Страницы

суббота, 5 февраля 2011 г.

В двух словах \ Карта законодательства по ПД для банков

Понадобилось проанализировать действующее российское законодательство в области персональных данных применительно к банкам, принявшим в качестве обязательного Комплекс стандартов Банка России БР ИББС. В итоге получилась вот такая карта.



Здесь можно скачать картинку в высоком разрешении и исходник в формате MS Visio.

Несколько пояснений по схеме:
  • красными стрелками обозначено, какой документ на каком основан;
  • синими стрелками показаны ссылки из одних документов в другие;
  • цветами показаны разные "уровни" документов 
    • фиолетовый и синий - общие основополагающие документы;
    • оранжевый - конкретизирующие документы;
    • зеленый и коричневый - документы, содержащие конкретные требования;
    • красный - документы по вопросам контроля и ответственности;
    • серый - вспомогательные документы;
  • красным фоном выделены наиболее важные документы, в которых находится основной объем требований (при использовании СКЗИ для защиты ПДн также важными становятся документы ФСБ, при обработке биометрических ПДн - ПП-512).
  • зачеркнуты на схеме документы ФСТЭК, которые можно не использовать после введения приказом Комплекса БР ИББС - все содержащиеся в них требования включены в СТО БР ИББС-1.0, РС БР ИББС-2.3 и РС БР ИББС-2.4.
Сами документы можно найти в разделе блога "Законодательство и требования".

6 комментариев:

  1. Красивая картинка :)
    Приказ "трех" можно тоже зачеркивать, т.к. в ИББС определен свой подход к классификации.
    781 постановление тоже спорный момент, т.к. часть его тоже в явном виде выкинута, например:
    - классификация на основании объема;
    - сертификация всех средств защиты;
    - определение угроз и формирование модели угроз.
    Еще потерялся СТО БР ИББС 1.1 и некоторые рекомендации по стандартизации.

    ОтветитьУдалить
  2. Спасибо за комментарий :)
    Зачеркивать приказ "трех" и ПП-781 думаю, было бы не совсем корректно. В БР ИББС, конечно, свой подход к классификации, но он все-таки основывается на приказе "трех" и логически продолжает его. А ПП-781 ЦБ-шные документы полностью не заменяют и учитывать его все равно придется.
    Я вычеркивал только те документы, которые можно вообще не рассматривать. 58-й приказ полностью замещается РС БР ИББС-2.3, наличие отраслевой модели РС БР ИББС-2.4 позволяет обойтись без "базовой модели" и "методики" ФСТЭК. А все остальное придется учесть.
    Что касается СТО БР ИББС-1.1 - думаю, Вы правы, обновлю схему. Хотя напрямую к ПД он отношения не имеет, без него не обойтись при проведении внешней оценки соответствия. ;)
    А по поводу потерявшихся рекомендаций по стандартизации - конкретизируйте, пожалуйста.

    ОтветитьУдалить
  3. Верхний уровень. Забыли закон о банках и банковской деятельности (банковская тайна), ГК РФ (та же самая банковская тайна) и трехглавый закон (профтайна - она же банковская тайна).

    А ведь именно на том, что ПДн переданные субъектом банкам для осуществления ими профессиональной деятельности относятся к банковской/профессиональной тайне и постоена классификация в Комплексе БР ИББС-2010.

    Далее кресты с базовой модели угроз и методики определения актуальных угроз можно снять т.к. отраслевая модель постороена с их учетом.

    Крест с 58 приказа также можно снять т.к. классификация построена на основании приказа трех (пункт на счет специальных ИСПДн) и вообще-то ИСПДн-И~ИСПДн К2, а ИСПДН-С~ИСПДн К1.
    А в некоторых пунктах требования даже жестче...
    Разве-что расширен перечень возможных к применению СЗИ теми, которые не сертифицированы, но разрешены руководством. И вопрос лицензирования по ТЗКИ - см. http://www.gosbook.ru/node/8464

    ОтветитьУдалить
  4. Спасибо! Основы для ухода под банковскую тайну я действительно упустил из виду. А трехглавый закон учтен в лице его приемника - 149-ФЗ (см. 2 ряд).

    Что касается "крестов" на документах ФСТЭК... Комплекс БР ИББС безусловно на них основывается, и отменить он их не может. Но. Он полностью заменяет их требования и при построении системы защиты ПДн их можно не принимать во внимание (достаточно помнить, что они есть). Именно в этом был смысл "крестов".
    За ссылку по вопросу ТЗКИ - спасибо, интересная статья и комментарии. Но с точки зрения карты требований по ПД для банков, она, по-моему, ничего не меняет.

    P.S. Готовится новая редакция карты с учетом комментариев Alexey Babenko и toparenko. Кроме нее готовится схема со всеми требованиями по ПД для банков :)

    ОтветитьУдалить
  5. Карта законодательства по ПД обновлена. Спасибо Alexey Babenko и toparenko за комментарии.

    ОтветитьУдалить
  6. большое спасибо за карту
    выручила при написании диплома

    ОтветитьУдалить