logo
Диплом / 18

1.2 Законодательство рф в абс

В настоящий момент деятельность банков в сфере защиты информации регламентируется Федеральным закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Данный закон в первоначальной редакции включал 26 статей, последняя редакция данного закона датируется декабрем 2009 года.

Согласно «Статье 1» ФЗ152-Ф3

Статья 1. Сфера действия настоящего Федерального закона

  1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

  2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

  1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

  2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

  3. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

  4. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Следовательно, деятельность АБС банков попадает под действие ФЗ 152-Ф3. В настоящий момент этот закон является основным для систем безопасности банков и обязателен к исполнению во всех банках России, без исключений. Основной проблемой, которую выделяют специалисты – это широкая сфера применения данного закона, как для компаний занимающимися регистрациями доменов, так и для крупнейших банков РФ.

Закон, регламентирующий банковскую деятельность должен соответствовать современным реалиям информационной безопасности, и не терпит обобщенных формулировок, должен содержать полный перечень стандартов и постоянно дорабатываться компетентным органом. Скорее - всего, именно эти проблемы и послужили причиной создания комплекса документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства, или Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

Июльская поправка 2010 (261-ФЗ) к 152-ФЗ "О персональных данных" наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности.

По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки)

В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:

Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных. Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия. Выделяют 5 уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.

Существует ряд программ предназначенных для определения соответствия СТО БР ИББС, одну из них я буду использовать при построении программно-аппаратного комплекса, обеспечивающего защиту АБС.

Основными же органами, контроля и регламентирования и сертификации согласно закону 152-ФЗ являются Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная Служба Безопасности РФ (ФСБ)

ФСБ России организует сертификацию СЗИ и аккредитацию испытательных лабораторий.  

ФСТЭК решает следующие вопросы:

1) обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;

2) противодействия иностранным техническим разведкам на территории Российской Федерации;

3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

5) осуществления экспортного контроля. 

Стоит отметить, что в данном разделе рассматриваются только те структуры, с которыми наиболее активно приходится взаимодействовать банкам, в общей же структуре защиты информации гораздо больше организаций, осуществляющих подобный контроль, но вступающих в действие только в случае утечки данных, или взломов, краж.