На сайте ЦБ РФ выложен проект Положения Банка России "О порядке создания, ведения и хранения баз данных на электронных носителях" на экспертизу до 18 февраля.
В область действия документа попадает информация о сделках, банковских операциях, лицевых счетах и т.п.
Привожу ниже основные требования документа:
Требования к ИС, базе данных или системе резервного копирования:
· информацию хранить не менее 5 лет
· создавать резервные копии (РК)
· хранить РК на резервном (отличном от основного) оборудовании или носителях
· хранить РК на резервных площадках (местах отличных от основных мест обработки)
· резервные площадки должны быть на территории РФ
· обеспечить доступ к информации по состоянию на каждый операционный день
· обеспечить оперативное восстановление информации
· обеспечить восстановление событий и действий по внесению изменений
Требования к документации:
· регламентация полномочий и ответственности лиц (создание, ведение, хранение, защиту)
· регламентация действий (создание, ведение, хранение)
· регламентация учета изменений и способов хранения
· регламентация поддержания БД в актуальном состоянии
· регламентация восстановления информации
· регламентация мер по защите БД от порчи, утраты, заражения вредоносными кодами, НСД
· паспорт резервных копий БД
Взаимодействие с ЦБ:
· при отзыве лицензии направляет РК в ЦБ в течении трех дней по требованию ЦБ
· передает РК в опечатанной упаковке
· ЦБ обеспечивает хранение, исключающее доступ к информации
Документ требует проведения мероприятий в целом схожих с мероприятиями в рамках создания системыобеспечения непрерывности бизнеса и восстановления деятельности послепрерываний (ОНиВД).
Таким образом ЦБ наращивает количество требований в области непрерывности бизнеса, в дополнение к Указанию ЦБ ФР 2695-У и Положению № 379-П от 31.05.2012 (из серии НПС).
Для банков логичным было бы начать создание (если отсутствует) системы управления непрерывностью бизнеса охватывающей все основные активы. Тем самым выполнить текущие и будущие требования.
Меры по защите БД от НСД выбирает банк, но наиболее подходящей видится система защиты БД (типа Database Firewall, Database Activity Monitoring).
К проекту Положения есть несколько замечаний:
· Что понимается под заражение БД вредоносным кодом? Какие то SQLинъекции или другие атаки на уровне БД или это была ошибка и необходима защита ОС сервера и клиентов?
· Если резервное копирование выполняются с использованием специализированного ПО или АПК (например, SymantecBackup Exec или NetApp Snapshot) или при создании РК применялось шифрование, то нет гарантии, что ЦБ удастся самостоятельно восстановить информацию из БД
Кстати замечания к документу принимаются до 18 февраля на адрес bnb@cbr.ru . Ещё есть несколько часов чтобы написать.