Защита информации: камень преткновения для системы бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. АЗИ Защита информации в бюро кредитных историй
Темы доклада АЗИ Защита информации в бюро кредитных историй Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты информации Классификация объекта защиты Комплекс имущественных отношений, связанных с защитой объекта Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты
Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.
Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.
Примеры мировой практики АЗИ Защита информации в бюро кредитных историй – Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc
Идеология построения систем защиты информации АЗИ Защита информации в бюро кредитных историй Ценности Угрозы Виды воздействий Оценка долгосрочных последствий Меры защиты Приемлемость остаточного риска
Классификация объекта защиты АЗИ Защита информации в бюро кредитных историй Базовый объект защиты - консолидированная совокупность персонифицированных данных владельцев кредитных историй Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга
Комплекс информационных отношений, связанных с защитой объекта АЗИ Защита информации в бюро кредитных историй Субъекты отношений: Субъект гражданского оборота (носитель кредитной истории) Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории Кредитное бюро Потребители услуг кредитного бюро Центральный Банк Государство
Носитель кредитной истории АЗИ Защита информации в бюро кредитных историй заинтересован в том, чтобы его персональные данные обращались в режиме конфиденциальности
Лицо, осуществляющее первоначальный сбор данных АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: все процедуры сбора и дальнейшей передачи были юридически выверены сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.
Кредитное бюро АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации
Потребители услуг кредитного бюро АЗИ Защита информации в бюро кредитных историй заинтересованы в том, чтобы они могли: Использовать персональные данные граждан на законных основаниях Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими
Центральный Банк АЗИ Защита информации в бюро кредитных историй выполняя возложенные на него функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан
Государство АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы персональные данные граждан находились под защитой с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан
Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты АЗИ Защита информации в бюро кредитных историй Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются: - Нарушения конфиденциальности информации - Нарушения целостности информации - Нарушения доступности информации Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц
Основные виды угроз безопасности ИС и информации АЗИ Защита информации в бюро кредитных историй Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются: сбои и отказы оборудования (технических средств) информационных систем последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных) ошибки эксплуатации (пользователей, операторов и другого персонала) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников) стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)
Модель наиболее опасного нарушителя АЗИ Защита информации в бюро кредитных историй Как показывает практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации
Оценка риска АЗИ Защита информации в бюро кредитных историй Руководство кредитного бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса
Принципы построения системы мер защиты АЗИ Защита информации в бюро кредитных историй Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.
Система мер (методы защиты) должна включать в себя: АЗИ Защита информации в бюро кредитных историй Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации) Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации) Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)
АЗИ Защита информации в бюро кредитных историй В качестве примера можно привести перечень документов, которые необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне: Политика информационной безопасности Концепция ИБ, корпоративная политика ИБ, частные политики ИБ Требования ИБ к процессам (кто, что, где, когда) Стандарты технологий, положения, порядки, регламенты на процедуры Требования ИБ к задачам, выполняемым работниками Конфигурационные стандарты, инструкции, отчетные формы, технологические карты Свидетельства выполненной деятельности Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты
Стоимость системы мер защиты АЗИ Защита информации в бюро кредитных историй Обычно стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить процентов от ИТ бюджета кредитного бюро.
АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Федеральный закон Об информации, информатизации и защите информации» от г. 24-ФЗ. Гражданский кодекс РФ, ст.ст. 139, 857 Уголовный кодекс Российской Федерации Федеральный закон от г. 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»). Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. 1-ФЗ. Федеральный закон «О лицензировании отдельных видов деятельности» от г. 128-ФЗ. Постановление Правительства Российской Федерации от г. 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Положение ЦБР от г. 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Письмо ЦБ РФ от г. 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»; Письмо ЦБ РФ от г. 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;
АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Приказ ЦБ РФ от г «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»; Положение ЦБР от г. 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; «О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.); «О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство Р0СС RU БИ00)); Федеральный закон «О кредитных историях» от ФЗ
Спасибо за внимание! АЗИ Защита информации в бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н.