воскресенье, 13 февраля 2011 г.

О банковской тайне, персональных данных и иллюзиях соответствия.

 Вот уже полтора месяца действует закон о защите персональных данных. За это время у компаний, у которых, в соответствии с законом, возникли определенные обязательства по защите персональных данных, накопилось немало вопросов.  Например, "где регистрировать базы?" или "как их защищать?".
Ответ на этот вопрос знает только малая толика людей, которая удосужилась внимательно прочитать, что:
"Кабинет Министров Украины в течение шести месяцев со дня  вступления в силу Закона обеспечивает принятие нормативно-правовых актов, предусмотренных этим Законом, приведение своих нормативно-правовых актов в  соответствие с настоящим Законом."
Т.е. делать особо пока нечего, кроме того, что провести инвентаризацию своих баз и ждать, когда уполномоченный орган даст соответствующие требования по защите и начнет регистрировать базы.

Ситуация в банках еще более пикантная. С одной стороны, в законе четко сказано:

"Порядок обработки персональных данных, относящихся к банковской тайне, утверждается Национальным банком Украины. "
О чем Национальный банк лишний раз напоминает в своем письме N 18-311/695-2160
 от 8-го февраля.  Да и на всех последних семинарах по информационной безопасности (благо их последнее время проходит огромное количество) звучали те же разъяснения. Мол, пользуйтесь 267-м постановлением (Об утверждении Правил хранения, защиты, использования и раскрытия банковской тайны), а мы, если будет нужно, его поправим.
В результате у банков возникает иллюзия, что они полностью соответствуют текущим требования.
В реальности же речь идет только о части персональных данных, используемых в банках.
В соответствии с 60-й статьей закона "О банках и банковской деятельности " к банковской тайне относятся:
  1. сведения о банковских счетах клиентов, в том числе  корреспондентские  счета  банков  в Национальном банке Украины;
  2. операции, проведенные в пользу или по поручению клиента, осуществленные им соглашения;
  3. финансово-экономическое состояние клиентов;
  4. системы охраны банка и клиентов;
  5. информация об организационно-правовой структуре юридического лица - клиента, ее руководителях, направлениях деятельности;
  6. сведения о коммерческой деятельности клиентов или коммерческой тайны, любого проекта, изобретений, образцов продукции и другая коммерческая информация;
  7. информация относительно отчетности по отдельному банку, за исключением той, которая подлежит опубликованию;
  8. коды, используемые банками для защиты информации.
Внимательный читатель заметит, что в перечне нет ни слова о персональных данных сотрудников банка. А ведь они тоже подлежат защите.
А есть еще интересные парадоксы. Например, отдельно взятые персональные данные сотрудников клиентов банка (например ФИО + адрес проживания) без данных о счетах и финансовом состоянии - это банковская тайна? По приведенному определению вроде как нет. А под закон "О защите персональных данных" попадает? Попадает. А проблема кроется в том, что нет единого трактования как "персональных данных" так и "базы персональных данных". А два толкователя с перекрестными ссылками только усугубляют картину. Как говорится, "у семи нянек дитя без глазу".

понедельник, 7 февраля 2011 г.

Немного новостей о СОУ Н НБУ65.1 СУІБ 1.0:2010

В прошлую пятницу состоялось очередное собрание украинского отделения ISACA. Пользуясь случаем, расспросил Ирину Сергеевну Ивченко (разработчик СОУ Н НБУ65.1 СУІБ и других стандартов по информационной безопасности для банков) о новостях в области внедрения стандартов.
Новости следующие:
  • Проект методики внедрения стандарта  объединен с проектом методикой оценки информационных рисков и выйдет единым финальным документом в середине февраля. Еще пару недель, и можно начинать внедрять.
  • Новость номер два - готов проект "программы проверки соответствия требованиям стандарта" для банковского надзора. Проверки банков начнутся после 1-го октября. Разумеется, проект документа для банков не доступен.
  • Ну и на самый главный вопрос "что будет за несоответствие?" ответа по-прежнему нет. Вопрос в процессе обсуждения.

четверг, 3 февраля 2011 г.

Сокращение операционных затрат как источник убытков

Последний год банки начинает захлестывать волна внутренних мошенничеств. То там то тут просачивается информация о хищении достаточно крупной суммы денег. В результате увольняют виноватых инсайдеров и разгоняют службы информационной безопасности. Но могла информационная безопасность предотвратить инцидент?
Последний кризис больно ударил по банкам. В результате сокращение затрат, в том числе и операционных, стало для большинства банков приоритетом номер один. И там, где грамотные управленцы оптимизировали процессы, менее грамотные опытные сокращали персонал. В результате контроль "четырех глаз"  (один сотрудник создает платеж / выдает кредит / и т.д., а другой его верифицирует) работал в поголовном большинстве банков по следующим вариантам:
  1. Сотрудник создает платеж и он же его верифицирует.
  2. Сотрудник по одной учетной записью создает платеж, а затем под другой учетной записью его верифицирует. Отличие первого варианта от второго в том, что нарушение разделения прав очень тяжело выявить.
Создаются прекрасные предпосылки для мошеннической операции.
Возьмем проверенный временем треугольник мошенничества, который отражает факторы способствующие возникновению мошенничества:

  • Возможность – обычно слабость системы внутреннего контроля или возможность ее обойти. В нашем примере контроль (четыре глаза) перестал работать вместе с уходом уволенного сотрудника. Про функцию информационной безопасности отдельно ниже.
  • Давление – факторы, заставляющие идти на злоупотребление (например, финансовая нужда). Ни что так не создает финансовую нужду как финансовый кризис.
  • Оправдание – способность оправдать совершение противоправных действий (например, «все воруют – чем я хуже?»). Имея возможность и находясь под давлением внешних факторов, найти оправдание своим действиям очень легко.
Вернемся к вопросу "могла информационная безопасность предотвратить инцидент?".  В поголовном большинстве банков на текущий момент информационная безопасность, исходя из численности, зрелости процессов и используемых средств автоматизации, может:
  1. Выполнять роль статистов, составляя отчеты об инцидентах и предоставляя их руководству.
  2. Выполнять функцию "найти и наказать". Которая удается с очень переменным успехом, поскольку многие инциденты выявляются через значительные промежутки времени.
Предотвратить мошенническую операцию возможности практически нет, по следующим причинам. Контроли разделения прав, которые требуются Национальным банком существуют только на бумаге (политика ИБ, должностные инструкции и т.д.). Регулярной проверки прав пользователей не предмет соответствия их должностным обязанностям и соблюдения требований по разграничению прав никто не делает. Если проверка и выполняется, результат может быть следующим:
  • Нарушения не выявляются, поскольку по документам все нормально, а про то, что сотрудник знает пароли от нескольких учетных записей, знают только он и его начальник, которым нет резона раскрывать эту информацию.
  • Нарушения выявляются, но руководство закрывает глаза на выявленные несоответствия. 
Потому, что нужно экономить деньги, а дополнительный исполнитель - это дополнительные затраты.

среда, 2 февраля 2011 г.

Защита персональных данных: мировые тренды на 2011

Ernst & Young выпустила очередной "Insights on IT risk". На этот раз выпуск посвящен сложностям реализации защиты персональных данных в мире мобильных технологий и облачных вычиленний.
Выкладываю публикацию (английский):