О рекомендациях ЦБ/АРБ по персданным

Меня часто спрашивают, а где те рекомендации ЦБ/АРБ, о которых я часто упоминал и которые должны были быть готовы в декабре 2009-го года? Думаю, пора ответить всем 😉

Из преамбулы: с целью выработки конкретных рекомендаций по выполнению требований ФЗ «О персональных данных» и требований ФСБ России, ФСТЭК России и Роскомнадзора, а также с целью устранения типовых ошибок организаций банковской системы РФ, допускаемых при реализации законодательства в области персональных данных, Банком России и Ассоциацией российских банков разработан и согласован с регуляторами комплект документов для организаций БС РФ по приведению их в соответствие с требованиями Федерального закона «О персональных данных». Эти документы включают:

  1. Отраслевую частную модель угроз безопасности персональных данных в организациях БС РФ.
  2. Доработанные для использования в целях защиты персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее стандарт Банка России СТО БР ИББС-1.0-20хх) и СТО БР ИББС-1.2-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  3. Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.

Собственно к первому документу я и приложил, в основном, свою руку. Основные отличия данных рекомендаций от ранее описанных заключаются в следующих моментах:

  • согласование с регуляторами. По крайней мере ЦБ прикладывает к этому огромные усилия. Если все пойдет как задумано, то у банков появится единый набор документов по безопасности (в т.ч. и по линии персданных), согласованный со всеми регуляторами — ЦБ, ФСТЭК, ФСБ и РКН.
  • наличие отраслевой модели угроз. Чтобы не заниматься разработкой модели угроз с нуля и не платить огромные деньги тем, кто просто копирует ранее созданные или выложенные в Интернет модели, в набор документов ЦБ/АРБ и входит уже готовая модель угроз, также согласованная с регуляторами.
  • наличие шаблонов документов. Я раньше уже какие-то из шаблонов публиковал, но мы довели этот список и содержание до ума и представим на общий суд.

Почему их до сих пор не опубликовали? Вот в этой части я не согласен с другими членами рабочей группы, считая, что документы надо выкладывать как можно раньше, чтобы собрать по максимуму все комментарии, замечания и предложения. Но видимо ЦБ хочет все-таки получить «добро» регуляторов, а потом уже выкладывать документы в открытый доступ.

Сейчас перечисленные выше документы находятся у регуляторов на рассмотрении. Перечень документов планируется направить в РКН для обсуждения на консультативном совете для принятия его в качестве базового, а не отраслевого.

Сами документы будут опубликованы для обсуждения на сайте АРБ, ABISS и магнитогорской конференции по банковской ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Роман

    Значит ждем конференции 15 — 20 февраля?

    Ответить
  2. Анонимный

    значит да

    Ответить
  3. Алексей Лукацкий

    По предварительной информации планировалось выложить документы 8-го февраля, чтобы в Магнитогорске более предметно обсуждать. Но тут я не могу уверенно утверждать, что так и будет.

    Ответить
  4. AndrewZ

    Самое идиотское в этой ситуации случится, если отраслевая модель угроз для тех или иных банковских систем будет слишком отличаться от базовой МУ, на основе которой все лопатят частные МУ. Те кто уже сделал эти работы могут возбудиться, что придется переделывать.
    Алексей, можно развеять эти сомнения?

    Ответить
  5. Алексей Лукацкий

    Отраслевая модель приведена для удобства и в качестве примера. И в основном для тех, у кого ее еще нет. Если она уже разработана, то отлично. Но у процентов 70 региональных банков ее нет. Поэтому МУ из рекомендаций в первую очередь ориентирована именно на них.

    Ответить
  6. AndrewZ

    Важно, чтобы в качестве примера. Потому, что если она довольно своеобразна, и при этом ФСТЭК будет апеллировать к ней, будут недовольные.
    Кстати, что брали в качестве основы МУ? Думаю это можно озвучить уже сейчас.
    И еще важный момент. Администратор ИС рассматривается в этой модели как возможный нарушитель? Потому, что если рассматривается — придется очень серьезно напрячься и потратиться, чтобы хоть немного защититься от угроз, которые исходят от администраторов.

    Ответить
  7. Алексей Лукацкий

    В основе лежит модель ЦБ. Была еще одна модель (ФСТЭКовская), но она была немного не соответствующая реалиям.

    Админ есть в модели.

    Ответить
  8. AndrewZ

    Вот и первый сюрприз. В подавляющем большинстве случаев админы исключаются из перечня "подозреваемых". Зачем банкиры роют себе яму?

    Ответить
  9. Алексей Лукацкий

    Ну там размытая формулировка — "персонал организации БС РФ, имеющий легальные полномочия по доступу к ПДн" (что-то вроде этого).

    А насчет исключения — http://bankir.ru/news/newsline/1091800

    Ответить
  10. AndrewZ

    Никто и не говорит, что админы белые и пушистые. Только вот защищаться от них по идеологии ФСТЭК влетело бы в "копеечку".
    Защита от мошенничества все таки пока далека от проблемы защиты ПДн в глазах наших регуляторов.

    Ответить