Документ описывает эволюцию банковского законодательства в России, акцентируя внимание на новых редакциях стандартов информационной безопасности и изменениях в требованиях к защите данных. В частности, он выделяет обязательные меры и методики оценки соответствия, а также необходимость реагирования на инциденты информационной безопасности. Указывается на связь между правительственными постановлениями и документами Центрального банка, а также будущие перспективы в области защиты информации.

1. Эволюция банковского законодательства в России
Анастасия Федорова,
ведущий системный аналитик
Москва, 01.10.2013

2. 2
НПС – ПРИОРИТЕТ ПОСЛЕДНИХ ДНЕЙ
Нормативный
документ
Объект
защиты
Тип Обязательность Санкции Оценка
соответствия
ISO/ГОСТ Р
2700x
КИ Стандарт Рекомендации Нет Аудит,
Вн. аудит
СТО БР ИББС БТ, ПДн,
КТ
Стандарт Рекомендации? Нет Аудит,
Самооценка
PCI DSS БТ, ПДн Стандарт Рекомендации? Штраф Аудит,
Вн. аудит
152-ФЗ ПДн Федеральный
закон
Обязательный Штраф Вн. проверка
161-ФЗ БТ, ПДн,
КТ
Федеральный
закон
Обязательный Штраф Аудит,
Самооценка

3. СТАНДАРТ БАНКА РОССИИ

4. 4
РАЗВИТИЕ СТО БР ИББС Ч.1

5. 5
РАЗВИТИЕ СТО БР ИББС Ч.2
• Новая редакция СТО БР ИББС 1.0
«Обеспечение информационной
безопасности организаций
банковской системы Российской
Федерации. Общие положения»
• Новая редакция СТО БР ИББС 1.2
«Методика оценки соответствия
СТО БР ИББС 1.0»
• Рекомендации в области
стандартизации Банка России
«Обеспечение информационной
безопасности организаций
банковской системы Российской
Федерации. Менеджмент
инцидентов информационной
безопасности»

6. 6
РАЗВИТИЕ СТО БР ИББС Ч.3

7. НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА

8. 8
ПРЕДШЕСТВЕННИКИ….
НАЦИОНАЛЬНАЯ СИСТЕМА ПЛАТЕЖНЫХ КАРТ

9. 9
ЗАЩИТА ИНФОРМАЦИИ В НПС

10. 10
СТРУКТУРА НПА ПО ИБ В НПС

11. 11
УСТАНОВКА ТРЕБОВАНИЙ, КОНТРОЛЬ И НАДЗОР
Ст. 27
161-ФЗ

12. 12
• Акцент на работу по выявлению и реагированию на инциденты ИБ.
Информирование о выявленных инцидентах ИБ
• Отсутствие требований к сертификации средств защиты
• Новая методика оценки соответствия требованиям ИБ
• Внедрение новых форм отчетности по обеспечению защиты информации
• Отсутствие раздела с требованиями по обеспечению защиты ПДн
• Требования теперь являются обязательными,
а не рекомендованными
НОВОЕ ПО СРАВНЕНИЮ СО СТО БР ИББС

13. 13
СВЯЗЬ МЕЖДУ ПОСТАНОВЛЕНИЕМ ПРАВИТЕЛЬСТВА
И ДОКУМЕНТАМИ БАНКА РОССИИ
Требование из ПП-584 Документ ЦБ
Функционирование структурного подразделения 382-П, СТО БР ИБСС
Наличие в ДИ обязанностей по ЗИ 382-П, СТО БР ИБСС
Моделирование угроз и анализ уязвимости СТО БР ИБСС
Анализ и управление рисками 379-П
Разработка и реализация системы защиты 382-П, СТО БР ИБСС
Применение средств защиты информации 382-П, СТО БР ИБСС
Выявление инцидентов ИБ 382-П, СТО БР ИБСС
Обеспечение защиты при использовании
информационно-телекоммуникационных сетей общего
пользования
382-П
Определение порядка доступа к объектам
инфраструктуры платежной системы
382-П
Организация и проведение контроля 380-П, 381-П, 382-П,
2831-У, СТО БР ИБСС

14. О ПЕРСОНАЛЬНЫХ ДАННЫХ

15. 15
ЧТО ЗАЩИЩАЕМ?

16. 16
СТРУКТУРА НПА ПО ПДН

17. 17
ПЕРСПЕКТИВЫ РАЗВИТИЯ

18. 18
ПИШИТЕ ПИСЬМА
• Ассоциация Российских Банков
• Национальный платежный совет
• Интернет-приемная ЦБ

19. 19
СПАСИБО ЗА ВНИМАНИЕ!
Анастасия Федорова
Ведущий системный аналитик ДИТ
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 (495) 974 2274, доб. 4543, +7 (495) 974 2277 (факс)
AFedorova@croc.ru
www.croc.ru