![]() |
Статьи Как команде строитьсяРаботодатели вживляют чипы сотрудникамAgile в личной жизниСети набираются опта «Магнит» хочет стать крупным дистрибутором Задачи тревел-менеджера… под силу роботу?8 основных маркетинговых трендов, которые будут главенствовать в 2017 годуСтатья является переводом одноименной статьи, написанной автором Дипом Пателем для известного англоязычного журнала «Entrepreneur» Нужно стараться делать шедеврыО том, почему для девелопера жилец первичен, а дом вторичен Интервью Лента новостей Более 60 женщин планируют подать в суд на Google из-за завышенных зарплат у мужчинМировой финал Global Management Challenge 2019 пройдет в России«Мегафон» станет единственным владельцем «Евросети»Магазин игрушек Disney появится в России осенью 2017 годаВ Castorama придумали интерактивные обои, рассказывающие детям сказки |
|||||||
Миф №93 «Стандарт Банка России по безопасности не обязателен к исполнению»Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems Источник: Банкир.ру добавлено: 07-12-2010
просмотров: 5772 В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности"
В ФЗ-184 «О техническом регулировании», в ст.12 указано, что стандарты применяются добровольно, а в 1-м раздел еСТО БР ИББС-1.0 написано «Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе, нормативными актами Банка России. Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях, требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации, применяются по решению организации БС РФ». Однако, если де-юре СТО действительно носит рекомендательный характер, то на практике все обстоит немного иначе. Проверки Банка России, особенно в регионах, осуществляются именно на базе СТО. И даже если банк не присоединялся к Стандарту Банка России, это не мешает проверяющим указывать про несоответствие в акте проверке. И отчасти это понятно, ЦБ сам живет по этому стандарту и проверяющие руководствуются именно им при осуществлении своей деятельности. Нежелание следовать положениям СТО отчасти заключается в непонимании его роли в обеспечении информационной безопасности в банке. Если сходу не отметать СТО, как ненужный или избыточный стандарт, то давайте посмотрим на него с точки зрения здравого смысла. Надо ли защищать информацию, циркулирующую в банке? Безусловно. Как минимум, банковскую тайну – этого от нас требует ст.26 закона «О банках и банковской деятельности». Но вся ли конфиденциальная информация ограничивается в банке только банковской тайной? Разумеется нет. Как минимум, существует еще два вида информации ограниченного доступа. Это коммерческая тайна и персональные данные. А если вспомнить «старые» СанПИНы, согласно которым в организации должны проводиться регулярные профилактические и медицинские осмотры, то у нас появляется еще и врачебная тайна. Глубокий анализ деятельности современного банка на информационном поприще может найти и другие виды информации, подлежащей защите в соответствие с требованиями российского законодательства. И вот тут начинается самое интересное. Для защиты коммерческой тайны в России существуют требования регулятора в лице ФСТЭК (правда, пока не опубликованные) – «Методические рекомендации по технической защите информации, составляющей коммерческую тайну». Для защиты персональных данных ФСТЭК разработала Приказ №58 от 5 февраля 2010 года «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», а ФСБ разработала «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных». Ходят слухи о разработке в недрах ФСТЭК требований по защите платежных систем. То ли еще будет… И банк должен выполнять все эти разрозненные требования, которые не всегда совпадают на 100% друг с другом. СТО же согласно стараниям Центрального Банка согласован со всеми регуляторами и заменяет все эти требования. В т.н. «письме шести» (исходящий номер №01-23/3148 от 28.06.2010), подписанном ЦБ, АРБ, АРБР, ФСТЭК, ФСБ и Роскомнадзором, написано, что Комплексом стандартов необходимо руководствоваться при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне. Так что лучше – следовать одному документу по защите разных видов конфиденциальной информации или нескольким документам регуляторов с требованиями к разным видам информации ограниченного доступа? Что лучше – следовать единым требованиям или пытаться реализовать их разные наборы (а ведь они не полностью совпадают)? Если банк выбирает СТО, то он должен быть введен в организации решением банковской организации. В этом случае СТО подлежит обязательному исполнению. Но и это еще не все. Скоро вступит в силу закон «О национальной платежной системе», в котором на Банк России накладываются новые обязанности в части регулирования вопросов информационной безопасности участников платежной системы. Согласно одной из статей законопроекта «все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности», а согласно другой «Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям». Возникает закономерный вопрос – будет ли Банк России разрабатывать новые требования или возьмет в качестве основы существующий уже более пяти лет СТО? В итоге мы приходим к выводу, что вопрос «выполнять или не выполнять СТО?» уже даже не стоит. Скорее вопрос надо переформулировать на «когда начать выполнение СТО?» И ответ на этот вопрос зависит от иных факторов. Популярные статьи по теме:
↑ Наверх |
Контакты ![]() ЧОУ "Институт проблем предпринимательства"
190005, Санкт-Петербург,
ул. Егорова, д. 23а Поиск
|