Как мы знаем, июльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС в качестве отраслевого стандарта безопасности персональных данных, однако это не единственный федеральный закон, ссылающийся на СТО БР ИББС.
27 статья ФЗ "О национальной платёжной системе" говорит нам о том, что Банк России так же устанавливает требования по защите информации в платёжных системах, обязательные для исполнения всеми операторами по переводу денежных средств, банковскими платежными агентами и субагентами, операторами платежных систем и операторами услуг платежной инфраструктуры. Срок вступления указанной статьи в силу - 27.06.2012.
Однако следует напомнить, что внедрение СТО БР ИББС - процесс затяжной, поэтому откладывать его на вторую половину года не стоит.
На мой взгляд из п. 3 ст. 27 ФЗ о нац. платежной системе ("в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи") совсем не вытекает то, что в качестве этих требований выступает СТО БР ИББС. Во-первых он не является обязательным, а во-вторых он не согласован с ФСБ и ФСТЭК, т.к. письмо шестерых касалось только ПДн и ничего более. Я так понимаю должно быть какое-то официальное указание Правительства РФ и Банка России, что является требованиями защиты по п. 1 и п. 3 ст. 27.
ОтветитьУдалитьсобственно вот тут об этом и говорят - http://bankir.ru/dom/showthread.php?t=109904
ОтветитьУдалитьТрадиционно в нашей стране вначале принимают обязательный к исполнению закон и в лучшем случае через полгода-год появляются, наконец, конкретные требования :)
ОтветитьУдалитьПредставитель Банка России на конференции AntiFraud 2011 подтвердил, что базой для новых требований будет именно СТО БР ИББС.
Т.к. СТО БР ИББС писался с мыслью о добровольном присоединении, большинство положений стандарта носят рекомендательный характер и могут быть по-разному истолкованы, что для обязательного документа не приемлимо.
Думаю организация, выполняющая требования СТО БР ИББС хотя бы на 4, должна соответстовать новому ФЗ на 99%.
Базой возможно, но с большой доработкой в сторону PCI DSS. Я не против СТО БР ИББС, даже наоборот ЗА, просто подобные заявления они как вопрос про защиту ПДн через призму СТО БР ИББС, вызывают большие претензий с точки зрения законодательных норм. - Ведь слова никуда не пришьешь =).
ОтветитьУдалитьДа и заявление "юльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС" также является весьма спорным и до сих пор официально не подтвержденным, если не считать тех же заявление регуляторов на конференциях по поводу новой версии письма шестерых.
Легкая правовая неопределенность - постоянный спутник ИБ. Ожидать, когда небо полностью прояснится - значит просидеть ничего не делая всю жизнь.
ОтветитьУдалитьИ снова к вопросу о весе сломанных копий :). Никаких "больших претензий" к СТО БР ИББС нет и не будет. И защиту ПДн, и защиту НПС можно и нужно успешно строить, применяя положения Стандарта Банка России, ибо ничего лучше на сегодняшний день нет.