88 Аналитический банковский журнал №9 (183) сентябрь 2010

Письмо шестерых

Ввести альтернативу требованиям

ФСТЭК и ФСБ в области защиты пер-

сональных данных призвано «письмо

шестерых» (4). Оно закрепляет за орга-

низациями банковской системы право

выбора между исполнением требований

ФСБ, ФСТЭК и требований СТО ИББР

ИББС. До 31 декабря 2010 года орга-

низация БС, принявшая добровольное

решение о внедрении комплекса СТО БР

ИББС, должна провести комплекс меро-

приятий по внедрению стандарта:

• сообщить о принятом решении в ЦБ РФ;

• выполнить весь комплекс мероприя-

тий по приведению в соответствие тре-

бованиям стандарта СТО БР ИББС-1.0;

Выполняя требования СТО БР ИББС-1.0—2010Текст: Максим Илюхин, заместитель генерального директора ООО «Код Безопасности»

152-ФЗ можно назвать «событием 2009 года» в сфере информационной безопасности России. Весьма вероятно, что именно Федеральный закон «О персональных данных» вызвал рост сектора информационной безопасности на фоне кризиса в 2009 году (1). Беспрецедентно жесткие обязательные к исполнению требования регуляторов (федеральных служб, призванных контролировать исполнение 152-ФЗ: ФСТЭК, ФСБ, Роскомнадзор), а не осознание проблем информационной безопасности менеджментом компаний стали причиной этого роста.Ряд требований руководящих документов выполнить было практически невозможно. Например, получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации полагалось всем медицинским учреждениям, банкам, операторам связи, предприятиям ЖКХ и другим операторам персональных данных, но справиться с подобным наплывом «желающих» ФСТЭК была просто не в состоянии (за весь 2009 год ФСТЭК выдала всего 217 подобных лицензий) (2).Чтобы учесть интересы различных категорий операторов персональных данных, были разработаны отраслевые рекомендации по выполнению требований 152-ФЗ и руководящих документов регуляторов.

Для установления единых требований и повышения эффективности мероприятий по обеспечению инфор-

мационной безопасности организаций банковской системы РФ был разработан комплекс стандартов Банка

России (СТО БР ИББС-1.0—2010 и другие). Стандарт Банка России СТО БР ИББС-1.0—2010 «Обеспечение

информационной безопасности организаций банковской системы Российской Федерации. Общие положе-

ния» является базовым для развивающей и обеспечивающей его группы документов, составляющих ком-

плекс стандартов Банка России.

Комплекс стандартов состоит из:

• Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопас-

ности организаций банковской системы Российской Федерации» (СТО БР ИББС), который в данный мо-

мент включает четыре документа: (3)

• СТО БР ИББС-1.0—2010 (4 редакция) «Обеспечение информационной безопасности организаций банков-

ской системы Российской Федерации. Общие положения»;

• СТО БР ИББС-1.2—2010 (3 редакция) «Обеспечение информационной безопасности организаций банков-

ской системы Российской Федерации. Методика оценки соответствия информационной безопасности орга-

низаций банковской системы Российской Федерации требованиям СТО БР ИББС»;

• РС БР ИББС-2.4—2010. «Обеспечение информационной безопасности организаций банковской системы Рос-

сийской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке

в информационных системах персональных данных организаций банковской системы Российской Федерации»;

• РС БР ИББС-2.3—2010. «Обеспечение информационной безопасности организаций банковской системы

Российской Федерации. Требования по обеспечению безопасности персональных данных в информацион-

ных системах персональных данных организаций банковской системы Российской Федерации».

А также:

• Методических рекомендаций по выполнению законодательных требований при обработке персональных

данных в организациях БС РФ, разработанных совместно Банком России, АРБ и Ассоциацией региональных

банков России (Ассоциацией «Россия»).

Положения Стандарта Банка России СТО БР ИББС-1.0—2010 определяют ряд общих требований к обеспе-

чению информационной безопасности, которые включают в себя:

• концептуальную схему обеспечения информационной безопасности;

• модели угроз и нарушителей информационной безопасности;

• организационные и технические аспекты создания системы информационной безопасности;

• вопросы менеджмента информационной безопасности;

• порядок проверки и оценки информационной безопасности.

Комплекс стандартов Банка России

СОДЕРЖАНИЕ 2—7 • СОБЫТИЯ 8–17 • ЭКОНОМИКА 18—51 • ТЕХНОЛОГИИ 52—77 • БЕЗОПАСНОСТЬ 78—91 • ОБЩЕСТВО 92-96

89Аналитический банковский журнал №9 (183) сентябрь 2010

Компания «Код Безопасности» — российский разработчик сертифицированных программных и аппарат-

ных средств, обеспечивающих безопасность информационных систем, а также их соответствие требованиям

международных и отраслевых стандартов. Продукты «Кода Безопасности» применяются во всех областях

информационной безопасности, таких как защита конфиденциальной информации, персональных данных,

коммерческой и государственной тайны, в том числе при обработке конфиденциальной информации в вир-

туальной среде. «Код Безопасности» стремится предоставить компаниям качественные решения для любых

задач информационной безопасности, как традиционных, так и появляющихся в процессе развития высо-

ких технологий.

«Код Безопасности» входит в группу компаний «Информзащита», которая специализируется в области

обеспечения безопасности информационных систем и более 15 лет является лидером российского рынка

информационной безопасности. ООО «Код Безопасности» ведет свою деятельность на основании ли-

цензий ФСТЭК России и ФСБ России. Высокое качество продуктов компании подтверждают сертифика-

ты на средства защиты информации, выданные ФСТЭК, Министерством обороны и ФСБ России. Более

2500 государственных и коммерческих организаций в России и странах СНГ доверили продуктам «Кода

Безопасности» обеспечение информационной безопасности своих автоматизированных систем. Компания

«Код Безопасности» стремится соответствовать высоким стандартам качества и инноваций при разработке

новых программных средств защиты и является технологическим партнером ряда ведущих международ-

ных компаний — лидеров мирового рынка программного обеспечения и оборудования, таких как Microsoft ,

VMware, Citrix.

• применять методические рекоменда-

ции по выполнению законодательных

требований при обработке персональ-

ных данных;

• провести оценку соответствия орга-

низации БС РФ требованиям Стандарта

Банка России СТО БР ИББС-1.0 силами

организации-аудитора. В случае невоз-

можности проведения оценки соответ-

ствия силами сторонней организации —

провести оценку самостоятельно;

• выпустить документ, подтверждающий

соответствие требованиям стандарта

в целом и по направлениям регулято-

ров — ФСТЭК, ФСБ и Роскомнадзора;

• не позднее 31 декабря 2010 года на-

править этот документ в адрес Банка

России и территориальных органов ре-

гуляторов;

• в дальнейшем направлять этот доку-

мент в Банк России и регуляторам один

раз в три года.

Это отнюдь не облегчает банкам ра-

боту по приведению в соответствие

бизнес-процессов требованиям 152-ФЗ

и РД регуляторов, а скорее наоборот:

СТО БР ИББС разработан с учетом тре-

бований более жесткого «четверокни-

жия» (руководящих документов ФСТЭК,

утвержденных Заместителем директо-

ра ФСТЭК России 15 февраля 2008 г.),

часть требований которого была

Информационная безопасность

90 Аналитический банковский журнал №9 (183) сентябрь 2010

пересмотрена в сторону послабления,

а часть и вовсе отменена в февраль-

ском Приказе ФСТЭК № 58 (5).

Остановимся подробнее на требова-

ниях, включающих обеспечение инфор-

мационной безопасности техническими

средствами. При построении комплекс-

ной системы информационной безо-

пасности перед организацией банков-

ской системы РФ стоят задачи выбора

средств защиты информации, отвечаю-

щих следующим критериям:

• соответствие требованиям Стандарта

Банка России СТО БР ИББС-1.0—2010;

• высокое качество применяемых тех-

нических решений;

• совместимость решений, обеспечива-

ющих различные аспекты информаци-

онной безопасности;

• масштабируемость решений;

• возможность получения квалифи-

цированной технической поддержки

в процессе эксплуатации.

Какие риски существуют для кредитных

организаций при принятии решения об ис-

пользовании тех или иных средств защиты

информационных систем, обрабатываю-

щих персональные данные (ИС ПДн)?

Выбор сертифицированного

решения

При построении системы защиты ин-

формации перед каждым руководите-

лем рано или поздно возникает вопрос:

использовать ли сертифицированные

ФСТЭК (ФСБ) средства российских раз-

работчиков или использовать продукты,

не прошедшие процедуры сертифика-

ции? В п. 7.4.2 стандарта Банка России

рекомендуется использовать сертифици-

рованные средства, а в п. 9.4 написано,

что для проведения работ по контролю

и надзору привлекаются ФСТЭК и ФСБ

в сфере их компетенции. Делая выбор

в пользу сертифицированных продуктов

российских производителей, руководи-

тели минимизируют риски, связанные

с доверием к средствам защиты в части

заложенных на этапе разработки этих

средств недекларированных возможно-

стей, наличие которых может привести

к серьезному ущербу для информацион-

ной структуры как отдельной организа-

ции, так и банковской системы в целом.

Кроме того, при выборе сертифициро-

ванных средств защиты минимизируются

риски, связанные с прохождением атте-

стаций информационных систем и про-

хождением контрольных проверок.

Таким образом, использование сер-

тифицированных ФСТЭК (ФСБ) средств

защиты информации (в том числе крип-

тографии) является одним из краеу-

гольных камней построения системы

информационной безопасности в соот-

ветствии с СТО БР ИББС

Большинство зарубежных производи-

телей при проведении процедуры сер-

тификации своих продуктов забывают

указывать в своих рекламных мате-

риалах информацию о том, что серти-

фицированы лишь отдельные образцы

или небольшие партии программных

и аппаратных решений. В таких случаях

через три года сертификат придется

продлевать самостоятельно. Поэтому

компаниям, принимающим решение

о выборе средств защиты информации,

необходимо обращать внимание на те

программные и аппаратные продукты,

которые сертифицированы наиболее

правильным и надежным способом. Это

позволит избежать рисков повторных

затрат на переаттестацию системы об-

работки персональных данных.

Также необходимо уделять особое вни-

мание сертификации отсутствия неде-

кларированных возможностей (НДВ) (РД

«Защита от несанкционированного досту-

па к информации. Часть 1. Программное

обеспечение средств защиты информа-

ции. Классификация по уровню контроля

отсутствия недекларированных возмож-

ностей»). Для сертификации по уровню

НДВ необходимо предоставить исходные

коды программного обеспечения. Далеко

не все производители готовы предостав-

лять исходные коды сертифицирующим

органам, аргументируя это разными до-

водами, но отказ от предоставления ис-

ходных кодов контролирующим органам

позволяет усомниться в отсутствии про-

граммных закладок.

Выбор поставщика

Очевидно, что наиболее приемлемым

для кредитных организаций будет ис-

пользование средств защиты от по-

ставщиков, хорошо зарекомендовав-

ших себя на рынке информационной

безопасности успешной реализацией

крупных проектов.

Зачастую компании считают наиболее

экономичным подходом использова-

ние внутренних, встроенных в инфра-

структурные платформы (операционные

системы, СУБД и др.) средств защиты.

Однако такой подход не оптимален.

При таком подходе каждое обновление

платформы требует дополнительной

переаттестации, до завершения которой

система не сможет считаться удовлет-

воряющей требованиям законодатель-

ства, тогда как использование внешнего

ПО или оборудования не влечет таких

дополнительных затрат и процедур.

В качестве таких средств защиты кон-

фиденциальной информации кредитных

организаций, соответствующих требо-

ваниям СТО БР ИББС, могут использо-

ваться программные и аппаратные ре-

шения компании «Код Безопасности». A

Сноски

(1) http://www.egovernment.ru/articles2/research/rynok-informac-bezopasnosti-v-rossii-rost-nesmotrya-na-krizis

(2) http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls

(3) http://www.abiss.ru/doc/

(4) Письмо ЦБ РФ, АРБ, Ассоциации региональных банков России (Ассоциации «Россия») от 28.06.2010 N 01-23/3148 «О введении в действие Стандартов и Рекомендаций в области стандартизации

Банка России по вопросам информационной безопасности банковской организации Российской Федерации», согласовано с ФСБ, Роскомнадзором и ФСТЭК.

(5) http://www.fstec.ru/_docs/doc_781.htm

СОДЕРЖАНИЕ 2—7 • СОБЫТИЯ 8–17 • ЭКОНОМИКА 18—51 • ТЕХНОЛОГИИ 52—77 • БЕЗОПАСНОСТЬ 78—91 • ОБЩЕСТВО 92-96

91Аналитический банковский журнал №9 (183) сентябрь 2010

Все продукты компании «Код Безопасности» создаются и развиваются в соот-

ветствии с законодательствами, нормативно-правовыми актами и требования-

ми регулирующих органов, действующих на рынке информационной безопас-

ности. Их применение позволит банкам выполнить требование: «… В составе

АБС должны применяться встроенные защитные меры, а также рекоменду-

ются к использованию сертифицированные или разрешенные руководством

организации БС РФ к применению средства защиты информации от несанк-

ционированного доступа (НСД) и нерегламентированных действий в рамках

предоставления полномочий (НРД) и средства криптографической защиты

информации». Стоит заметить что, вся линейка продуктов сертифицируется

во ФСТЭК РФ и ФСБ РФ.

Известные на российском рынке СЗИ от НСД «SecretNet» и электронный за-

мок ПАК «Соболь» разработки ООО «Код Безопасности» могут применяться

для процедур идентификации, аутентификации, авторизации, управления до-

ступом, контроля целостности, регистрации событий и действий. Тем самым

в ИС банков минимизируются риски, связанные с защитой информации

от НСД и утечек информации по техническим каналам.

Одной из проблем для российских и международных банков является ис-

пользование удаленных терминалов и банкоматов, находящихся в обще-

ственных местах и работающих по общедоступным каналам связи. При этом

доступ к самому устройству не контролируется и, как показывает мировая

практика, злоумышленники активно этим пользуются. Для минимизации

рисков подмены информации в канале между удаленными устройствами «…

должны применяться средства защиты информации (межсетевые экраны,

антивирусные средства, средства криптографической защиты информации

и пр.), обеспечивающие прием и передачу информации только в установлен-

ном формате и только для конкретной технологии». При работе удален-

ных терминалов должны обеспечиваться защитные меры, направленные

на предотвращение возможности подмены авторизованного клиента злоу-

мышленником в рамках сеанса работы. Также при обрыве или потере сеанса

необходимо обеспечивать повторное выполнение процедур идентификации.

Все эти и другие возможности функции выполняет аппаратно-программный

комплекс шифрования «Континент», предназначенный для защиты ин-

формации, передаваемой по открытым каналам связи, разработки ООО

«Код безопасности.

Все большее распространение получают технологии виртуализации, и кре-

дитные организации не остаются от них в стороне. В то же время ни методи-

ческие рекомендации, ни материалы регуляторов по обеспечению безопас-

ности персональных данных не учитывают различий между физической

и виртуальной средой обработки информации. Вместе с тем обработка

информации и ее защита в виртуальной среде имеют свои специфические

особенности. Для защиты информации и приведения систем обработки

информации в виртуальных средах на базе систем VMware Infrastructure

3 и VMware vSphere 4 в соответствие с законодательством используется про-

граммное решение vGate разработки компании «Код Безопасности». При-

менение vGate дает возможность легитимного использования информацион-

ных систем, обрабатывающих персональные данные, в виртуальных средах

и помогает провести аттестацию ИС.

Решения компании «Код Безопасности» для выполнения

требований защиты персональных данных в банковском секторе

Информационная безопасность