Новая версия отраслевого стандарта

На сегодняшний день проблема защиты информационных систем персональных данных (ПДн) в кредитно-финансовых учреждениях является одной из наиболее актуальных и значимых. При этом до недавнего времени банки могли выполнять мероприятия по приведению своих систем в соответствие с требованиями законодательства исключительно на основе документов ФСТЭК и ФСБ. Одним из недостатков данного подхода является тот факт, что документы этих регуляторов не учитывают специфики банковской отрасли и в ряде случаев их реализация сопряжена с целым рядом сложностей. Понимая это, Банк России выпустил новую версию отраслевого стандарта СТО БР ИББС-1.0-2010, позволяя организациям, работающим в банковской системе РФ, выполнять требования ФЗ «О персональных данных».

Несмотря на рекомендательный характер, стандарт является основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности, в том числе и систем защиты персональных данных. Это стало возможным за счет того, что новая версия стандарта была согласована с регуляторами: Рос-комнадзором, ФСБ и ФСТЭК России.

Документы стандарта СТО БР ИББС разъяснили положения законодательства и требования регуляторов в области обеспечения безопасности персональных данных с учетом отраслевой специфики. Важно и то, что документы стандарта позволили значительно упростить требования к информационным системам персональных данных по сравнению с требованиями регуляторов.

Теперь у организаций банковской системы для обеспечения соответствия законодательным требованиям в области персональных данных есть два возможных пути: принять для себя СТО БР ИББС обязательным либо выполнять требования регуляторов (Роскомнадзо-ра, ФСТЭК и ФСБ России) согласно уже имеющимся документам. Для внедрения данного стандарта необходимо выполнить следующие этапы работ:
• Предварительная оценка соответствия информационной безопасности, выявление несоответствий требованиям стандарта СТО БР ИББС, а также разработка рекомендаций по устранению обнаруженных несоответствий.
• Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты и т.д.
• Оценка соответствия. По результатам этапа выпускается «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010», который должен быть направлен в адрес Банка России, Роскомнадзор, ФСТЭК России и ФСБ России.

Процесс внедрения СТО БР ИББС в банке можно разделить на два этапа: реализация мер, необходимых для защиты ПДн, внедрение системы менеджмента информационной безопасности.