15.12.2010

Комплекс ИББС для защиты персональных данных

Golshtein_AB

Автор: Анна Гольдштейн

Должность: директор департамента развития бизнеса компании «Информзащита»

Попробую кратко обобщить положительные и отрицательные стороны применения комплекса ИББС для защиты персональных данных по сравнению с базовым подходом (непосредственное выполнение нормативных документов регуляторов по ПДн, в том числе ФСТЭК РФ и ФСБ РФ).

Преимущества:

  • более четкая, однозначная классификация ИСПДн;
  • наиболее труднореализуемые требования ФСТЭК, повторяющие положения нормативных документов Гостехкомиссии конца 20-го века, и при этом малоэффективные ввиду, например, развития технологий ИТ, заменены на адекватные современным технологиям и рискам ИБ требования по защите;
  •  могут быть существенно снижены затраты на реализацию требований по защите ПДн, ввиду отсутствия необходимости сертификации встроенных механизмов защиты системного и прикладного ПО.

Недостатки (только в свете решения задачи минимизации ресурсов на защиту ПДн):

  • предъявляются требования к защите общедоступных и обезличенных данных;
  • добавляются требования к организационным защитным мерам и степени документирования процессов обработки ПДн и их системы защиты.

Кроме того, есть еще некоторая недоработанность СТО-БР, несущая в себе риски для банков, выбравших этот подход к защите ПДн:

  • формальное несоответствие ПП 781 принципа классификации ИСПДн (не учитывается объем обрабатываемых ПДн);
  • исключение из области работ по защите Пдн АБС, реализующих платежные процессы и системы, целью которых не является обработка ПДн;
  • наверное, самое важное на сегодняшний день — непроработанность порядка контроля защищенности ПДн со стороны регуляторов по ПДн (Роскомнадзор, ФСБ РФ, ФСТЭК РФ).

В качестве вывода хочется отметить, что, на мой взгляд, соответствие требованиям СТО БР в части защиты персональных данных — серьезная задача, не решаемая в «пять минут». Однако эта задача «комплайнса» существенно ближе к реальной работе по повышению информационной безопасности банка.