29.1.10

О рекомендациях ЦБ/АРБ по персданным

Меня часто спрашивают, а где те рекомендации ЦБ/АРБ, о которых я часто упоминал и которые должны были быть готовы в декабре 2009-го года? Думаю, пора ответить всем ;-)

Из преамбулы: с целью выработки конкретных рекомендаций по выполнению требований ФЗ "О персональных данных" и требований ФСБ России, ФСТЭК России и Роскомнадзора, а также с целью устранения типовых ошибок организаций банковской системы РФ, допускаемых при реализации законодательства в области персональных данных, Банком России и Ассоциацией российских банков разработан и согласован с регуляторами комплект документов для организаций БС РФ по приведению их в соответствие с требованиями Федерального закона «О персональных данных». Эти документы включают:
  1. Отраслевую частную модель угроз безопасности персональных данных в организациях БС РФ.
  2. Доработанные для использования в целях защиты персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее стандарт Банка России СТО БР ИББС-1.0-20хх) и СТО БР ИББС-1.2-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  3. Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.
Собственно к первому документу я и приложил, в основном, свою руку. Основные отличия данных рекомендаций от ранее описанных заключаются в следующих моментах:
  • согласование с регуляторами. По крайней мере ЦБ прикладывает к этому огромные усилия. Если все пойдет как задумано, то у банков появится единый набор документов по безопасности (в т.ч. и по линии персданных), согласованный со всеми регуляторами - ЦБ, ФСТЭК, ФСБ и РКН.
  • наличие отраслевой модели угроз. Чтобы не заниматься разработкой модели угроз с нуля и не платить огромные деньги тем, кто просто копирует ранее созданные или выложенные в Интернет модели, в набор документов ЦБ/АРБ и входит уже готовая модель угроз, также согласованная с регуляторами.
  • наличие шаблонов документов. Я раньше уже какие-то из шаблонов публиковал, но мы довели этот список и содержание до ума и представим на общий суд.

Почему их до сих пор не опубликовали? Вот в этой части я не согласен с другими членами рабочей группы, считая, что документы надо выкладывать как можно раньше, чтобы собрать по максимуму все комментарии, замечания и предложения. Но видимо ЦБ хочет все-таки получить "добро" регуляторов, а потом уже выкладывать документы в открытый доступ.

Сейчас перечисленные выше документы находятся у регуляторов на рассмотрении. Перечень документов планируется направить в РКН для обсуждения на консультативном совете для принятия его в качестве базового, а не отраслевого.

Сами документы будут опубликованы для обсуждения на сайте АРБ, ABISS и магнитогорской конференции по банковской ИБ.

10 коммент.:

Роман комментирует...

Значит ждем конференции 15 - 20 февраля?

Анонимный комментирует...

значит да

Алексей Лукацкий комментирует...

По предварительной информации планировалось выложить документы 8-го февраля, чтобы в Магнитогорске более предметно обсуждать. Но тут я не могу уверенно утверждать, что так и будет.

AndrewZ комментирует...

Самое идиотское в этой ситуации случится, если отраслевая модель угроз для тех или иных банковских систем будет слишком отличаться от базовой МУ, на основе которой все лопатят частные МУ. Те кто уже сделал эти работы могут возбудиться, что придется переделывать.
Алексей, можно развеять эти сомнения?

Алексей Лукацкий комментирует...

Отраслевая модель приведена для удобства и в качестве примера. И в основном для тех, у кого ее еще нет. Если она уже разработана, то отлично. Но у процентов 70 региональных банков ее нет. Поэтому МУ из рекомендаций в первую очередь ориентирована именно на них.

AndrewZ комментирует...

Важно, чтобы в качестве примера. Потому, что если она довольно своеобразна, и при этом ФСТЭК будет апеллировать к ней, будут недовольные.
Кстати, что брали в качестве основы МУ? Думаю это можно озвучить уже сейчас.
И еще важный момент. Администратор ИС рассматривается в этой модели как возможный нарушитель? Потому, что если рассматривается - придется очень серьезно напрячься и потратиться, чтобы хоть немного защититься от угроз, которые исходят от администраторов.

Алексей Лукацкий комментирует...

В основе лежит модель ЦБ. Была еще одна модель (ФСТЭКовская), но она была немного не соответствующая реалиям.

Админ есть в модели.

AndrewZ комментирует...

Вот и первый сюрприз. В подавляющем большинстве случаев админы исключаются из перечня "подозреваемых". Зачем банкиры роют себе яму?

Алексей Лукацкий комментирует...

Ну там размытая формулировка - "персонал организации БС РФ, имеющий легальные полномочия по доступу к ПДн" (что-то вроде этого).

А насчет исключения - http://bankir.ru/news/newsline/1091800

AndrewZ комментирует...

Никто и не говорит, что админы белые и пушистые. Только вот защищаться от них по идеологии ФСТЭК влетело бы в "копеечку".
Защита от мошенничества все таки пока далека от проблемы защиты ПДн в глазах наших регуляторов.