СОИБ. Анализ. ЦБ и электронные базы данных

СОИБ. Анализ. ЦБ и электронные базы данных

На сайте ЦБ РФ выложен проект Положения Банка России "О порядке создания, ведения и хранения баз данных на электронных носителях" на экспертизу до 18 февраля.
В область действия документа попадает информация о сделках, банковских операциях, лицевых счетах и т.п.

Привожу ниже основные требования документа:

Требования к ИС, базе данных или системе резервного копирования:
·        информацию хранить не менее 5 лет
·        создавать резервные копии (РК)
·        хранить РК на резервном (отличном от основного) оборудовании или носителях
·        хранить РК на резервных площадках (местах отличных от основных мест обработки)
·        резервные площадки должны быть на территории РФ
·        обеспечить доступ к информации по состоянию на каждый операционный день
·        обеспечить оперативное восстановление информации
·        обеспечить восстановление событий и действий по внесению изменений

Требования к документации:
·        регламентация полномочий и ответственности лиц (создание, ведение, хранение, защиту)
·        регламентация действий (создание, ведение, хранение)
·        регламентация учета изменений и способов хранения
·        регламентация поддержания БД в актуальном состоянии
·        регламентация восстановления информации
·        регламентация мер по защите БД от порчи, утраты, заражения вредоносными кодами, НСД
·        паспорт резервных копий БД

Взаимодействие с ЦБ:
·        при отзыве лицензии направляет РК в ЦБ в течении трех дней по требованию ЦБ
·        передает РК в опечатанной упаковке
·        ЦБ обеспечивает хранение, исключающее доступ к информации

Документ требует проведения мероприятий в целом схожих с мероприятиями в рамках создания системыобеспечения непрерывности бизнеса и восстановления деятельности послепрерываний (ОНиВД).

Таким образом ЦБ наращивает количество требований в области непрерывности бизнеса, в дополнение к Указанию ЦБ ФР 2695-У и Положению № 379-П от 31.05.2012 (из серии НПС).

Для банков логичным было бы начать создание (если отсутствует) системы управления непрерывностью бизнеса охватывающей все основные активы. Тем самым выполнить текущие и будущие требования.

Меры по защите БД от НСД выбирает банк, но наиболее подходящей видится система защиты БД (типа Database Firewall, Database Activity Monitoring).

К проекту Положения есть несколько замечаний:
·        Что понимается под заражение БД вредоносным кодом? Какие то SQLинъекции или другие атаки на уровне БД   или это была ошибка и необходима защита ОС сервера и клиентов?
·        Если резервное копирование выполняются с использованием специализированного ПО или АПК (например, SymantecBackup Exec или NetApp Snapshot) или при создании РК применялось шифрование,  то нет гарантии, что ЦБ удастся самостоятельно восстановить информацию из БД

Кстати замечания к документу принимаются  до 18 февраля на адрес bnb@cbr.ru . Ещё есть несколько часов чтобы написать.

защита БД СОИБ Анализ обеспечение непрерывности бизнеса
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!