15 апреля 2024 г. Понедельник | Время МСК: 11:51:58
Карта сайта
 
Статьи
Как команде строитьсяРаботодатели вживляют чипы сотрудникамAgile в личной жизниСети набираются опта
«Магнит» хочет стать крупным дистрибутором
Задачи тревел-менеджера… под силу роботу?8 основных маркетинговых трендов, которые будут главенствовать в 2017 году
Статья является переводом одноименной статьи, написанной автором Дипом Пателем для известного англоязычного журнала «Entrepreneur»
Нужно стараться делать шедевры
О том, почему для девелопера жилец первичен, а дом вторичен

Миф №93 «Стандарт Банка России по безопасности не обязателен к исполнению»



Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems
Источник: Банкир.ру
добавлено: 07-12-2010
просмотров: 5971
В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности"

После принятия 21-го июня Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (сокращенно СТО) стало циркулировать немало слухов о необязательности или обязательности этих стандартов. Те, кто не любят жить по общим, да еще и спущенным сверху правилам, считают, что три разработанных стандарта и пять рекомендаций в области стандартизации «имени Банка России» многим не нужны и необязательны к применению. Такое мнение существует и под ним есть определенная почва, базирующаяся на двух моментах – ФЗ «О техническом регулировании» и тексте самого стандарта Банка России по информационной безопасности.

В ФЗ-184 «О техническом регулировании», в ст.12 указано, что стандарты применяются добровольно, а в 1-м раздел еСТО БР ИББС-1.0 написано «Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе, нормативными актами Банка России. Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях, требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации, применяются по решению организации БС РФ».

Однако, если де-юре СТО действительно носит рекомендательный характер, то на практике все обстоит немного иначе. Проверки Банка России, особенно в регионах, осуществляются именно на базе СТО. И даже если банк не присоединялся к Стандарту Банка России, это не мешает проверяющим указывать про несоответствие в акте проверке. И отчасти это понятно, ЦБ сам живет по этому стандарту и проверяющие руководствуются именно им при осуществлении своей деятельности.

Нежелание следовать положениям СТО отчасти заключается в непонимании его роли в обеспечении информационной безопасности в банке. Если сходу не отметать СТО, как ненужный или избыточный стандарт, то давайте посмотрим на него с точки зрения здравого смысла. Надо ли защищать информацию, циркулирующую в банке? Безусловно. Как минимум, банковскую тайну – этого от нас требует ст.26 закона «О банках и банковской деятельности». Но вся ли конфиденциальная информация ограничивается в банке только банковской тайной? Разумеется нет. Как минимум, существует еще два вида информации ограниченного доступа. Это коммерческая тайна и персональные данные. А если вспомнить «старые» СанПИНы, согласно которым в организации должны проводиться регулярные профилактические и медицинские осмотры, то у нас появляется еще и врачебная тайна. Глубокий анализ деятельности современного банка на информационном поприще может найти и другие виды информации, подлежащей защите в соответствие с требованиями российского законодательства. И вот тут начинается самое интересное.

Для защиты коммерческой тайны в России существуют требования регулятора в лице ФСТЭК (правда, пока не опубликованные) – «Методические рекомендации по технической защите информации, составляющей коммерческую тайну». Для защиты персональных данных ФСТЭК разработала Приказ №58 от 5 февраля 2010 года «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», а ФСБ разработала «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных». Ходят слухи о разработке в недрах ФСТЭК требований по защите платежных систем. То ли еще будет… И банк должен выполнять все эти разрозненные требования, которые не всегда совпадают на 100% друг с другом.

СТО же согласно стараниям Центрального Банка согласован со всеми регуляторами и заменяет все эти требования. В т.н. «письме шести» (исходящий номер №01-23/3148 от 28.06.2010), подписанном ЦБ, АРБ, АРБР, ФСТЭК, ФСБ и Роскомнадзором, написано, что Комплексом стандартов необходимо руководствоваться при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.

Так что лучше – следовать одному документу по защите разных видов конфиденциальной информации или нескольким документам регуляторов с требованиями к разным видам информации ограниченного доступа? Что лучше – следовать единым требованиям или пытаться реализовать их разные наборы (а ведь они не полностью совпадают)? Если банк выбирает СТО, то он должен быть введен в организации решением банковской организации. В этом случае СТО подлежит обязательному исполнению.

Но и это еще не все. Скоро вступит в силу закон «О национальной платежной системе», в котором на Банк России накладываются новые обязанности в части регулирования вопросов информационной безопасности участников платежной системы. Согласно одной из статей законопроекта «все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности», а согласно другой «Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям». Возникает закономерный вопрос – будет ли Банк России разрабатывать новые требования или возьмет в качестве основы существующий уже более пяти лет СТО?

В итоге мы приходим к выводу, что вопрос «выполнять или не выполнять СТО?» уже даже не стоит. Скорее вопрос надо переформулировать на «когда начать выполнение СТО?» И ответ на этот вопрос зависит от иных факторов.

Группа компаний "ИПП"
Группа компаний Институт проблем предпринимательства
ЧОУ "ИПП" входит
в Группу компаний
"Институт проблем предпринимательства"
Контакты
ЧОУ "Институт проблем предпринимательства"
190005, Санкт-Петербург,
ул. Егорова, д. 23а
Тел.: (812) 703-40-88,
тел.: (812) 703-40-89
эл. почта: [email protected]
Сайт: https://www.ippnou.ru


Поиск
Карта сайта | Контакты | Календарный план | Обратная связь
© 2001-2024, ЧОУ "ИПП" - курсы МСФО, семинары, мастер-классы
При цитировании ссылка на сайт ЧОУ "ИПП" обязательна.
Гудзик Ольга Владимировна,
генеральный директор ЧОУ «ИПП».
Страница сгенерирована за: 0.109 сек.
Яндекс.Метрика