понедельник, 18 февраля 2013 г.

СОИБ. Анализ. ЦБ и электронные базы данных


На сайте ЦБ РФ выложен проект Положения Банка России "О порядке создания, ведения и хранения баз данных на электронных носителях" на экспертизу до 18 февраля.
В область действия документа попадает информация о сделках, банковских операциях, лицевых счетах и т.п.

Привожу ниже основные требования документа:

Требования к ИС, базе данных или системе резервного копирования:
·        информацию хранить не менее 5 лет
·        создавать резервные копии (РК)
·        хранить РК на резервном (отличном от основного) оборудовании или носителях
·        хранить РК на резервных площадках (местах отличных от основных мест обработки)
·        резервные площадки должны быть на территории РФ
·        обеспечить доступ к информации по состоянию на каждый операционный день
·        обеспечить оперативное восстановление информации
·        обеспечить восстановление событий и действий по внесению изменений

Требования к документации:
·        регламентация полномочий и ответственности лиц (создание, ведение, хранение, защиту)
·        регламентация действий (создание, ведение, хранение)
·        регламентация учета изменений и способов хранения
·        регламентация поддержания БД в актуальном состоянии
·        регламентация восстановления информации
·        регламентация мер по защите БД от порчи, утраты, заражения вредоносными кодами, НСД
·        паспорт резервных копий БД

Взаимодействие с ЦБ:
·        при отзыве лицензии направляет РК в ЦБ в течении трех дней по требованию ЦБ
·        передает РК в опечатанной упаковке
·        ЦБ обеспечивает хранение, исключающее доступ к информации

Документ требует проведения мероприятий в целом схожих с мероприятиями в рамках создания системыобеспечения непрерывности бизнеса и восстановления деятельности послепрерываний (ОНиВД).

Таким образом ЦБ наращивает количество требований в области непрерывности бизнеса, в дополнение к Указанию ЦБ ФР 2695-У и Положению № 379-П от 31.05.2012 (из серии НПС).

Для банков логичным было бы начать создание (если отсутствует) системы управления непрерывностью бизнеса охватывающей все основные активы. Тем самым выполнить текущие и будущие требования.

Меры по защите БД от НСД выбирает банк, но наиболее подходящей видится система защиты БД (типа Database Firewall, Database Activity Monitoring).

К проекту Положения есть несколько замечаний:
·        Что понимается под заражение БД вредоносным кодом? Какие то SQL инъекции или другие атаки на уровне БД   или это была ошибка и необходима защита ОС сервера и клиентов?
·        Если резервное копирование выполняются с использованием специализированного ПО или АПК (например, Symantec Backup Exec или NetApp Snapshot) или при создании РК применялось шифрование,  то нет гарантии, что ЦБ удастся самостоятельно восстановить информацию из БД

Кстати замечания к документу принимаются  до 18 февраля на адрес bnb@cbr.ru. Ещё есть несколько часов чтобы написать.

2 комментария:

ser-storchak комментирует...

"Если резервное копирование выполняются с использованием специализированного ПО или АПК (например, Symantec Backup Exec или NetApp Snapshot) или при создании РК применялось шифрование, то нет гарантии, что ЦБ удастся самостоятельно восстановить информацию из БД"
На этот случай они и предусмотрели Паспорт резервных копий электронных баз данных

Сергей Борисов комментирует...

В паспорте я напишу какая система резервного копирования используется и как можно восстановить базу у меня на площадке,
но я не передам ЦБ оборудование/ПО для восстановления и (даже если оно есть у ЦБ) не факт что получится корректно восстановить информацию на другой площадке (там где будет работать временный управляющий банком от ЦБ)