Решение Ваших задач в области
информационной безопасности

Пресса о нас



20 Апреля 2012, пятница

Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Автор: Виталий Романов

О защите персональных данных сказано и написано бесконечно много. Тема банковского стандарта СТО БР ИББС освещена меньше. И для банков эти две темы сегодня можно объединить в одну.

Разработкой стандарта СТО БР ИББС Банк России занялся до принятия "152-го" закона, но после выхода ФЗ "О персональных данных" стандарт был доработан. Итогом работы этой группы специалистов и стал комплекс требований к защите персональных данных, учитывающий специфику деятельности российских кредитных организаций.

Таким образом, на сегодня у банков есть выбор: выполнять требования рекомендованного СТО БР, или изучать и руководствоваться в работе нормативно-правовыми актами регуляторов в сфере персональных данных. От первого варианта часто отказываются в силу того, что СТО БР носит рекомендательный характер. В то же время он имеет много плюсов. СТО БР описывает единый подход к построению системы обеспечения информационной безопасности (СОИБ), учитывает лучшие мировые практики менеджмента информационной безопасности, требования российского законодательства, а также отраслевую специфику.

В первую очередь стандарт предусматривает процессный подход к информационной безопасности. Защита ради защиты сегодня никому не нужна. Внедрение СТО БР позволит построить циклический и управляемый процесс обеспечения информационной безопасности. Немаловажным является и то, что стандарт гармонично объединяет в себе требования российского законодательства, в том числе требования к обеспечению безопасности персональных данных, и согласован с контролирующими органами ФСБ России, ФСТЭК России, Роскомнадзор и совершенствуется, в том числе в следующих направлениях:

  • гармонизация с требованиями к национальной платежной системе;
  • гармонизация с требованиями PCI DSS;
  • детализация требований по безопасности к системам ДБО;
  • разработка рекомендаций по выделению и назначению ролей.
  • Возможно, СТО БР недополучает внимания из-за сложности стандарта или дороговизны его внедрения. Есть и ряд типичных организационных проблем, из-за которых менеджмент банков отказывается от СТО БР:
  • менеджмент банка не видит вклада информационной безопасности в развитие бизнеса и, соответственно, не уделяет должного внимания вопросам обеспечения информационной безопасности;
  • в большинстве случаев служба информационной безопасности как структурное подразделение банка не сформирована, информационной безопасностью занимается отдельно выделенный сотрудник;
  • информационная безопасность в большинстве случаев сконцентрирована только на проблемных областях и не носит системного характера.

При этом внедрение СТО БР не может быть сведено только к разработке политик и процедур, а представляет собой построение системы, которая затрагивает деятельность многих структурных подразделений банка, включая СВК, IT, HR, BCM, риск-менеджмент и др.

Роль организатора среди множества этих участников должен брать на себя системный интегратор, обладающий достаточным персоналом и проектным опытом, поскольку процесс внедрения стандарта не прост.

К сожалению, в последние годы на волне подъема рынка появилось множество компаний, предоставляющих услуги в области информационной безопасности, но неспособных обеспечить их качество.

Названные проблемы отделяют российские банки от перспективного способа повышения защищенности, который гарантирует и выполнение требований регуляторов к защите персональных данных, и решение многих других актуальных задач в области информационной безопасности.

Внедренный стандарт СТО ИББС существенно облегчает процесс прохождения проверок Банка России в части требований к ИТ и ИБ инфраструктуре.

Читать оригинал интервью на сайте i-business.ru


Источник: i-business.ru

За любой информацией обращайтесь к нашим специалистам:
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.
Обратная связь

Обратная связь

Напишите ваш вопрос специалисту и вы получите ответ в течение 2-х часов.

* — Просим вас заполнить отмеченные поля, чтобы мы могли с вами связаться.

Отправить заявку