28 февраля, воскресенье 09:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Новый 152-ФЗ и СТО БР ИББС и вообще что делать

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Новый 152-ФЗ и СТО БР ИББС и вообще что делать

    Коллеги ст.18 и ст.19 152-ФЗ дали нам много чего интересного, а именно указали что Правительство придумает новые классы, а вся защита должна быть по ФСТЭК и ФСБ.

    Посему, про защиту перс.данных по СТО БР ИББС 2010 можно забыть??

  • #2
    Не думаю, что СТО БР ИББС-1.0 не будет действовать, возможно, что сделают поправки.
    Что касается «Письма-обращения в кредитные организации о вводе в действие Комплекса БР ИББС для приведения деятельности организаций банковской системы Российской Федерации в соответствие с требованиями законодательства в области персональных данных» (далее – «письмо шестерых»), думаю, что договорённости никто не отменял и действия Стандарта тоже, судя по «Открытому письму подписантам Открытого письма Президенту Российской Федерации Д.А. Медведеву от 06.07.2011 год» (очень странно, что в шапке письма слово Федерации написано с прописной буквы «ф» http://www.ispdn.ru/publications/vihorev.pdf), все время ссылается на часть 5 статьи 19. Не дав обоснование по первым, на мой взгляд более значимым статьям. Не знаю, на сколько компетентен Господин С. Вихорев в вопросе безопасности Пдн и в знании Федерального Закона № 261 от 25 июля 2011 года «О внесении изменений в Федеральный закон «О персональных данных»»,но в своем письме он ни разу не сослался на части 3 и 4 статьи 19, которые у меня вызывают наибольшее сомнение. Часть 3 статьи 19 где «Правительство Российской Федерации ….. устанавливает….» в части 4 статьи 19 «Состав и содержание необходимых для выполнения Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных … устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий». Вот так то!!!!
    Понятно, что регуляторы определят меры по защите, а Банк России будет выбирать какие из этих мер приемлемы к их «Отраслевой частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных …» (РС БР ИББС-2.4-2010), но судя по требованиям, которые описаны в РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных…», видно, что они взяты из Приказа ФСТЭК России от 5.02.2010 N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и эти же требования теперь прописали в новой редакции 152 ФЗ в части 2 статьи 19, где ясно, что необходимо:
    1) построить модель угроз безопасности персональных данных;
    2) выполнять организационные и технические меры (понятно, что это проведение аудитов, работа с сотрудниками Банка, технические меры – применение средств защиты прошедших в установленном порядке процедуру оценки соответствия см. п. 3 части 2 статьи 19).
    3) оценка эффективности защитных мер – здесь, хотелось бы читать между срок и говорить, что оценку проводят ответственные за организацию обработки ПДн в Банке (п. 1 части 1 статьи 18.1 и статья 22.1), в «Методических рекомендациях» есть «Приказ о назначении ответственного за обеспечение безопасности персональных данных» думается, что эти два приказа свидетельствуют о назначении одного и того же лица!
    4) учёт машинных носителей (журнал учета машинных носителей ПДн), также имеется такое требование в Стандарте;
    5) обнаружение факторов НСД (думаю тут проблему решает железка сертифицированная, и способная вести логи);
    6) резервное копирование (тоже есть такое требование в Стандарте);
    7) контроль и учёт всех действий (тоже железка решает);
    По поводу железки, думается, что SecretNet 6.5 решит данную проблему… И машины с ПДн выделить в отдельный сегмент сети, например при АПКШ «Континент», если у кого-то он используется, то проблем не будет в выделении…
    Что касается п. 2 части 1 статьи 18.1 здесь оператор издает бумажку, регламентирующую обработку ПДн, например «Положение об обработке персональных данных в ОАО Банк», а также инструкция пользователя и администратора ИСПДн. Администратор и ответственный за обеспечение безопасности ПДн (который назначается Приказом), наверно, это одно и тоже лицо.
    На основании части 2статьи 18.1 придётся публиковать документ, регламентирующий обработку ПДн в Банке. Вообще, я считаю, что Политика ИБ Банка – это публичный документ, который могут смотреть все без ограничений, поэтому там должно быть как можно меньше того, что может заинтересовать злоумышленника. А все что важно разнести по положениям с грифом для служебного пользования. Например, можно сделать положение по обработке ПДн, оно не будет важным, просто описать как обрабатываются ПДн, перечень ПДн, как обеспечивается конфиденциальность, но не указывать какими именно средствами защиты… в общем думается, что это так должно быть…

    Поэтому, хочется надеяться, что СТО БР ИББС будет действовать, и не станет обузой. А то наблюдается странная тенденция, что персоналку начинаем защищать лучше, чем банковскую и коммерческую тайны. Не хотелось бы, чтобы требования по персоналке распространились на банковский платёжный технологический процесс… Думаю, что время покажет…
    Извиняюсь за длинный, может не понятный и не правильный опус, просто нашло на меня…

    Комментарий


    • #3
      Сообщение от uamigo Посмотреть сообщение
      И машины с ПДн выделить в отдельный сегмент сети, например при АПКШ «Континент», если у кого-то он используется, то проблем не будет в выделении…
      да как бы получается, что этот самый отдельный сегмент становится всей сетью

      и вот именно странным становится, что ПДн важнее, чем все остальное
      Рад бы в Рай, да... реаниматоры не пускают!

      Комментарий


      • #4
        Вопрос может и не в тему, но связан с новым 152ФЗ (а может ветку завести отдельную надо, про реализацию и т.п. новых требований).
        Значит так.
        Компания "Пепеляев групп" на своем сайте опубликовало статью, в которой специалисты компании комментируют изменение в закон о ПДн.
        Интересует ваше мнение по такому суждению:
        "В Новой редакции Закона получение согласия субъекта ПДн является лишь частным
        случаем, когда допускается обработка ПДн. Иными законными основаниями для
        обработки операторами ПДн (без получения согласий) является:
        - осуществление и выполнение возложенных законодательством на оператора функций,
        полномочий и обязанностей;
        - обработка ПДн необходима для осуществления прав и законных интересов оператора
        и третьих лиц;
        Таким образом, с учетом того, что практически любая обработка ПДн связана с
        выполнением оператором своих функций и полномочий, предусмотренных
        законодательством, и осуществлением прав и законных интересов операторов или
        третьих лиц (по договорам оператора с ними), не противоречащих законодательству,
        количество случаев, когда требуется получение согласия, значительно сужается.

        Получается, что если, к примеру банк, или кадровое агентство, обрабатывает ПДн, потому что такая обработка требуется для осуществления законной предпринимательской деятельности организации, то и согласие брать?
        В статье на мой взгляд еще есть спорные утверждения.
        Кому интересно, почитайте. Статья во вложении.pepelyaev.pdf

        Комментарий


        • #5
          Пепеляев не раз уже отличался на тему комментариев к этому ФЗ. Он раньше рекомендовал получать лицензию ФСТЭК, аттестовать системы и покупать сертифицированные решения ;-)

          Комментарий


          • #6
            Сообщение от wenum Посмотреть сообщение
            Коллеги ст.18 и ст.19 152-ФЗ дали нам много чего интересного, а именно указали что Правительство придумает новые классы, а вся защита должна быть по ФСТЭК и ФСБ.

            Посему, про защиту перс.данных по СТО БР ИББС 2010 можно забыть??
            Про защиту ПДн по СТО наверное вряд ли забудешь с учетом закона о НПС. Имхо выполнив защиту по ФСТЭК/ФСБ почти автоматически перекрываешь требования СТО.

            Вот только опять ожидание мифических мер защиты и уровней защищенности.

            По мне так лучше бы СТО изменили, адаптировали к 152-ФЗ и требованиям регуляторов. Чтобы знать, что конкретно делать и не пытаться сделать из мухи слона.
            Похоже не настолько внедрение защиты разорительно, раз банковское лобби еле шевелит ластами.
            Если владельцы бизнеса ведут себя настолько пассивно, то зачем безопасникам прыгать выше головы?

            Комментарий


            • #7
              Сообщение от OLit Посмотреть сообщение
              Про защиту ПДн по СТО наверное вряд ли забудешь с учетом закона о НПС. Имхо выполнив защиту по ФСТЭК/ФСБ почти автоматически перекрываешь требования СТО.
              Только вот в требованиях ФСБ/ФСТЭК ни слова про защиту почты, системы управления и т.д.

              Сообщение от OLit Посмотреть сообщение
              По мне так лучше бы СТО изменили, адаптировали к 152-ФЗ и требованиям регуляторов. Чтобы знать, что конкретно делать и не пытаться сделать из мухи слона.
              Делаем.

              Сообщение от OLit Посмотреть сообщение
              Похоже не настолько внедрение защиты разорительно, раз банковское лобби еле шевелит ластами.
              Просто вы не все знаете и видите.

              Сообщение от OLit Посмотреть сообщение
              Если владельцы бизнеса ведут себя настолько пассивно, то зачем безопасникам прыгать выше головы?
              А владельцы вообще не в курсе этой проблемы.

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Только вот в требованиях ФСБ/ФСТЭК ни слова про защиту почты, системы управления и т.д.
                Будем честными. СТО тоже не проливал свет на эти вопросы. Каждый для себя решал по своему, достаточно почитать темы в духе: "сайт банка это ИСПДн?", "корпоративная почта это ИСПДн?"

                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Просто вы не все знаете и видите.
                Возможно, Алексей, мне всего не видно, возможно кто-то делает титанические усилия. Но пока не видно положительных итогов. Зато видны результаты, так сказать, "противоположной" стороны.

                Сообщение от Алексей Лукацкий Посмотреть сообщение
                А владельцы вообще не в курсе этой проблемы.
                Не знаю, не знаю. Для моего руководства это не тайна и именно снижение материальных затрат на псевдозащиту ПДн послужили стимулом для согласия на внедрение СТО.

                Комментарий


                • #9
                  Сообщение от OLit Посмотреть сообщение
                  Зато видны результаты, так сказать, "противоположной" стороны.
                  К сожалению разные "весовые категории"...

                  Та сторона способна игнорировать даже мнение банковского и промышленного лобби

                  Комментарий


                  • #10
                    Сообщение от Toparenko Посмотреть сообщение
                    К сожалению разные "весовые категории"...

                    Та сторона способна игнорировать даже мнение банковского и промышленного лобби
                    Мнение банковского и промышленного лобби или специалистов в области ИБ, работающих на банки и промышленность? Если внимательно посмотреть, так возникает ощущение, что это только нам надо

                    Комментарий


                    • #11
                      Сообщение от OLit Посмотреть сообщение
                      специалистов в области ИБ, работающих на банки и промышленность?
                      Так банковский и пром сектора это пока практически все, кто дошел до необходимости заниматься вопросами ИБ.

                      Хотя по сравнению с мнением РСПП и АРБ мнение профсообщества ИБ действительно не много значит.
                      Но "послали" и первых, а не только ИБ-шников...
                      Сообщение от OLit Посмотреть сообщение
                      Если внимательно посмотреть, так возникает ощущение, что это только нам надо
                      Так мелочевка расчитывает на то, что на не интересна регуляторам

                      Комментарий


                      • #12
                        Сообщение от Toparenko Посмотреть сообщение

                        Так мелочевка расчитывает на то, что на не интересна регуляторам
                        как известно "курочка по зернышку"(с)

                        Вон в америке правообладатели доят пользователей торрентов: досудебное урегулирование - несколько сотен баксов. А вот на выходе в год получается много-много миллионов.

                        Так что мелочевка тоже может быть интересна. Главное - это правильный подход к делу

                        Комментарий


                        • #13
                          Коллеги, а все же кто какую стратегию для себя избрал ?

                          - Делать СТО БР
                          - Отказываться пока не поздно (если уже приняли)
                          или
                          - Просто ждать чем Правительство разродится (вместе со ФСТЭК и ФСБ) и уж потом решать внедрять СТО или какие другие требования

                          ??

                          Комментарий


                          • #14
                            Сообщение от Gamura Посмотреть сообщение
                            Так что мелочевка тоже может быть интересна.
                            Так я говорю об их надеждах, а не о реале.
                            В реале Роскомнадзор трясет всех, вплоть до крестьянских хозяйств

                            Комментарий


                            • #15
                              Сообщение от Александр Бондаренко Посмотреть сообщение
                              Коллеги, а все же кто какую стратегию для себя избрал ?

                              - Делать СТО БР
                              - Отказываться пока не поздно (если уже приняли)
                              или
                              - Просто ждать чем Правительство разродится (вместе со ФСТЭК и ФСБ) и уж потом решать внедрять СТО или какие другие требования

                              ??
                              Я пока сижу жду. Главный вопрос заключается даже не в том, когда примут документы, а в том, снимут ли грифы с существующих.

                              Комментарий


                              • #16
                                А кто-нибудь уже опубликовывал или иным образом обеспечил неограниченный доступ к Политике в отношении обработки персональных данных? Было бы интересно взглянуть.

                                Комментарий


                                • #17
                                  На сайте СМП Банка лежит smpbank.ru/uploads/assets/docs/confident.pdf
                                  У Cisco на сайте тоже есть.

                                  Комментарий

                                  Обработка...
                                  X