пятница, 2 декабря 2011 г.

161-ФЗ "О национальной платежной системе" и СТО БР ИББС

Как мы знаем, июльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС в качестве отраслевого стандарта безопасности персональных данных, однако это не единственный федеральный закон, ссылающийся на СТО БР ИББС.

27 статья ФЗ "О национальной платёжной системе" говорит нам о том, что Банк России так же устанавливает требования по защите информации в платёжных системах, обязательные для исполнения всеми операторами по переводу денежных средств, банковскими платежными агентами  и субагентами, операторами платежных систем и операторами услуг платежной инфраструктуры. Срок вступления указанной статьи в силу - 27.06.2012. 

Однако следует напомнить, что внедрение СТО БР ИББС - процесс затяжной, поэтому откладывать его на вторую половину года не стоит.

5 комментариев:

  1. На мой взгляд из п. 3 ст. 27 ФЗ о нац. платежной системе ("в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи") совсем не вытекает то, что в качестве этих требований выступает СТО БР ИББС. Во-первых он не является обязательным, а во-вторых он не согласован с ФСБ и ФСТЭК, т.к. письмо шестерых касалось только ПДн и ничего более. Я так понимаю должно быть какое-то официальное указание Правительства РФ и Банка России, что является требованиями защиты по п. 1 и п. 3 ст. 27.

    ОтветитьУдалить
  2. собственно вот тут об этом и говорят - http://bankir.ru/dom/showthread.php?t=109904

    ОтветитьУдалить
  3. Традиционно в нашей стране вначале принимают обязательный к исполнению закон и в лучшем случае через полгода-год появляются, наконец, конкретные требования :)
    Представитель Банка России на конференции AntiFraud 2011 подтвердил, что базой для новых требований будет именно СТО БР ИББС.
    Т.к. СТО БР ИББС писался с мыслью о добровольном присоединении, большинство положений стандарта носят рекомендательный характер и могут быть по-разному истолкованы, что для обязательного документа не приемлимо.
    Думаю организация, выполняющая требования СТО БР ИББС хотя бы на 4, должна соответстовать новому ФЗ на 99%.

    ОтветитьУдалить
  4. Базой возможно, но с большой доработкой в сторону PCI DSS. Я не против СТО БР ИББС, даже наоборот ЗА, просто подобные заявления они как вопрос про защиту ПДн через призму СТО БР ИББС, вызывают большие претензий с точки зрения законодательных норм. - Ведь слова никуда не пришьешь =).
    Да и заявление "юльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС" также является весьма спорным и до сих пор официально не подтвержденным, если не считать тех же заявление регуляторов на конференциях по поводу новой версии письма шестерых.

    ОтветитьУдалить
  5. Легкая правовая неопределенность - постоянный спутник ИБ. Ожидать, когда небо полностью прояснится - значит просидеть ничего не делая всю жизнь.

    И снова к вопросу о весе сломанных копий :). Никаких "больших претензий" к СТО БР ИББС нет и не будет. И защиту ПДн, и защиту НПС можно и нужно успешно строить, применяя положения Стандарта Банка России, ибо ничего лучше на сегодняшний день нет.

    ОтветитьУдалить