На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.
Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.
Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.
Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.
Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.
Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.
Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.
Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.
Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.
Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.
Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(
+стопицот. Читаешь требования из 382П - очередное дежа-вю - СТО 1.0.
ОтветитьУдалитьМожет лучше СТО скорректировать.
СТО не может быть нормативным документом, который был обязан разработать ЦБ
ОтветитьУдалитьТребования регулятора не должны противоречить требованиям ПП и ФЗ.
ОтветитьУдалитьПоэтому такие противоречия надо просто исправить.
Требования по защите ПДн и по защите платежной информации по идее должны различаться. Так как разные цели и особенности обработки.
Просто должны были так сформулировать определения, чтобы платежная информация не относилась к ПДн. Или относилась к 4 категории ПДн.
Если утрясти вопрос, что проверку выполнения требований по защите ПДн выполняет ЦБ, а не ФСТЭК и ФСБ - то проблем вообще никаких нет.
2Сергей Борисов
ОтветитьУдалитьИМХО коллизий в законодательстве много. Вы скажете ПДн, а я скажу банковская тайна, или врачебная, или адвокатская, или коммерческая и т.д. и т.п. Одна и таже информация попадает под определения различных видов тайн. А требования к защите разные.
У нас нет конкретных требований по защите разного вида тайн.
ОтветитьУдалитьЕсть только требования обеспечить безопасность - а какими методами не регламентируется.
Главная проблема - чтобы не пересекались по области действия руководящие документы, регламентирующие именно надо защищать ту или иную информацию.
Главная проблема не в пересечении требований, а в выработке единого подхода при организации защиты информации любого вида. Решить её поможет ТОЛЬКО разработка единой методологии в принятии решения на защиту ИНФОРМАЦИИ (без учета видовых различий).
ОтветитьУдалить2Сергей Борисов: У нас как раз требования к защите именно разных тайн. КТ, ПДн, БТ, ГТ, СТ, КСИИ и т.д.
ОтветитьУдалить2Сергей Борисов: а если в платежке идет оплата за лечение конкретного пациента? Это спецкатегория. Какая же она 4-я?
ОтветитьУдалитьА какой у нас стандартный подход при защите информации, если очень ценная информация идет вперемешку с менее ценной информацией - защищаем по максиму.
ОтветитьУдалитьСейчас 382-П заточена исключительно на защиту информации при осуществлении платежей.
А что делать с остальными ПДн (которые не в рамках платежей)? Они никак не подпадают под 382-П? И в 382-П нет механизмов для их защиты.
А чем отличается защита ПДн в платежах от ПДн не в платежах? Ничем. Методы и способы те же.
ОтветитьУдалитьНапрямую документ для Защиты ПДн использовать нельзя.
ОтветитьУдалитьНеобходимо адаптировать все фразы типа
" восстановление информации об остатках денежных средств на банковских счетах, информации об остатках электронных денежных средств и данных держателей платежных карт в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе;
выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации."
применительно к ПДн.
+ в документе 382-П четко приписано область действия.
Поэтому просто написать письмо шестерых с указанием руководствоваться 382-П не получится.
Должен быть отдельный документ по ПДн.
ИМХО закон о ПДн не нужен. Есть ТК,НК, ГК, законы О ГТ, о банках, о персонифицированном учете, о здоровье и т.д. и т.п. Нет пока закона о служебной тайне. Все виды тайн, регулируемые этими законами, включают ПДн, учитывается отраслевая специфика, и зачем надо было городить отдельный закон - только для Европейской Конвенции?
ОтветитьУдалитьТолько до выхода закона о ПДн никто особо не заворачивался защитой.
ОтветитьУдалитьИ обосновать необходимость даже базовых мер защиты бывало непросто.
2Сергей Борисов. Ну почему не заморачивались, те, для кого соответствуюая тайна критична для бизнеса защищали ее вкупе с персональными, а те, кто это не делал, после выхода 152 в лучшем случае сделали все формально. В реестре операторов ПДн 200 тыс. из 7 млн., пусть для 300 тыс. уведомление не требуется, получаем 6 млн. 500 тыс. организаций проигнорировали?
ОтветитьУдалить