Не думаю, что СТО БР ИББС-1.0 не будет действовать, возможно, что сделают поправки.
Что касается «Письма-обращения в кредитные организации о вводе в действие Комплекса БР ИББС для приведения деятельности организаций банковской системы Российской Федерации в соответствие с требованиями законодательства в области персональных данных» (далее – «письмо шестерых»), думаю, что договорённости никто не отменял и действия Стандарта тоже, судя по «Открытому письму подписантам Открытого письма Президенту Российской Федерации Д.А. Медведеву от 06.07.2011 год» (очень странно, что в шапке письма слово Федерации написано с прописной буквы «ф» http://www.ispdn.ru/publications/vihorev.pdf), все время ссылается на часть 5 статьи 19. Не дав обоснование по первым, на мой взгляд более значимым статьям. Не знаю, на сколько компетентен Господин С. Вихорев в вопросе безопасности Пдн и в знании Федерального Закона № 261 от 25 июля 2011 года «О внесении изменений в Федеральный закон «О персональных данных»»,но в своем письме он ни разу не сослался на части 3 и 4 статьи 19, которые у меня вызывают наибольшее сомнение. Часть 3 статьи 19 где «Правительство Российской Федерации ….. устанавливает….» в части 4 статьи 19 «Состав и содержание необходимых для выполнения Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных … устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий». Вот так то!!!!
Понятно, что регуляторы определят меры по защите, а Банк России будет выбирать какие из этих мер приемлемы к их «Отраслевой частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных …» (РС БР ИББС-2.4-2010), но судя по требованиям, которые описаны в РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных…», видно, что они взяты из Приказа ФСТЭК России от 5.02.2010 N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и эти же требования теперь прописали в новой редакции 152 ФЗ в части 2 статьи 19, где ясно, что необходимо:
1) построить модель угроз безопасности персональных данных;
2) выполнять организационные и технические меры (понятно, что это проведение аудитов, работа с сотрудниками Банка, технические меры – применение средств защиты прошедших в установленном порядке процедуру оценки соответствия см. п. 3 части 2 статьи 19).
3) оценка эффективности защитных мер – здесь, хотелось бы читать между срок и говорить, что оценку проводят ответственные за организацию обработки ПДн в Банке (п. 1 части 1 статьи 18.1 и статья 22.1), в «Методических рекомендациях» есть «Приказ о назначении ответственного за обеспечение безопасности персональных данных» думается, что эти два приказа свидетельствуют о назначении одного и того же лица!
4) учёт машинных носителей (журнал учета машинных носителей ПДн), также имеется такое требование в Стандарте;
5) обнаружение факторов НСД (думаю тут проблему решает железка сертифицированная, и способная вести логи);
6) резервное копирование (тоже есть такое требование в Стандарте);
7) контроль и учёт всех действий (тоже железка решает);
По поводу железки, думается, что SecretNet 6.5 решит данную проблему… И машины с ПДн выделить в отдельный сегмент сети, например при АПКШ «Континент», если у кого-то он используется, то проблем не будет в выделении…
Что касается п. 2 части 1 статьи 18.1 здесь оператор издает бумажку, регламентирующую обработку ПДн, например «Положение об обработке персональных данных в ОАО Банк», а также инструкция пользователя и администратора ИСПДн. Администратор и ответственный за обеспечение безопасности ПДн (который назначается Приказом), наверно, это одно и тоже лицо.
На основании части 2статьи 18.1 придётся публиковать документ, регламентирующий обработку ПДн в Банке. Вообще, я считаю, что Политика ИБ Банка – это публичный документ, который могут смотреть все без ограничений, поэтому там должно быть как можно меньше того, что может заинтересовать злоумышленника. А все что важно разнести по положениям с грифом для служебного пользования. Например, можно сделать положение по обработке ПДн, оно не будет важным, просто описать как обрабатываются ПДн, перечень ПДн, как обеспечивается конфиденциальность, но не указывать какими именно средствами защиты… в общем думается, что это так должно быть…

Поэтому, хочется надеяться, что СТО БР ИББС будет действовать, и не станет обузой. А то наблюдается странная тенденция, что персоналку начинаем защищать лучше, чем банковскую и коммерческую тайны. Не хотелось бы, чтобы требования по персоналке распространились на банковский платёжный технологический процесс… Думаю, что время покажет…
Извиняюсь за длинный, может не понятный и не правильный опус, просто нашло на меня…

да как бы получается, что этот самый отдельный сегмент становится всей сетью

и вот именно странным становится, что ПДн важнее, чем все остальное

Вопрос может и не в тему, но связан с новым 152ФЗ (а может ветку завести отдельную надо, про реализацию и т.п. новых требований).
Значит так.
Компания "Пепеляев групп" на своем сайте опубликовало статью, в которой специалисты компании комментируют изменение в закон о ПДн.
Интересует ваше мнение по такому суждению:
"В Новой редакции Закона получение согласия субъекта ПДн является лишь частным
случаем, когда допускается обработка ПДн. Иными законными основаниями для
обработки операторами ПДн (без получения согласий) является:
- осуществление и выполнение возложенных законодательством на оператора функций,
полномочий и обязанностей;
- обработка ПДн необходима для осуществления прав и законных интересов оператора
и третьих лиц;
Таким образом, с учетом того, что практически любая обработка ПДн связана с
выполнением оператором своих функций и полномочий, предусмотренных
законодательством, и осуществлением прав и законных интересов операторов или
третьих лиц (по договорам оператора с ними), не противоречащих законодательству,
количество случаев, когда требуется получение согласия, значительно сужается.
Получается, что если, к примеру банк, или кадровое агентство, обрабатывает ПДн, потому что такая обработка требуется для осуществления законной предпринимательской деятельности организации, то и согласие брать?
В статье на мой взгляд еще есть спорные утверждения.
Кому интересно, почитайте. Статья во вложении.pepelyaev.pdf

Пепеляев не раз уже отличался на тему комментариев к этому ФЗ. Он раньше рекомендовал получать лицензию ФСТЭК, аттестовать системы и покупать сертифицированные решения ;-)

Про защиту ПДн по СТО наверное вряд ли забудешь с учетом закона о НПС. Имхо выполнив защиту по ФСТЭК/ФСБ почти автоматически перекрываешь требования СТО.

Вот только опять ожидание мифических мер защиты и уровней защищенности.

По мне так лучше бы СТО изменили, адаптировали к 152-ФЗ и требованиям регуляторов. Чтобы знать, что конкретно делать и не пытаться сделать из мухи слона.
Похоже не настолько внедрение защиты разорительно, раз банковское лобби еле шевелит ластами.
Если владельцы бизнеса ведут себя настолько пассивно, то зачем безопасникам прыгать выше головы?

Только вот в требованиях ФСБ/ФСТЭК ни слова про защиту почты, системы управления и т.д.

Делаем.

Просто вы не все знаете и видите.

А владельцы вообще не в курсе этой проблемы.

Будем честными. СТО тоже не проливал свет на эти вопросы. Каждый для себя решал по своему, достаточно почитать темы в духе: "сайт банка это ИСПДн?", "корпоративная почта это ИСПДн?"

Возможно, Алексей, мне всего не видно, возможно кто-то делает титанические усилия. Но пока не видно положительных итогов. Зато видны результаты, так сказать, "противоположной" стороны.

Не знаю, не знаю. Для моего руководства это не тайна и именно снижение материальных затрат на псевдозащиту ПДн послужили стимулом для согласия на внедрение СТО.

К сожалению разные "весовые категории"...

Та сторона способна игнорировать даже мнение банковского и промышленного лобби

Мнение банковского и промышленного лобби или специалистов в области ИБ, работающих на банки и промышленность? Если внимательно посмотреть, так возникает ощущение, что это только нам надо

Так банковский и пром сектора это пока практически все, кто дошел до необходимости заниматься вопросами ИБ.

Хотя по сравнению с мнением РСПП и АРБ мнение профсообщества ИБ действительно не много значит.
Но "послали" и первых, а не только ИБ-шников...
Так мелочевка расчитывает на то, что на не интересна регуляторам

как известно "курочка по зернышку"(с)

Вон в америке правообладатели доят пользователей торрентов: досудебное урегулирование - несколько сотен баксов. А вот на выходе в год получается много-много миллионов.

Так что мелочевка тоже может быть интересна. Главное - это правильный подход к делу

Коллеги, а все же кто какую стратегию для себя избрал ?

- Делать СТО БР
- Отказываться пока не поздно (если уже приняли)
или
- Просто ждать чем Правительство разродится (вместе со ФСТЭК и ФСБ) и уж потом решать внедрять СТО или какие другие требования

??

Так я говорю об их надеждах, а не о реале.
В реале Роскомнадзор трясет всех, вплоть до крестьянских хозяйств

Я пока сижу жду. Главный вопрос заключается даже не в том, когда примут документы, а в том, снимут ли грифы с существующих.

А кто-нибудь уже опубликовывал или иным образом обеспечил неограниченный доступ к Политике в отношении обработки персональных данных? Было бы интересно взглянуть.

На сайте СМП Банка лежит smpbank.ru/uploads/assets/docs/confident.pdf
У Cisco на сайте тоже есть.