18 ноября, воскресенье 11:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Наработки ЦБ по ПД

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Наработки ЦБ по ПД

    Коллеги, говорилось о том, что с подачи АРБ и ЦБ разработана бета-версия стандарта по защите ПД в банковской сфере. Кто-нибудь видел о чем он? Насколько он интегрирован с существующей линейкой стандартов ЦБ по ИБ?

  • #2
    Сообщение от AndrewZ Посмотреть сообщение
    Коллеги, говорилось о том, что с подачи АРБ и ЦБ разработана бета-версия стандарта по защите ПД в банковской сфере. Кто-нибудь видел о чем он? Насколько он интегрирован с существующей линейкой стандартов ЦБ по ИБ?
    еще говорят о каком то 650 Приказе про 152-фз, наверное про это.
    если его успеют согласовать (с кем? с фст наверное), то наверное обнародуют, пока нет. я не видела.
    Жизнь всегда богаче, чем наше предоставление о ней

    Комментарий


    • #3
      Отвечаю: новые рекомендации АРБ/ЦБ будут презентованы завтра на конференции АРБ. Разбиты будут на 2 части:
      - техническая/организационная защита - войдет в состав СТО БР ИББС-1.0 (новую редакцию)
      - организационная/юридическая - будут отдельные рекомендации по тому, как выполнять требования самого ФЗ (будут шаблоны запрашиваемых документов и т.п.).

      Приказ 650 - это внутренний документ ЦБ по защите ПДн. Часть его контента войдет и в рекомендации.

      Комментарий


      • #4
        А где их потом можно будет скачать? Или они тоже ДСП будут?

        Комментарий


        • #5
          Сообщение от Pyatachok Посмотреть сообщение
          А где их потом можно будет скачать? Или они тоже ДСП будут?
          Свободно будут выложены на сайте АРБ

          Комментарий


          • #6
            Спасибо! Только киньте ссылку поскорее завтра ;-)

            Комментарий


            • #7
              Сообщение от Pyatachok Посмотреть сообщение
              Спасибо! Только киньте ссылку поскорее завтра ;-)
              А завтра может быть еще и не будет

              Комментарий


              • #8
                Эх, новость выложили, а проекты документов - нет :-(

                Комментарий


                • #9
                  Сообщение от NGBank Посмотреть сообщение
                  Эх, новость выложили, а проекты документов - нет :-(
                  Мы же вчера сказали - до конца ноября первая часть. Остальное - в декабре.

                  Комментарий


                  • #10
                    Проект изменений хорошо просматривается в презентации А.Лукацкого по ссылке
                    http://lukatsky.blogspot.com/2009/11/cisco.html
                    примерно со смещением 2 часа 40 минут от начала.

                    Собственно у меня вопрос к коллегам, "приближенным" к процессу создания этого документа.

                    Что думает ФСТЭК о двух ключевых пунктах этого проекта в плане снижения материального бремени :
                    1) опциональности получения лицензии на ТЗКИ
                    2) опциональности использования сертифицированных средств защиты ?

                    Кстати, реально идеей о персональной ответственности руководителя кредитной организации за принятие решения об использовании несертифицированных средств, Стандарт подводит его под определенную ответственность. А какую именно (кодекс, статья) ?

                    Комментарий


                    • #11
                      Сообщение от NGBank Посмотреть сообщение

                      Кстати, реально идеей о персональной ответственности руководителя кредитной организации за принятие решения об использовании несертифицированных средств, Стандарт подводит его под определенную ответственность. А какую именно (кодекс, статья) ?
                      13.12 КоАП первое что приходит в голову..

                      Комментарий


                      • #12
                        Алексей, наверное лично к Вам вопрос, а интересен ответ думаю будет многим :

                        Классифицировать ИСПДн планируется в стандарте
                        - в соответствии с ТрехГлавым Законом, т.е. "специальная" и всё;
                        - или в соответствии с последним вариантом ФСТЭК : "специальная, класса не ниже Х-ной" ?

                        Комментарий


                        • #13
                          Сообщение от NGBank Посмотреть сообщение
                          Классифицировать ИСПДн планируется в стандарте
                          - в соответствии с ТрехГлавым Законом, т.е. "специальная" и всё?
                          Все. Хотя и дополнительная детализация ничего нового не даст. Мы же не привязываемся к защитным мерам из четверокнижия.

                          Комментарий


                          • #14
                            Сообщение от NGBank Посмотреть сообщение
                            Что думает ФСТЭК о двух ключевых пунктах этого проекта в плане снижения материального бремени :
                            1) опциональности получения лицензии на ТЗКИ
                            2) опциональности использования сертифицированных средств защиты ?
                            Им только отправили этот стандарт. Ждем реакции. Собственно основная идея рабочей группы - согласовать предложения с регуляторами. В противном случае рекомендации не будут по статусу сильно отличаться от того, что обсуждается тут на форуме.

                            Комментарий


                            • #15
                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Мы же не привязываемся к защитным мерам из четверокнижия.
                              Хм, но тогда вы не привязываетесь и к "классности" средств защиты. Тогда возникает следующий принципиальный вопрос :

                              Для ИСПДн любого масштаба разрешается применение любого СЕРТИФИЦИРОВАННОГО средства (например, МСЭ 4-го класса для 1.000.000 записей Кат2) без какой-либо доп. персональной ответственности руководства ?

                              Либо же после построения модели угроз, планируемых к защите данным видом СЗИ, я должен просмотреть ТУ на сертифицированное СЗИ, и его применение будет соответствовать идеологии Стандарта ЦБ только если все имеющиеся угрозы перечислены в данном ТУ как снижаемые ?

                              Комментарий


                              • #16
                                Сообщение от NGBank Посмотреть сообщение
                                Для ИСПДн любого масштаба разрешается применение любого СЕРТИФИЦИРОВАННОГО средства (например, МСЭ 4-го класса для 1.000.000 записей Кат2) без какой-либо доп. персональной ответственности руководства ?
                                Или несертифицированного ;-) В СТО же и сейчас написано, что это решение лежит на руководстве.

                                Сообщение от NGBank Посмотреть сообщение
                                Либо же после построения модели угроз, планируемых к защите данным видом СЗИ, я должен просмотреть ТУ на сертифицированное СЗИ, и его применение будет соответствовать идеологии Стандарта ЦБ только если все имеющиеся угрозы перечислены в данном ТУ как снижаемые ?
                                ;-)

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  ;-)
                                  Таки, это всё же "да" или всё же "нет" ? (с легким акцентом)

                                  Комментарий


                                  • #18
                                    Сообщение от NGBank Посмотреть сообщение
                                    Таки, это всё же "да" или всё же "нет" ? (с легким акцентом)
                                    Ответ базируется на том, что вы решили для себя в части использования сертифицированных решений.

                                    Комментарий


                                    • #19
                                      Ответ базируется на том, что вы решили для себя в части использования сертифицированных решений.

                                      Поделитесь опытом кого проверяли, и кому сделали замечания про сертифицированные "решения"?

                                      Из статьи:
                                      .... В определенный момент компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении
                                      дополнительных данных Роскомнадзор делает предварительный
                                      вывод о недостаточности мер по защите ПДн. Например,
                                      сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не
                                      демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального
                                      нарушителя. После чего Роскомнадзор направляет обращение в
                                      ФСТЭК и/или ФСБ по вопросу проведения внеплановой
                                      проверки организации с целью выяснения степени выполнения
                                      требований по обеспечению защиты ПДн....."
                                      Жизнь всегда богаче, чем наше предоставление о ней

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Мы же вчера сказали - до конца ноября первая часть. Остальное - в декабре.
                                        Алексей, не могли бы вы сообщить подробности, когда же все-таки ждать долгожданных рекомендаций?

                                        Комментарий


                                        • #21
                                          [QUOTE=ОСАНИК;2641108После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой
                                          проверки организации с целью выяснения степени выполнения
                                          требований по обеспечению защиты ПДн....."[/QUOTE]
                                          Только документарная - т.к. для выездной основание не попадает под 294-ФЗ.

                                          А вот привлечь в свою плановую проверку представителей ФСБ/ФСТЭК Роскомнадзор может.

                                          Комментарий


                                          • #22
                                            Сообщение от bCast Посмотреть сообщение
                                            Алексей, не могли бы вы сообщить подробности, когда же все-таки ждать долгожданных рекомендаций?
                                            Сегодня была встреча рабочей группы. Я отправляю ее участникам набор из подготовленных шаблонов документов (около 50 штук) и сами рекомендации. Будет обсуждение (надеюсь недолго). Потом я финализирую документы и мы их выкладываем на сайт АРБ. Это по первой части.

                                            По второй - техническая составляющая в виде изменений в СТО. 7.12 будет его обсуждение на ПК3, потом согласование, утверждение руководством ЦБ и в январе он увидит свет.

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Сегодня была встреча рабочей группы. Я отправляю ее участникам набор из подготовленных шаблонов документов (около 50 штук) и сами рекомендации. Будет обсуждение (надеюсь недолго). Потом я финализирую документы и мы их выкладываем на сайт АРБ. Это по первой части.

                                              По второй - техническая составляющая в виде изменений в СТО. 7.12 будет его обсуждение на ПК3, потом согласование, утверждение руководством ЦБ и в январе он увидит свет.
                                              Известно ли уже - какие и когда будут изменения относящиеся к ПД в СТО ???
                                              Мы продолжаем делать то, что мы уже много наделали

                                              Комментарий


                                              • #24
                                                Сообщение от George-on-Don Посмотреть сообщение
                                                Известно ли уже - какие и когда будут изменения относящиеся к ПД в СТО ???
                                                В Магнитогорске. Раньше нам не разрешили выложить эти документы на обсуждение ;-( ЦБ против. Мотивация - документы ушли к регуляторам на согласование. Вот после согласования пусть все видят.

                                                ЗЫ. Не все члены рабочей группы согласны с таким решением, но увы...

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  В Магнитогорске. Раньше нам не разрешили выложить эти документы на обсуждение ;-( ЦБ против. Мотивация - документы ушли к регуляторам на согласование. Вот после согласования пусть все видят.

                                                  ЗЫ. Не все члены рабочей группы согласны с таким решением, но увы...
                                                  те.е ЦБ заверяет что в этом году в СТО появятся изменения связанные с требованими по ПДн??? - т.е. требования по защите банковской тайны и требования по защите ПДн будут увязанны друг с другом в рамках СТО?
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #26
                                                    Сообщение от George-on-Don Посмотреть сообщение
                                                    те.е ЦБ заверяет что в этом году в СТО появятся изменения связанные с требованими по ПДн??? - т.е. требования по защите банковской тайны и требования по защите ПДн будут увязанны друг с другом в рамках СТО?
                                                    Да
                                                    Именно это и планируется сделать

                                                    Комментарий


                                                    • #27
                                                      Сообщение от George-on-Don Посмотреть сообщение
                                                      те.е ЦБ заверяет что в этом году в СТО появятся изменения связанные с требованими по ПДн???
                                                      Они уже есть. Согласуются с регуляторами, чтобы те не свои требования к банкам применяли, а СТО.

                                                      Комментарий


                                                      • #28
                                                        http://lukatsky.blogspot.com/2010/01/blog-post_29.html

                                                        Комментарий

                                                        Пользователи, просматривающие эту тему

                                                        Свернуть

                                                        Присутствует 1. Участников: 0, гостей: 1.

                                                        Обработка...
                                                        X