Меня часто спрашивают, а где те рекомендации ЦБ/АРБ, о которых я часто упоминал и которые должны были быть готовы в декабре 2009-го года? Думаю, пора ответить всем ;-)
Из преамбулы: с целью выработки конкретных рекомендаций по выполнению требований ФЗ "О персональных данных" и требований ФСБ России, ФСТЭК России и Роскомнадзора, а также с целью устранения типовых ошибок организаций банковской системы РФ, допускаемых при реализации законодательства в области персональных данных, Банком России и Ассоциацией российских банков разработан и согласован с регуляторами комплект документов для организаций БС РФ по приведению их в соответствие с требованиями Федерального закона [О персональных данныхk. Эти документы включают:
Отраслевую частную модель угроз безопасности персональных данных в организациях БС РФ.Доработанные для использования в целях защиты персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0-20хх [Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положенияk (далее стандарт Банка России СТО БР ИББС-1.0-20хх) и СТО БР ИББС-1.2-20хх [Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0k.Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.Собственно к первому документу я и приложил, в основном, свою руку. Основные отличия данных рекомендаций от ранее описанных заключаются в следующих моментах:
согласование с регуляторами. По крайней мере ЦБ прикладывает к этому огромные усилия. Если все пойдет как задумано, то у банков появится единый набор документов по безопасности (в т.ч. и по линии персданных), согласованный со всеми регуляторами - ЦБ, ФСТЭК, ФСБ и РКН. наличие отраслевой модели угроз. Чтобы не заниматься разработкой модели угроз с нуля и не платить огромные деньги тем, кто просто копирует ранее созданные или выложенные в Интернет модели, в набор документов ЦБ/АРБ и входит уже готовая модель угроз, также согласованная с регуляторами. наличие шаблонов документов. Я раньше уже какие-то из шаблонов публиковал, но мы довели этот список и содержание до ума и представим на общий суд. Почему их до сих пор не опубликовали? Вот в этой части я не согласен с другими членами рабочей группы, считая, что документы надо выкладывать как можно раньше, чтобы собрать по максимуму все комментарии, замечания и предложения. Но видимо ЦБ хочет все-таки получить "добро" регуляторов, а потом уже выкладывать документы в открытый доступ.
Сейчас перечисленные выше документы находятся у регуляторов на рассмотрении. Перечень документов планируется направить в РКН для обсуждения на консультативном совете для принятия его в качестве базового, а не отраслевого.
Сами документы будут опубликованы для обсуждения на сайте АРБ , ABISS и магнитогорской конференции по банковской ИБ.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.