В ближайшие дни должно вступить в силу постановление Банка России №397-П (как символично его созвучие с 379-П ), определяющее порядок создания, ведения и хранения баз данных на электронных носителях. Положение содержит некоторое количество требований, относящихся к обеспечению сохранности данных. Давайте посмотрим на них повнимательнее.
Глава 2.
2.2. Порядок создания, ведения и хранения электронных баз данных должен обеспечивать поддержание электронных баз данных в актуальном состоянии,возможность восстановления информации из электронных баз данных, в том числе при наступлении обстоятельств непреодолимой силы, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа неуполномоченных лиц.
Глава 3.
3.1. В целях обеспечения хранения информации, содержащейся в электронных базах данных, кредитная организация создает резервные копии электронных баз данных, содержащие информацию, предусмотренную главой 1 настоящего Положения, и обеспечивает их хранение и защиту на носителях или средствах вычислительной техники, отличных от тех, на которых осуществляется оперативное ведение и хранение электронных баз данных.
3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их безопасности, в том числе при возникновении обстоятельств непреодолимой силы,резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных.
3.6. Порядок создания, ведения и хранения резервных копий электронных баз данных должен обеспечивать возможность исполнения кредитной организацией требований настоящего Положения к созданию и передаче в Банк России резервных копий электронных баз данных, а также размещение резервных копий электронных баз данных на территории Российской Федерации.
Итого мы имеем:
- Резервные копии должны быть.
- Регулярность, ответственность и регламенты должны определяться внутренними документами (см. полный текст постановления).
- Должно быть обеспечено off-site хранение резервных копий.
- Степень “off-site” должна быть умеренной, и не пересекать границы Российской Федерации.
Вопрос про off-site интересный, потому что такие моменты, как шифрование резервных копий, возможность использования облачных сервисов “managed backup” и т.п. остались за рамками.
К сожалению, также ничего не сказано про тестирование восстановления с резервных копий, поэтому эту тему тоже отнесем на здравый смысл и профессионализм тех, в чьей зоне ответственности находится данная тема.
В целом, хотя степень проработки могла бы быть и поглубже, документ вполне позитивный с точки зрения влияния на зрелость процессов в области управления ИТ.