25 февраля, четверг 22:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Правовые основы ИБ Банка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Правовые основы ИБ Банка

    Встал такой вопрос, какие правовые и нормативные законы, акты и т.п. Законодательства РФ регулируют деятельность ИБ в РФ?
    В общем неплохо было бы составить их список, т.к. при разработке документов этот список думаю лишнем не будет.

  • #2
    Нашел вот это http://dorlov.blogspot.com/p/blog-page.html
    Вот сам список, может что есть добавить?

    Общие законы, учитывающие вопросы ИБ
    •Конституция РФ от 12.12.1993
    •Гражданский кодекс РФ (Часть первая) №51-ФЗ от 30.11.1994
    •Гражданский кодекс РФ (Часть вторая) №14-ФЗ от 26.01.1996
    •Трудовой кодекс Российской Федерации №197-ФЗ от 30.12.2001
    •Уголовный кодекс Российской Федерации №63-ФЗ от 13.06.1996
    •Кодекс РФ об административных правонарушениях №195-ФЗ от 30.12.2001
    •Федеральный закон «О лицензировании отдельных видов деятельности» №128-ФЗ от 08.08.2001
    •Постановление Правительства РФ «Об организации лицензирования отдельных видов деятельности» №45 от 26.01.2006
    •Федеральный закон «О связи» №126-ФЗ от 07.07.2003
    •Федеральный закон «О техническом регулировании» №184-ФЗ от 27.12.2002
    •Закон «О защите прав потребителей» №2300-1 от 07.02.1992
    •Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" №294-ФЗ от 26.12.2008

    Общие вопросы ИБ
    •Доктрина информационной безопасности РФ №Пр-1895 от 09.09.2000
    •Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.2006
    •Указ Президента РФ «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена» №351 от 17.03.2008

    Криптография
    •Федеральный закон «Об электронной цифровой подписи» №1-ФЗ от 10.01.2002
    •ПРОЕКТ Федерального закона «Об электронной подписи»
    •Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (утверждена Приказом ФАПСИ №152 от 13.06.2001)
    •Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (утверждено Приказом ФСБ РФ №66 от 09.02.2005)
    •Постановление Правительства РФ «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» №957 от 29.12.2007)

    Конфиденциальная информация и Коммерческая тайна
    •Федеральный закон «О коммерческой тайне» №98-ФЗ от 29.07.2004
    •Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» №188 от 06.03.1997
    •Постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» №35 от 05.12.1991
    •Положение о лицензировании деятельности по технической защите конфиденциальной информации (утверждено Постановлением Правительства РФ №504 от 15.08.2006)
    •Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (утверждены Гостехкомиссией 30.08.2002)

    Документы по защите персональных данных
    •Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981)
    •Федеральный закон "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" №160-ФЗ от 19.12.2005
    •Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006
    •Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» №781 от 17.11.2007
    •Совместный приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» №55/86/20 от 13.02.2008
    •Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» №512 от 06.07.2008
    •Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» №687 от 15.09.2008
    •Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждены ФСТЭК 14.02.2008)
    •Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждены ФСТЭК 15.02.2008)
    •Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК №58 05.02.2010) (графическая версия)
    •Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены ФСБ 21.02.2008)
    •Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены ФСБ 21.02.2008)
    •Административный регламент проведения проверок Роскомнадзора при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (утвержден приказом Роскомнадзора №630 от 01.12.2009)
    •Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08.08.2009 №149/7/2/6-1173)
    •Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ
    •РС БР ИББС-2-4-2010. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы РФ (графическая версия)
    •«Письмо Шестерых (Банк России, Ассоциация российских банков, ФСТЭК России, Роскомнадзор, ФСБ и АРБР)»
    •Письмо Банка России "О реализации в организациях БС РФ Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»"
    •РС БР ИББС-2.3-2010. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ

    Вопросы ИБ в банках
    •Федеральный закон «О банках и банковской деятельности» №395-1 от 02.12.1990
    •Положение ЦБ «Об организации внутреннего контроля в кредитных организациях и банковских группах» №242-П от 16.12.2003 (в двух словах)
    •Указание «О порядке информирования кредитными организациями ЦБ РФ об использовании в своей деятельности Интернет-технологий №1390-У от 01.03.2004
    •Письмо ЦБ РФ «О рекомендациях для кредитных организаций по дополнительным мерам ИБ при использовании систем интернет-банкинга» №11-Т от 30.01.2009
    •Письмо ЦБ РФ «О рисках при дистанционном банковском обслуживании» №197-Т от 07.12.2007
    •Письмо ЦБ РФ «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» №36-Т от 31.03.2008
    •Письмо ЦБ РФ «О рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» №141-Т от 26.10.2010
    •Указание ЦБ РФ «О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета» №2346-У от 25.11.2009
    •Письмо ЦБ РФ «О типичных банковских рисках» №70-Т от 23.07.2004

    Требования ИБ при выпуске и обслуживании банковских карт
    •PCI Data Security Standard 2.0
    •PCI Data Security Standard 1.2 (оригинал на английском) (перевод на русский) (в двух словах)
    •VISA. PCI: PIN Security Requirements (обзор на русском)
    •VISA. Security Validation Requirements for Card Vendors
    •Письмо ЦБ РФ «О памятке "О мерах безопасного использования банковских карт"» №120-Т от 02.10.2009
    •Письмо ЦБ РФ «О рекомендациях по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием» №154-Т от 22.11.2010

    Комментарий


    • #3
      Сообщение от K0Lb@zzeR Посмотреть сообщение
      Вот сам список, может что есть добавить?
      У меня несколько иной список

      Сообщение от K0Lb@zzeR Посмотреть сообщение
      Общие законы, учитывающие вопросы ИБ
      •Гражданский кодекс РФ (Часть первая) №51-ФЗ от 30.11.1994
      •Гражданский кодекс РФ (Часть вторая) №14-ФЗ от 26.01.1996
      Хде четвертая часть?

      Комментарий


      • #4
        Сообщение от Toparenko Посмотреть сообщение
        У меня несколько иной список
        Хде четвертая часть?
        Список исчерпывающий просто.

        Комментарий


        • #5
          Сообщение от K0Lb@zzeR Посмотреть сообщение
          Список исчерпывающий просто.
          Не-а

          И на старуху бывает проруха (с)
          Сегодня еще кое-что добавил

          Комментарий


          • #6
            Сообщение от Toparenko Посмотреть сообщение
            Не-а

            И на старуху бывает проруха (с)
            Сегодня еще кое-что добавил
            И все равно не все туда включил ;-) По линии ПДн перечень неполный, как и по линии ФСБ. Приказы ФСТЭК не все.

            Я бы ориентировался все-таки не на тип документа (приказ, постановление и т.д.), а на сферу применения (КТ, БТ, ПДн, криптография и т.д.).

            Комментарий


            • #7
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              И все равно не все туда включил ;-) По линии ПДн перечень неполный, как и по линии ФСБ. Приказы ФСТЭК не все.
              И я о чем говорю

              Там Вики, но кроме меня никто не корректирует. Так же как и на WikiSec - у меня руки не доходят закончить, а больше никому не надо...
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              Я бы ориентировался все-таки не на тип документа (приказ, постановление и т.д.), а на сферу применения (КТ, БТ, ПДн, криптография и т.д.).
              Еще сложнее будет систематизация. Например ПП330 придется давать в два раздела: служебная тайна и ПДн

              Комментарий


              • #8
                Сообщение от Toparenko Посмотреть сообщение
                Еще сложнее будет систематизация. Например ПП330 придется давать в два раздела: служебная тайна и ПДн
                Там явно систематизация нужна не в одной плоскости.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Там явно систематизация нужна не в одной плоскости.
                  Предложения?

                  Комментарий


                  • #10
                    Сообщение от Toparenko Посмотреть сообщение
                    Предложения?
                    Использовать теги, которым присваивать различные значения по следующим срезам:
                    - защищаемая информация (КТ, БТ, ПДн, КСИИ и т.д.)
                    - отрасль экономики (госы, кредитные организации, операторы связи и т.д.)
                    - иерархия применения (ПП, ФЗ, Приказ, СТО и т.д.)
                    - обязательность применения (обязательный, рекомендации, спорный)
                    - уровень применения (международный, национальный, отраслевой, корпоративный)
                    - временные рамки (применяется, проект, прекратил действие)
                    - регулятор (ФСТЭК, ФСБ, ЦБ, МО, Газпром, PCI и т.д.)
                    - жизненный цикл СЗИ (ввоз, разработка, распространение, оказание услуг, ТО, встраивание/интеграция, эксплуатация).

                    Как-то так... Тогда возможность множественного выбора по нужным тегам дает подмножество не всех, а только нужных нормативных актов.

                    Я такую систематизацию пару лет назад затеял, когда курс делал "500 стандартов по ИБ, которые необходимо соблюдать в России"... Но т.к. заказов на данный курс почти не было, то я идею не довел до конца.

                    Можем возродить... ;-)

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Использовать теги, которым присваивать различные значения по следующим срезам:
                      - защищаемая информация (КТ, БТ, ПДн, КСИИ и т.д.)
                      - отрасль экономики (госы, кредитные организации, операторы связи и т.д.)
                      - иерархия применения (ПП, ФЗ, Приказ, СТО и т.д.)
                      - обязательность применения (обязательный, рекомендации, спорный)
                      - уровень применения (международный, национальный, отраслевой, корпоративный)
                      - временные рамки (применяется, проект, прекратил действие)
                      - регулятор (ФСТЭК, ФСБ, ЦБ, МО, Газпром, PCI и т.д.)
                      - жизненный цикл СЗИ (ввоз, разработка, распространение, оказание услуг, ТО, встраивание/интеграция, эксплуатация).

                      Как-то так... Тогда возможность множественного выбора по нужным тегам дает подмножество не всех, а только нужных нормативных актов.

                      Я такую систематизацию пару лет назад затеял, когда курс делал "500 стандартов по ИБ, которые необходимо соблюдать в России"... Но т.к. заказов на данный курс почти не было, то я идею не довел до конца.

                      Можем возродить... ;-)
                      Идея очень хороша, а что мешает возродить... ?

                      Комментарий


                      • #12
                        Просмотрел законы, на основе их информацию можно разделить на:
                        1.Банковская тайна (статья 26 Федерального закона №395-1 «О банках и банковской деятельности&raquo
                        2.Коммерческая тайна (статья 3 Федерального закона №98-ФЗ «О коммерческой тайне&raquo
                        3.Персональные данные (№152-ФЗ «О персональных данных&raquo
                        4.Общедоступная информация (статья 7 Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации&raquo

                        Хотя формально (не раскрыты, что именно составляет) про служебную информацию упоминается в:
                        1.Федеральный закон от 23.12.2003 N 177-ФЗ (ред. от 29.12.2010) "О страховании вкладов физических лиц в банках Российской Федерации" (Статья 31. Служебная, коммерческая и банковская тайна)
                        2.Федеральный закон от 30.12.2004 N 218-ФЗ (ред. от 24.07.2007) "О кредитных историях" (Статья 17. Соблюдение коммерческой, служебной, банковской, налоговой тайны должностными лицами уполномоченного государственного органа)

                        Вопрос в том, где раскрывается такое понятие как Служебная информация и информация ДСП?

                        Комментарий


                        • #13
                          Сообщение от K0Lb@zzeR Посмотреть сообщение
                          Хотя формально (не раскрыты, что именно составляет) про служебную информацию упоминается в:
                          1.Федеральный закон от 23.12.2003 N 177-ФЗ (ред. от 29.12.2010) "О страховании вкладов физических лиц в банках Российской Федерации" (Статья 31. Служебная, коммерческая и банковская тайна)
                          2.Федеральный закон от 30.12.2004 N 218-ФЗ (ред. от 24.07.2007) "О кредитных историях" (Статья 17. Соблюдение коммерческой, служебной, банковской, налоговой тайны должностными лицами уполномоченного государственного органа)

                          Вопрос в том, где раскрывается такое понятие как Служебная информация и информация ДСП?
                          Закон о служебной тайне так и остается в проекте т.ч. пока она законодательно не регулируется.
                          Служебная отметка "для служебного пользования" (ДСП) является визуализацией отнесения к служебной тайне.

                          В принципе, если Вы не гос/муниципальная организация, то сами не имеете служебной тайны, а поступившую установленным порядком информацию ДСП охраняете как информацию конфиденциального характера полученную на договорных или иных законных основаниях (но при этом не являетесь ее обладателем)

                          Комментарий


                          • #14
                            K0Lb@zzeR, Вопрос в том, где раскрывается такое понятие как Служебная информация и информация ДСП? немного здесь:

                            Утверждено
                            Постановлением Правительства
                            Российской Федерации
                            от 3 ноября 1994 г. N 1233

                            ПОЛОЖЕНИЕ
                            О ПОРЯДКЕ ОБРАЩЕНИЯ СО СЛУЖЕБНОЙ ИНФОРМАЦИЕЙ
                            ОГРАНИЧЕННОГО РАСПРОСТРАНЕНИЯ В ФЕДЕРАЛЬНЫХ ОРГАНАХ
                            ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ

                            1.2. К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

                            1.4. На документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка "Для служебного пользования".
                            не верь, не бойся, не проси...

                            Комментарий


                            • #15
                              Сообщение от Плюмбум Посмотреть сообщение
                              K0Lb@zzeR, Вопрос в том, где раскрывается такое понятие как Служебная информация и информация ДСП? немного здесь:
                              хм... А разве Банки относятся к ФЕДЕРАЛЬНЫМ ОРГАНАМ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ?

                              Комментарий


                              • #16
                                Кстати, в ГК РФ, до 1 января 2008 года была статья 139, такого содержания:
                                Статья 139. Служебная и коммерческая тайна
                                1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
                                2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
                                Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

                                Но с 1 января 2008 года она утратила силу.

                                З.Ы. Хотел бы попросить модераторам закрепить тему (думаю данная тема будет актуальна), которая будет служить для обсуждения правовых вопросов в области ИБ.

                                Комментарий


                                • #17
                                  Нашел у себя презенташку, может будет полезно.

                                  Комментарий


                                  • #18
                                    Сообщение от K0Lb@zzeR Посмотреть сообщение
                                    Кстати, в ГК РФ, до 1 января 2008 года была статья 139, такого содержания:

                                    Но с 1 января 2008 года она утратила силу.
                                    Правильно
                                    Отменили т.к. ввели IV часть ГК, где есть глава 75. Но служебной тайны она уже не касается, а только КТ.

                                    Комментарий


                                    • #19
                                      Коллеги, возможно вопрос не новый, но как Вы относитесь к упорному желанию "секретить" отдельные документы Банком России - в частности акты проверок, предписания с проставлением отметки ДСП. Например, Указание от 28.09.2012 2891-У, внесшее изменение в 105-И. Как оцениваете запрет БР на разглашение этой ДСП-инфо с учетом Постановления 1233, отмененной 139 ГК РФ?

                                      Комментарий


                                      • #20
                                        Сообщение от Bankir-007 Посмотреть сообщение
                                        Коллеги, возможно вопрос не новый, но как Вы относитесь к упорному желанию "секретить" отдельные документы Банком России - в частности акты проверок, предписания с проставлением отметки ДСП. Например, Указание от 28.09.2012 2891-У, внесшее изменение в 105-И. Как оцениваете запрет БР на разглашение этой ДСП-инфо с учетом Постановления 1233, отмененной 139 ГК РФ?
                                        Запросить официально у ЦБ порядок обращения с документами имеющими пометку (грифа нет) ДСП. Формально Вам будет прислан порядок работы с данным документом.
                                        У меня после такого вопроса (устного) на второй странице отчета красовалось порядок доступа к документу с перечнем лиц от Банка и Центрального Банка, кто может быть ознакомлен с данным документом. Проблем не было - он просто в сейфе лежал.

                                        Комментарий


                                        • #21
                                          Сообщение от Dmitry leviev Посмотреть сообщение
                                          прислан порядок работы с данным документом
                                          Их порядок - это их порядок. Закона о служебной тайне нет. Вопрос в принципе. Я вот хочу распространять такой "ДСП"-документ как хочу. Что мне мешает?

                                          Сообщение от Dmitry leviev Посмотреть сообщение
                                          на второй странице отчета
                                          какой отчет имеете ввиду?

                                          Сообщение от Dmitry leviev Посмотреть сообщение
                                          к документу с перечнем лиц от Банка и Центрального Банка
                                          Например по 105-И, круг лиц которым можно разглашать акт проверки - аудиторы и члены набсовета (физ.лица) - уже утечка, всем остальным ни-ни.

                                          Комментарий

                                          Обработка...
                                          X