Если вы спросите среднестатистического банковского работника, какая информация в банке является конфиденциальной, то, скорее всего, получите ответ: «ВСЯ».
С этого и начинаются проблемы, связанные с защитой конфиденциальной информации. Априори защищать все и вся не только невозможно, но и нецелесообразно, и неэффективно. Прежде чем приступать к защите информации, необходимо четко определить, что и от кого мы защищаем, а уж затем применять организационные, технические и иные средства защиты информации.
С точки зрения требований законодательства более или менее понятно, какая информация должна быть защищена. Касательно любой другой информации банк самостоятельно должен принять решение, что является ценным с точки зрения бизнеса и потеря (утечка) какой информации критична с экономической, имиджевой и любой другой точки зрения. Необходимо оценить потенциальные финансовые потери организации от утечки данной информации, поскольку это будет накладывать ограничения на стоимость мер по защите. Очень важно, что такую оценку должны проводить не подразделения информационных технологий или безопасности банка, а непосредственно владельцы информации, то есть бизнес-подразделения банка. Соответственно, необходимым условием эффективной защиты информации является ее классификация и ранжирование по важности и стоимости, а также наличие владельца каждого элемента информации в банке.
Следующим этапом, после того как определено, что защищать, является определение, от кого защищать, а также - какие способы хищения информации могут быть реальными и от каких реально можно защититься. Данный шаг является весьма важным, поскольку зачастую реализуемые меры защиты (весьма дорогие) направлены на эфемерные угрозы и нереализуемые риски. При этом остаются незащищенными участки, где информация реально может быть похищена.
В частности, таким незащищенным направлением является инсайдер. Как правило, банки очень жестко защищают внешние периметры своих информационных систем, помещений, архивов и т.п., оставляя без должного внимания собственных сотрудников. Хотя по статистике именно сотрудники банка являются главной угрозой утечки конфиденциальной информации.
Соответственно, следующим шагом организации защиты конфиденциальной информации является разработка модели угроз и профиля нарушителя, что обычно делается совместно подразделениями информационных технологий и безопасности банка. Все это вместе: классификация информации, модель угроз и профиля нарушителя - является основой политики информационной безопасности банка.
В заключение стоит отметить, что недавно Банком России выпущена новая версия Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Эти документы могут быть (и должны быть) использованы в рамках организации защиты конфиденциальной информации в банках. Комплекс документов включает в себя:
- четвертую редакцию стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2010);
- третью редакцию стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» (СТО БР ИББС-1.2-2010);
- рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.3-2010);
- рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4-2010).
Текст подготовлен при поддержке CIO клуба
Начать дискуссию