19 Апреля, 2013

Еще немного регулирования для банков

Алексей Чеканов

В ближайшие дни должно вступить в силу постановление Банка России №397-П (как символично его созвучие с 379-П ), определяющее порядок создания, ведения и хранения баз данных на электронных носителях. Положение содержит некоторое количество требований, относящихся к обеспечению сохранности данных. Давайте посмотрим на них повнимательнее.

Глава 2.

2.2. Порядок создания, ведения и хранения электронных баз данных должен обеспечивать поддержание электронных баз данных в актуальном состоянии,возможность восстановления информации из электронных баз данных, в том числе при наступлении обстоятельств непреодолимой силы, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа неуполномоченных лиц.

Глава 3.

3.1. В целях обеспечения хранения информации, содержащейся в электронных базах данных, кредитная организация создает резервные копии электронных баз данных, содержащие информацию, предусмотренную главой 1 настоящего Положения, и обеспечивает их хранение и защиту на носителях или средствах вычислительной техники, отличных от тех, на которых осуществляется оперативное ведение и хранение электронных баз данных.

3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их безопасности, в том числе при возникновении обстоятельств непреодолимой силы,резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных.

3.6. Порядок создания, ведения и хранения резервных копий электронных баз данных должен обеспечивать возможность исполнения кредитной организацией требований настоящего Положения к созданию и передаче в Банк России резервных копий электронных баз данных, а также размещение резервных копий электронных баз данных на территории Российской Федерации.

Итого мы имеем:

  • Резервные копии должны быть.
  • Регулярность, ответственность и регламенты должны определяться внутренними документами (см. полный текст постановления).
  • Должно быть обеспечено off-site хранение резервных копий.
  • Степень “off-site” должна быть умеренной, и не пересекать границы Российской Федерации.

Вопрос про off-site интересный, потому что такие моменты, как шифрование резервных копий, возможность использования облачных сервисов “managed backup” и т.п. остались за рамками.

К сожалению, также ничего не сказано про тестирование восстановления с резервных копий, поэтому эту тему тоже отнесем на здравый смысл и профессионализм тех, в чьей зоне ответственности находится данная тема.

В целом, хотя степень проработки могла бы быть и поглубже, документ вполне позитивный с точки зрения влияния на зрелость процессов в области управления ИТ.

или введите имя

CAPTCHA
22 Апреля, 2013
А в чем новаторство данного документа? В нем приведены давно известные прописные истины для любой организации, имеющей дело с хранением и обработкой данных. Не думаю, что в банках настолько все плохо, что требуется нормативный документ регулятора.
0 |
  • Поделиться
  • Ссылка