Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Мероприятия по приведению в соответствие коммерческого банка закону «О персональных данных»



Кириленко Д.С.
выпускник группы MBA CIO-18
Школа IT-менеджмента
АНХ при Правительстве РФ


Введение

В настоящее время со всей остротой встал вопрос о необходимости защиты конфиденциальной информации и персональных данных (ПДн) граждан при их автоматизированной обработке в организациях всех форм собственности. Требования федерального законодательства, нормативных и методических документов регулирующих органов в области защиты информации (Роскомнадзор, ФСБ России и ФСТЭК России) требуют принятия действенных мер по защите критических информационных ресурсов и технологий, в особом числе, в организациях банковской сферы в связи с их огромной клиентской базой.

В свою очередь необходимо отметить, что выполнение требований закона для кредитной организации не является тривиальной задачей. Здесь есть как организационные, так и технические сложности. В кредитных организациях, когда в рамках многофункциональной информационной системы масштаба всей организации, так называемых автоматизированных банковских системах (АБС), персональные данные являются практически неотъемлемой частью этих систем. А процедура обезличивания и переноса ПДн в более защищенную информационную систему становится совершенно невозможной, из-за того что они участвуют в большом количестве бизнес процессов. В связи с этим возникает множество вопросов, относительно зашиты инфраструктуры банка. Индивидуально, для каждого банка в отдельности, разрабатывается его собственная модель угроз, на основе модели действия потенциального нарушителя. Так как в банковской сфере нет абсолютно похожих АБС, нет и типового решения по защите ПДн. Каждая кредитная организация должна согласовывать с регулирующими органами свою методику и свой план мероприятий. На сегодняшний день имеются банки, которые уже прошли процедуру приведения информационных систем в соответствие требованиям закона «О персональных данных».

Теоретическая часть

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» предписывает все создаваемые и созданные до вступления в силу этого закона Информационные системы персональных данных (ИСПДн) привести в соответствие с изложенными в нем требованиям.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 и руководящие документы регулирующих органов в области автоматизированной обработки персональных данных (Роскомнадзора, ФСБ России и ФСТЭК России) определяют жесткие требования к ИСПДн по защите персональных данных, реализация которых в современных автоматизированных информационных системах (АИС) сопряжена с существенными расходами на совершенствование действующих программных и аппаратных средств защиты информации.

Как уже отмечалось, в круг процессов, связанных с защитой ПДн, вовлечены три органа государственной власти: ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций. Область ответственности у каждого из них своя. ФСБ курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций — подтверждение отсутствия в средствах защиты информации не декларируемых ("шпионских") возможностей. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Методическая часть

С учетом анализа рисков и обеспечения непрерывности основных бизнес-процессов банка, был разработан план мероприятий по приведению в соответствие коммерческого банка Федеральному закону «О персональных данных». В данный план вошли такие действия как:
1. Создание рабочей группы;
2. Создание собственного перечня персональных данных обрабатываемых в банке;
3. Анализ информационных систем персональных данных и нормативных документов;
4. Определение, к какой категории относятся персональные данные;
5. Оптимизация процессов обработки персональных данных;
6. Построение модели угроз безопасности персональных данных;
7. Разработка частного технического задания на создание системы защиты персональных данных (СЗПДн);
8. Разработка проектной документации на создание системы защиты персональных данных;
9. Разработка организационно-распорядительной документации по защите персональных данных;
10. Обучение и аттестация персонала;
11. Ввод в действие системы защиты персональных данных;
12. Сопровождение системы защиты персональных данных.

Методика, лежащая в основе разработанного плана, содержит конкретные апробированные на практике рекомендации по организационному и техническому решению вопросов создания новых и приведения в соответствие с требованиями законодательства о защите сведений, составляющих коммерческую, банковскую и другие виды тайн, другой конфиденциальной информации и персональных данных при их автоматизированной обработке.

Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн, должны проходить согласно разработанным документам, и иметь плановый характер. В ходе внутренних плановых проверок возможно изменение как перечня ИСПДн, так и непосредственно самих персональных данных. Вся надлежащая информация об изменениях, должна быть отражена в соответствующих журналах регистрации, и сопровождаться всеми необходимыми актами приемки или уничтожения. Проводиться такие мероприятия должны лицами, ответственными за обеспечение безопасности персональных данных, прошедшими необходимую подготовку в специализированных учебных заведениях, а также имеющих аттестацию по месту работы. Контроль за эффективностью принятых мер обеспечения безопасности персональных данных, полностью ложится на руководящее лицо, курирующее информационную безопасность банка.

Практическая часть

Взяв за основу выше изложенный план мероприятий, в первую очередь необходимо приступить к созданию рабочей группы, по стандартам PMI. Поставленными задачами перед этой группой является контроль за выполнением плана мероприятий, взаимодействие с регуляторами закона, контроль за финансовыми ресурсами.

Мероприятия по анализу персональных данных в свою очередь делятся на:

  • Нормативно методологические мероприятия, в которые вошли разработка документации и внесение изменений в существующую; (Юридический отдел банка)
  • Мероприятия по исследованию ИСПДн в банке, в которые вошли составление перечня ИСПДн, где обрабатываются персональные данные клиентов банка. (Отдел информационных технологий банка)

На основе требований нормативно руководящих документов ФСТЭК России и ФСБ разработаны Модель возможных угроз безопасности персональных данных и Модель потенциального нарушителя. Эти модели полностью соответствуют требованиям стандарта Банка России по защите банковской и коммерческой тайны в организациях банковской сферы.

В связи с изменившейся законодательной базой, возникла необходимость в повышении квалификации персонала, это касается не только юридического и информационного отдела банка, а также тех подразделений банка, где происходит непосредственное общение с клиентами. Обучение персонала направлено на то, как необходимо реагировать на заявление частных лиц, чьи персональные данные обрабатываются в банке. А так же, если это необходимо, пройти обучение по работе с программно-аппаратными комплексами, установленными на рабочих станциях персонала банка.

После согласования с регуляторами плана мероприятий на соответствие требование федерального закона, банк может приступить к внедрению системы защиты персональных данных и её дальнейшему сопровождению.

Заключение

В начале 2009 года, Центральный Банк Российской Федерации в сотрудничестве с Ассоциацией российских банков, приступил к разработке нового отраслевого стандарта для банковского сообщества. 22 мая 2009 г. прошло первое заседание рабочей группы по проблематике персональных данных. На мероприятии в ходе открытого обсуждения были вполне четко обозначены проблемные области, волнующие банковское сообщество. В основном они касались именно технической защиты персональных данных и будущего взаимодействия между кредитно-финансовыми учреждениями и ФСТЭК. Существует два подхода для решения задачи соответствия требованиям закона «О персональных данных». Первый - привлечь сторонние организации, которые выполнят комплекс мероприятий необходимых для исполнения требований 152-ФЗ. Второй - выполнить этот комплекс мероприятий самостоятельно.

Автор данной работы, основываясь на международных и Российских стандартах, подошел к созданию комплексной системы мероприятий по защите информации в кредитной организации. Все мероприятия, рассмотренные в данной работе после незначительной адаптации, могут быть применены в условиях конкретного банка или организации банковской сферы. Методика, предложенная в данной работе, позволяет обеспечить защиту прав субъектов персональных данных, что выгодно отличает эту работу от ряда работ и предложений на аналогичную тему, появившихся в последнее время.

Список литературы

1. РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ от 27 июля 2006 года
2. В. Гайкович, А.Першин «БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ БАНКОВСКИХ СИСТЕМ» Москва 1993г.
3. А.В. Павлов «ОСНОВЫ ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ БАНКОВ» издательство Academia, 2010 г.
4. В.А. Гамза, И.Б. Ткачук «БЕЗОПАСНОСТЬ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ» издательство Маркет ДС 2008 г.
5. В.Г. Герасименко «ТРЕБОВАНИЯ ФСТЭК ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ» Лекции Школы IT-менеджмента
6. М.М. Котухов «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» Лекции Школы IT-менеджмента
7. И.Ю. Попов, О.В. Яковенко «УПРАВЛЕНИЕ ПРОЕКТАМИ» издательство ИНФРА-М

Copyright © 2010 Кириленко Д.С.

К оглавлению >>

Группа: 
MBA CIO, весна 2010
Рубрика: 
Информационная безопасность
Автор: 
Кириленко Д.С.
Ваша оценка: Пусто Средняя: 2.6 (5 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009