялась не по уровню защищенности персональных данных, а по классам. Современная терминология и разделения закреплены в правительственном Постановлении № 1119, утверждённом 1 ноября 2012 года. В документе представлена таблица ПД, описаны критерии определения уровней (всего их предусмотрено 4), а также прописаны конкретные меры профилактики несанкционированного доступа к конфиденциальным сведениям

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Постановление Правительства № 1119 от 1 ноября 2012

Определение уровня защищенности персональных данных

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

Таблица уровней защищенности персональных данных

Уровни защищенности персональных данных

Классификация персональных данных в контексте установления уровня защищенности ИСПДн

Одной из задач, которую предстоит выполнить аутсорсинговым (предпочтительнее) или штатным специалистам перед определением способа нейтрализации угрозы, является установление категории ПДн (раньше присваивались классы), подразделяемые на группы:

  1. Первая категория включает специальные ПДн. Сюда относятся, прежде всего, данные о сексуальной ориентации и партнерах, состоянии здоровья, принадлежности к определенной расе или вероисповеданию, а также философские и политические взгляды.
  2. Ко второй категории относятся биометрические персональные данные, позволяющие идентифицировать человека по особенностям его физиологии, например, отпечатку пальцев, рисунку сетчатки глаза, фотографии и т.д. Чтобы пользоваться такими ПДн легально, необходимо предварительно получить письменное согласие субъекта (кроме ситуаций, когда дело касается вопросов национальной безопасности, судебного производства или расследования преступлений).
  3. Третья категория представлена общедоступной информацией о гражданине, которую он сам предоставляет для обработки. Речь идет о дате рождения, Ф.И.О., адресе, телефоне, образовании, профессии и других сведениях, опубликованных на страничках социальных сетей, в справочниках и т.д.
  4. В четвертую категорию входят те личные сведения, которые нельзя включить ни в оду из других групп.

Определение типа ПДн осуществляется отдельно для каждой ИСПДн организации с учетом ее характеристик.

Как происходит определение уровня защищенности персональных данных?

На показатель, кроме категории обрабатываемых личных сведений граждан, влияют и другие параметры:

  1. Форма взаимоотношений между оператором и владельцами ПДн. Информационная система может предполагать обработку данных персонала организации или ИП (имеются ввиду как штатные, так и внештатные сотрудники, с которыми подписаны контракты) либо использовать сведения субъектов, не связанных с организацией трудовым договором.
  2. Типы актуальных УБ. В расчет берутся не все существующие угрозы, а только те, которые можно реализовать в рамках конкретной ИС. Выделяют угрозы 1, 2 и 3 типа. Первый связан с НДВ в системном программном обеспечении, второй — с недекларируемыми возможностями прикладного софта, а третий — вообще не имеет отношения к НДВ используемого ПО.
  3. Количество субъектов, личные данные которых копируются, обновляются, распространяются, блокируются и удаляются. Действующее законодательство предусматривает разделение на ИСПДн, обрабатывающие информацию менее 100 тысяч или более 100 тысяч граждан.

Уровни обозначаются УЗ1, УЗ2, УЗ3 и УЗ4, при этом самым высоким (то есть требующим наиболее серьезной защиты) является первый, а самым низким — четвертый.

Чтобы определить 1, 2, 3 или 4 уровень защищенности ИСПДн, можно воспользоваться таблицей либо специальным онлайн-калькулятором, который есть на сайте ФСТЭК. Вам потребуется указать тип актуальных угроз, категорию ПДн, количество субъектов и взаимоотношения с ними (являются они вашими сотрудниками или нет), после чего программа сама рассчитает показатель. Но есть важный нюанс. Если неверно установить какой-либо из исходных параметров, например, преуменьшить или преувеличить тип УБ, то класс будет установлен неправильно. Избежать этого возможно при помощи привлечения экспертов в области информационной безопасности, которые грамотно выполнят за вас данную работу. Наиболее актуален подход, при котором обязанности по определению угроз и интеграции средств защиты на возлагаются на профессионалов. Так удастся в короткие сроки привести систему в соответствие ФЗ-152, требованиям ФСТЭК и ФСБ (если нужно) и исключить штрафные санкции в будущем.

Важность правильного определения уровня защищенности ИСПДн

На основании проделанной работы по установлению степени защиты на каждую из ИС составляется акт классификации и формируется список требований, которые предстоит соблюдать при совершении различных операций с ПДн. Чем выше уровень, тем более продуманной и многоаспектной должна быть система защиты, а это напрямую влияет на сумму, которую придется потратить владельцам организации. Поэтому завышать УЗ нет никакого смысла, но и занижать тоже, иначе могут быть наложены санкции контролирующих органов.

Законодательные требования к ИСПДн с разным уровнем защищенности

Выбор, внедрение мер и средств нейтрализации угроз базируется на требованиях правительственного постановления 2012 года и Приказа ФСТЭК № 21 от 18 февраля 2013 года. Именно в последнем документе четко прописано, что нужно обеспечить для ИСПДн с 4, 3, 2 и 1 уровнем защищенности. Приведем пример того, что понадобится организациям с третьим классом ИС:

  • утверждение внутренним приказом перечня лиц, имеющих доступ к ПДн;
  • назначение сотрудника, который несет личную ответственность за соблюдением мер безопасности в отношении ИСПДн;
  • подбор и интеграция СЗИ;
  • применение сертифицированных средств защиты;
  • установка замков, сигнализации, охраны в помещении, где располагается ИСПДн;
  • разработка и утверждение правил доступа к данным при обычном режиме работы организации и во время внештатных ситуаций;
  • хранение материальных носителей в сейфах с обязательным учетом их количества, характеристик, перечня лиц, имеющих доступ;
  • обеспечение защиты средств виртуализации, ТС, систем связи и передачи ПДн;
  • контроль работоспособности системы, фиксация происшествий;
  • оценка эффективности и контроль выполнения нормативов ФСТЭК минимум раз в три года;
  • внедрение средств аутентификации и идентификации для контроля доступа.

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *