Миф №93 «Стандарт Банка России по безопасности не обязателен к исполнению»

После принятия 21-го июня Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (сокращенно СТО) стало циркулировать немало слухов о необязательности или обязательности этих стандартов. Те, кто не любят жить по общим, да еще и спущенным сверху правилам, считают, что три разработанных стандарта и пять рекомендаций в области стандартизации «имени Банка России» многим не нужны и необязательны к применению. Такое мнение существует и под ним есть определенная почва, базирующаяся на двух моментах – ФЗ «О техническом регулировании» и тексте самого стандарта Банка России по информационной безопасности.

В ФЗ-184 «О техническом регулировании», в ст.12 указано, что стандарты применяются добровольно, а в 1-м раздел еСТО БР ИББС-1.0 написано «Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе, нормативными актами Банка России. Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях, требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации, применяются по решению организации БС РФ».

Однако, если де-юре СТО действительно носит рекомендательный характер, то на практике все обстоит немного иначе. Проверки Банка России, особенно в регионах, осуществляются именно на базе СТО. И даже если банк не присоединялся к Стандарту Банка России, это не мешает проверяющим указывать про несоответствие в акте проверке. И отчасти это понятно, ЦБ сам живет по этому стандарту и проверяющие руководствуются именно им при осуществлении своей деятельности.

Нежелание следовать положениям СТО отчасти заключается в непонимании его роли в обеспечении информационной безопасности в банке. Если сходу не отметать СТО, как ненужный или избыточный стандарт, то давайте посмотрим на него с точки зрения здравого смысла. Надо ли защищать информацию, циркулирующую в банке? Безусловно. Как минимум, банковскую тайну – этого от нас требует ст.26 закона «О банках и банковской деятельности». Но вся ли конфиденциальная информация ограничивается в банке только банковской тайной? Разумеется нет. Как минимум, существует еще два вида информации ограниченного доступа. Это коммерческая тайна и персональные данные. А если вспомнить «старые» СанПИНы, согласно которым в организации должны проводиться регулярные профилактические и медицинские осмотры, то у нас появляется еще и врачебная тайна. Глубокий анализ деятельности современного банка на информационном поприще может найти и другие виды информации, подлежащей защите в соответствие с требованиями российского законодательства. И вот тут начинается самое интересное.

Для защиты коммерческой тайны в России существуют требования регулятора в лице ФСТЭК (правда, пока не опубликованные) – «Методические рекомендации по технической защите информации, составляющей коммерческую тайну». Для защиты персональных данных ФСТЭК разработала Приказ №58 от 5 февраля 2010 года «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», а ФСБ разработала «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных». Ходят слухи о разработке в недрах ФСТЭК требований по защите платежных систем. То ли еще будет… И банк должен выполнять все эти разрозненные требования, которые не всегда совпадают на 100% друг с другом.

СТО же согласно стараниям Центрального Банка согласован со всеми регуляторами и заменяет все эти требования. В т.н. «письме шести» (исходящий номер №01-23/3148 от 28.06.2010), подписанном ЦБ, АРБ, АРБР, ФСТЭК, ФСБ и Роскомнадзором, написано, что Комплексом стандартов необходимо руководствоваться при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.

Так что лучше – следовать одному документу по защите разных видов конфиденциальной информации или нескольким документам регуляторов с требованиями к разным видам информации ограниченного доступа? Что лучше – следовать единым требованиям или пытаться реализовать их разные наборы (а ведь они не полностью совпадают)? Если банк выбирает СТО, то он должен быть введен в организации решением банковской организации. В этом случае СТО подлежит обязательному исполнению.

Но и это еще не все. Скоро вступит в силу закон «О национальной платежной системе», в котором на Банк России накладываются новые обязанности в части регулирования вопросов информационной безопасности участников платежной системы. Согласно одной из статей законопроекта «все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности», а согласно другой «Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям». Возникает закономерный вопрос – будет ли Банк России разрабатывать новые требования или возьмет в качестве основы существующий уже более пяти лет СТО?

В итоге мы приходим к выводу, что вопрос «выполнять или не выполнять СТО?» уже даже не стоит. Скорее вопрос надо переформулировать на «когда начать выполнение СТО?» И ответ на этот вопрос зависит от иных факторов.