Еще немного регулирования для банков

19.04.2013

BackupВ ближайшие дни должно вступить в силу постановление Банка России №397-П (как символично его созвучие с 379-П), определяющее порядок создания, ведения и хранения баз данных на электронных носителях. Положение содержит некоторое количество требований, относящихся к обеспечению сохранности данных. Давайте посмотрим на них повнимательнее.

Глава 2.

2.2. Порядок создания, ведения и хранения электронных баз данных должен обеспечивать поддержание электронных баз данных в актуальном состоянии, возможность восстановления информации из электронных баз данных, в том числе при наступлении обстоятельств непреодолимой силы, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа неуполномоченных лиц.

Глава 3.

3.1. В целях обеспечения хранения информации, содержащейся в электронных базах данных, кредитная организация создает резервные копии электронных баз данных, содержащие информацию, предусмотренную главой 1 настоящего Положения, и обеспечивает их хранение и защиту на носителях или средствах вычислительной техники, отличных от тех, на которых осуществляется оперативное ведение и хранение электронных баз данных.

3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их безопасности, в том числе при возникновении обстоятельств непреодолимой силы, резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных.

3.6. Порядок создания, ведения и хранения резервных копий электронных баз данных должен обеспечивать возможность исполнения кредитной организацией требований настоящего Положения к созданию и передаче в Банк России резервных копий электронных баз данных, а также размещение резервных копий электронных баз данных на территории Российской Федерации.

Итого мы имеем:

  • Резервные копии должны быть.
  • Регулярность, ответственность и регламенты должны определяться внутренними документами (см. полный текст постановления).
  • Должно быть обеспечено off-site хранение резервных копий.
  • Степень «off-site» должна быть умеренной, и не пересекать границы Российской Федерации.

Вопрос про off-site интересный, потому что такие моменты, как шифрование резервных копий, возможность использования облачных сервисов «managed backup» и т.п. остались за рамками.

К сожалению, также ничего не сказано про тестирование восстановления с резервных копий, поэтому эту тему тоже отнесем на здравый смысл и профессионализм тех, в чьей зоне ответственности находится данная тема.

В целом, хотя степень проработки могла бы быть и поглубже, документ вполне позитивный с точки зрения влияния на зрелость процессов в области управления ИТ.

Реклама

комментариев 5 to “Еще немного регулирования для банков”


  1. […] комментариях к моему недавнему посту про положение Банка России №397-П, касающееся требований к сохранности данных, кто-то […]

  2. Даниил Says:

    Из чего Вы сделали вывод что положение требует делать off-site бэкапы? На мой взгляд этот момент не конкретен — «резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных». Например соседний с серверной кабинет разве не является «отличным» от серверной местом?

    • Alexey Chekanov Says:

      Даниил, согласен, что формулировка не очень четкая. Однако, «3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их
      безопасности, в том числе при возникновении обстоятельств непреодолимой силы…» — цель сформулирована, а обстоятельства непреодолимой силы, как правило, сопровождаются крупномасштабными разрушениями.

      • Даниил Says:

        Alexey, пожалуй соглашусь с Вами, от непреодалимой силы «соседний кабинет» может и не спасти.


  3. […] момент, чтобы избежать подобного рода ситуаций, Банк России выпустил постановление 397-П. Я опросил некоторое количество коллег из разных […]


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: