Вопросы защиты персональных данных в банковской сфере Андрей Петрович Курило Банк России Магнитогорск-Банное 13 февраля 2009 года Исследования по вопросам, имеющим отношение к защите персональных данных   Инсайдерские угрозы в России 2009 (комп. «Периметрикс»)  Результаты опроса банков по проблемам взаимодействия с провайдерами связи (Банк России) Результаты опроса Банков по проблемам защиты персональных данных (АРБ) О численности специалистов (подразделений) безопасности в банках России Нет специалистов 50% (Некоторые задачи администрируются удаленно из головных офисов) В подразделениях информатизации 42% (выполняются некоторые Функции) В подразделениях безопасности 8% Выводы о возможностях реализации требований ФЗ и подзаконных актов    Информационная безопасностьрассматривается как вспомогательная задача, этим определяется отсутствие специалистов Специалистов нет в 50% банков, реализовывать требования Закона некому Специалисты не обучены и не владеют методологией В 50% банков и их филиалов лицензионные требования, установленные Постановлением Правительства РФ № 504 «О лицензировании деятельности…» выполнены быть не могут. Наиболее подверженная рискам информация Инсайдерские угрозы Каналы утечки Наиболее эффективные средства защиты Наиболее эффективные методы защиты Меры воздействия Негативные факторы Мнение практических специалистов по банковской безопасности Отдельный доклад по материалам опроса, проведенного АРБ Модель угроз (составленная на основании исследования)    Наиболее вероятный злоумышленник – инсайдер; Наиболее вероятные последствия инсайдерской деятельности – утечка, уничтожение и утрата информации Наиболее вероятный канал утечки – через мобильные накопители, электронную почту, интернет. Политика безопасности ПД (составлена по результатам исследования)    Наиболее эффективные защитные меры – контентная фильтрация, пассивный мониторинг, контроль над портами раб. Станций; Наиболее эффективные способы реализации защитных мер – антивирусная защита, межсетевое экранирование, управление и контроль доступа; Наиболее эффективная мера воздействия на персонал – строгий выговор Деятельность и системы, в которых имеются ПД применительно к банковской сфере      Учетно-операционная, ведение договоров с физ. лицами; Платежные системы, в том числе и международные; обработка кредитных историй, Кредитные бюро Системы по учету кадров Социальные (медицинские) Трансграничная передача данных    Передача платежных баз данных для их ведения на серверах в других странах, по месту расположения головного офиса Платежи физ. Лиц по международным платежным системам Передача отдельной информации между процессинговыми центрами карточных платежных систем Виды информации, относящейся к ПД     Общедоступная (пасп. данные в разл. сочетании) используется как правило в качестве идентификационной информации; Специальная (сведения о национальности); Социальная (медицинская) «Иное» В платежной системе Банка России используются следующие расчетные документы (Согласно Положению Банка России от 03.10.2002г. №2-П) : Платежное поручение, платежное требование, инкассовое поручение. Структура платежного документа Документ на бумажном носителе) Основные поля: Сумма ИНН Плательщика КПП Плательщика Наименование плательщика Банк Плательщика БИК Банка Плательщика Банк Получателя БИК Банка Получателя ИНН Получателя КПП Получателя Наименование Получателя Назначение платежа Основными полями, используемыми при расчетах являются: Сумма ИНН Плательщика/Получателя БИК Банка Плательщика/Получателя Счет Плательщика/Получателя В полях: «Наименование Плательщика/Получателя» указывается название юридического лица Структура электронного платежного документа (согласно форматам УФЭБС) Согласно альбому форматов УФЭБС, используемых в платежной системе Банка России: Логическая структура электронного платежного документа (ЭПД) соответствует структуре платежного документа на бумажном носителе. Основные поля:  Сумма  ИНН Плательщика  КПП Плательщика  Наименование плательщика  Банк Плательщика  БИК Банка Плательщика  Банк Получателя  БИК Банка Получателя  ИНН Получателя  КПП Получателя  Наименование Получателя  Назначение платежа Формат заполнения полей ЭПД полностью соответствует формату заполнения оригинального платежного документа на бумажном носителе, за исключением служебных полей, необходимых для штатной работы системы. Представление электронного платежного документа на уровне баз данных «АСБР-Москва», ТПК «РАБИС-НП, ТПК РАБИС-2» В базах данных всех систем информация, содержащаяся в электронных платежных документах представлена в виде набора таблиц, являющихся частью табличного пространства. На логическом уровне данные представлены в виде реляционной базы данных. В зависимости от системы от 150 до 400 таблиц. Основные данные, необходимые для процесса расчетов представлены в трех таблицах: Таблица Справочник абонентов (поля) ID (УИС) – 10 символов БИК КО или обслуживающего УБР – 9 символов Ссылка на список разрешенных счетов для списания – 9 символов Наименование абонента- 80 символов Служебные реквизиты (тип транспортной системы, разрешена ли работа и пр…) – 150 символов Таблица счетов (поля) БИК № лицевого счета Таблица Документы дня (поля) Состоит из цифровых полей. Состав полей соответствует 2-П от 03.10.2002г. В процессе расчетов во всех системах используются поля, содержащие только цифровые значения. Текстовые поля используются только в процессе учета операций. Сложности     «Тяжелая» нормативная база Необходимость классификации систем и регистрации банка как оператора ИСПД Высокая затратность работ по тех. защите Необходимость проведения доработок на действующих системах силами разработчиков (их никто не обязал и не уполномочил) Риски   Возникновение административной ответственности для руководителя Возникновение с 01.01.2010г. риска отзыва лицензии на основную деятельность (усугубляются слабо определенными правилами принятия решений, неявными критериями принятия решений и возникновение права подготовки таких решений контролирующими подразделениями регуляторов). Подход Центробанка Главные условия: - требования Закона и нормативных документов регуляторов должны быть выполнены в установленный срок и с надлежащим качеством. - время завершения работ по системы приведению в соответствие с требованиями Закона- 1января 2010 года. Метод решения      Классификация систем, как систем ИСПД – только лицензионных и кадровых, так как только в них обрабатывается информация, относимая к персональным данным. На основании п. 8 совместного приказа ФСТЭК, ФСБ и Россвязьнадзора №55/86/20 от 13 февраля 2008 г. Системы ИСПД Банка России классифицируются как специальные Для определения класса ИСПД, требований по безопасности и мер защиты используются соответствующие модели угроз и нарушителей, действующие в ЦБ РФ. класс ИСПД, определенный с учетом соответствующих моделей, – не выше III. Все защитные меры, включая контроль, разработанные для защиты информации ограниченного распространения, применяются для защиты ПД в полном объеме. Ограничения, вводимые Моделями     Трансграничная передача ПД не осуществляется ИСПД ЦБ РФ не имеют подключения к сетям общего пользования Угрозы утечки информации ПД по техническим каналам неактуальны Основные угрозы ПД исходят от инсайдера Спасибо за внимание Андрей Петрович Курило, Центробанк kap1@cbr.ru