fbk_bank

Тема защиты персональных данных последнюю неделю обсуждается весьма активно, в связи с утечкой персональных данных (номеров телефонов и текстов SMS) абонентов «Мегафона». Однако, по мнению экспертов, это лишь верхушка айсберга. Система обеспечения информационной безопасности начинается не с антивируса, и даже не с установки систем защиты информации, а гораздо раньше – с разработки системы обеспечения информационной безопасности В ЦЕЛОМ, в том числе, на основе выбранных или разработанных стандартов. (Продолжение темы в статьях от 8 августа , 17 августа, 29 августа , 12 сентября, 22 сентября, 27 сентября, 6 октября, 26 октября, 15 ноября 2011 года, 30 января, 6 февраля  2012 года )

Своей точкой зрения на защиту персональных данных, в том числе и в интернете, поделился эксперт по информационной безопасности, заместитель руководителя по методологической работе направления "Аудит информационных систем" департамента аудиторских и консультационных услуг финансовым институтам ФБК Михаил Винников:«В одном из вариантов Федерального закона № 152-ФЗ (его непростая парламентская судьба – тема для отдельной статьи) утверждается, что «…операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных», и оператор ПДн «обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных» или «вправе издать стандарт обеспечения безопасности персональных данных». Таким образом, с одной стороны, у оператора появляется степень свободы в том, что ему не навязывают трудновыполнимые и безумно дорогие нормы и принципы защиты информации, описанные ранее в документах регуляторов, например ФСТЭК, такие как «аттестация ИСПДн» и «использование сертифицированных средств защиты», которые многие «мнительные» операторы бросились выполнять при наличии соответствующих предложений от консультантов и вендоров СЗИ, не преминувших к «шильдику» сертификата ФСТЭК тут же дописать – «обеспечивает защиту персональных данных», забыв напомнить клиенту, что покупка коробки с СЗИ отнюдь не обеспечивает для клиента ни выполнения всех требований по защите информации, в том числе и ПДн, ни, тем более, исполнения требований 152-ФЗ. Безопасность информации обеспечивает СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СОИБ), включающая как общие методы защиты информации (управление доступом, антивирусы, правила работы с Интернет и т.п.) – то, что называется системой информационной безопасности (СИБ), так и организационные мероприятия – организация определяет, кто занимается обеспечением информационной безопасности, каков бюджет, выделяемый на ИБ, есть ли планирование, кто, как и перед кем отчитывается об исполнении планов и бюджета, как происходит управление инцидентами ИБ и т.п., называемые системой менеджмента (управления) информационной безопасности (СМИБ). Таким образом: СОИБ = СИБ + СМИБ Если СОИБ нет, то её надо СОЗДАВАТЬ и обеспечивать её непрерывное функционирование, как любой СИСТЕМЫ УПРАВЛЕНИЯ. И хорошо бы создавать СОИБ на основе лучших практик и стандартов, проверенных как временем, так и широтой отраслей использования, т.е. закрепленных в стандартах. Вопрос – каких? Хорошо, если оператор принадлежит к солидной отрасли, имеющей внутренние ресурсы для разработки стандартов информационной безопасности, например, банковской, разработавшей и предложившей для внедрения Стандарт информационной безопасности СТО БР ИББС, в том числе включающий в себя требования по обеспечению ИБ ПДн. Есть стандарты у связистов, разработаны стандарты для пенсионных фондов, но, в общем, это практически всё. Значит, всем другим придется разрабатывать подобные стандарты самим или заказывать внешним организациям. Для понимания принципов организации управления информационной безопасности необходимо понять, какие общие (не отраслевые) стандарты ИБ существуют и используются. Рассмотрим некоторые из них. В нашей стране в настоящее время в качестве стандартов управления информационной безопасностью действуют как стандарты группы 13335, так и идущие им на замену стандарты группы 27000, созданные на основе соответствующих стандартов ISO. Стандарты ГОСТ Р ИСО/МЭК 13335 описывают набор практических подходов к обеспечению управления ИБ, но в силу ряда причин им на замену идет группа стандартов ISO/IEC 27000, поэтому, целесообразно остановится на их рекомендациях. Группа стандартов ISO/IEC 27000 является общепризнанным мировым эталоном по организации управления информационной безопасностью. Частью группы являются стандарты ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. требования» и ISO/IEC 27002 «Информационные технологии. Свод правил по управлению защитой информации». Первый стандарт имеет российский аналог ГОСТ Р ИСО/МЭК 27001, утвержденный и введенный в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст. Второй международный стандарт имеет прототип в виде британского стандарта BS 7799 Part 1 Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), который был полностью перенесен в опубликованный организациями ISO и IEC международный стандарт ISO/IEC 17799:2000 «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности» (англ. Information technology - Security techniques - Code of practice for information security management). На основе данного стандарта был принят российский стандарт ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью, Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 447-ст. В 2007 году ISO и IEC взамен ISO/IEC 17799:2000 был опубликован стандарт ISO/IEC 27002:2005 «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности» (англ. Information technology — Security techniques — Code of practice for information security management), являющийся действующим в настоящий момент. В новом стандарте есть некоторые отличия от прототипа, но они не принципиальные, а суть подхода к организации ИБ не поменялась. Для удобства и однозначности будем ссылаться на стандарты ISO 27001 и ISO 27002. По сути, стандарт ISO 27001 определяет подходы и структуру управления ИБ, а стандарт ISO 27002 – детализирует требования к категориям СОИБ. Следует упомянуть еще один стандарт, входящий в группу ISO/IEC 27000 – ISO/IEC 27005 «Information technology – Security techniques – Information security risk management» («Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»). В ближайшее время водится в действие российский национальный стандарт, созданный на его основе, о чем сообщает Приказ Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-спт "Об утверждении национального стандарта" ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности". Так как область управления рисками ИБ, хоть и лежит в основе организации всей группы стандартов ISO 27000, является очень специфической, и поэтому требует отдельного анализа, в дальнейшем в этом цикле публикаций мы не будем в него углубляться. Упомянутые стандарты определяют конструкцию системы ИБ, к которой надо стремиться при её создании и развитии. Поэтому в дальнейших постах предполагается рассмотреть отдельные составные части системы ИБ, построенные на основе рекомендаций, изложенных в них. Следует заметить, что тексты упомянутых российских стандартов имеются в распространенных правовых базах. Так же исходные стандарты и их переводы можно приобрести в уполномоченных организациях. Важно сказать еще о том, что речь в дальнейшем пойдет не о ПОЛУЧЕНИИ СЕРТИФИКАТОВ СООТВЕТСТВИЯ тому или иному стандарту. Никто, конечно, не запрещает мечтать и стремиться к достижению вершин и получения подтверждения полного (а иного для этих стандартов и не дано) соответствия их требованиям. Предлагается рассматривать данные стандарты как методические рекомендации по организации функционирования СОИБ, реализовывать процедуры и методы, описанные в них».