среда, 7 декабря 2011 г.

АРБ о ПДн и СТО БР ИББС

Тут доступно информационное письмо Ассоциации российских банков (АРБ) по поводу июльской редакции 152-ФЗ "О персональных данных".
Краткие выводы:
  • СТО БР ИББС, по-прежнему, полностью легитимен как альтернатива требованиям ФСТЭК/ФСБ по защите ПДн;
  • Поправки стоит ждать не ранее того, как Правительство выпустит РД по уровням защищённости;
  • Все спорные вопросы решены в пользу тех, кто принял СТО БР ИББС.
Однако я хотел бы дать некоторые советы читателям, основываясь на собственной практике общения с регуляторами:
  • Классифицировать информационные системы стоит, в том числе, и по классификации К1-К4. Это обычно не несёт никаких негативных последствий, но значительно упрощает диалог с регуляторами;
  • По мнению представителя Роскомнадзора, обработка резюме требует согласия кандидата, т.к. факт заключения с ним трудового договора неизвестен. Вероятно другое мнение по этому вопросу прийдётся доказывать в суде;
  • Ксерокопия или скан паспорта является биометрической информацией;
  • Всем, кто направил уведомление в РКН без информации об ответственном и о мерах по защите ПДн, следует направить информационное письмо с недостающей информацией в РКН до 2013г;
  • Стоит так же озаботиться наличием некоторого количества сертифицированных СЗИ (например, ключей eToken). РКН может запрашивать копии сертификатов. ФСТЭК очень отрицательно относится к "одобренным руководством" несертифицированным СЗИ;
  • Следует так же различать архивное хранение ПДн от хранения ПДн в действующей ИС. Архивное хранение - это бэкап БД. Поэтому не следует допускать хранение сведений об уволённых сотрудниках непосредственно в ИСПДн после окончания отчётного периода.

пятница, 2 декабря 2011 г.

161-ФЗ "О национальной платежной системе" и СТО БР ИББС

Как мы знаем, июльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС в качестве отраслевого стандарта безопасности персональных данных, однако это не единственный федеральный закон, ссылающийся на СТО БР ИББС.

27 статья ФЗ "О национальной платёжной системе" говорит нам о том, что Банк России так же устанавливает требования по защите информации в платёжных системах, обязательные для исполнения всеми операторами по переводу денежных средств, банковскими платежными агентами  и субагентами, операторами платежных систем и операторами услуг платежной инфраструктуры. Срок вступления указанной статьи в силу - 27.06.2012. 

Однако следует напомнить, что внедрение СТО БР ИББС - процесс затяжной, поэтому откладывать его на вторую половину года не стоит.