Задал вопрос регулятору "можно ли обрабатывать банковскую тайну в облаках?".
Получил ответ "мы не против, но в России".
Но что нужно ещё иметь ввиду:
- п.1.2 397-П "Кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации."
- п.7.7.3 СТО БР ИББС-1.0-2014 "СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2."
Вообще, конечно, ЦБ следует взяться за облака и выпустить РСку. Важный ведь вопрос.
Такой вопрос - а на сколько правомочна позиция ЦБ, что класс используемых для защиты ПДн СКЗИ должен быть не ниже КС2? Если в соответствии с приказом ФСБ №378, для ИСПДн с УЗ2-4 может быть достаточно использование СКЗИ класса КС1.
ОтветитьУдалитьСобственно, как и назначение ответственного за ИСПДн при УЗ4.
Позиция ЦБ не противоречит приказу ФСБ. Она просто более жёсткая.
УдалитьСТОБР не обязателен до того момента, пока не введен в кредитной организации приказом.
А как же запрет на передачу банковской тайны третьим лицам? Ст. 26 ФЗ 395-1 четко определено кому банк может передавать банковскую тайну, а за нарушение этой статьи уже уголовка.
УдалитьБанк России может иметь свое мнение, но требования ФЗ и УК никто не отменял.
Я допускал, что они про этот пункт вспомнят, но не вспомнили.
УдалитьФормально частное облако - это не третье лицо-обработчик. Это "аренда оборудования", а оператор по-прежнему банк. Т.е. банк не передает БТ облаку, а берет в аренду мощности для обработки своими силами. Как-то так.
Вроде как да, но при этом работники "облака" не ограничены в доступе к тем ресурсам, которые банк в нем обрабатывает. И это будет до первого инцидента, когда кто-то из облаков сольет БТ и это будет обнародовано, тогда мне кажется ЦБ пересмотрит свою политику.
Удалить