В продолжении рубрики “Чего не требует от операторов закон о персональных данных” развенчаем на этот раз отраслевой миф о том, что присоединение банков к стандарту СТО БР ИББС избавляет их от необходимости соблюдения нормативно-правовых актов регуляторов в области персональных данных.
Ранее в данной рубрике нами уже были разобраны следующие распространенные заблуждения:
Заблуждение 1. Закон требует от операторов получения согласий на обработку ПДн от субъектов ПДн
Заблуждение 2. Оператор обязан уведомить Роскомнадзор об обработке персональных данных
Заблуждение 4: Операторы ПДн обязаны получать лицензию ФСТЭК на деятельность в области ТЗКИ
Следующее заблуждение получило очень широкое распространение в банковской среде. Оно может быть сформулировано следующим образом:
Заблужение 5: Банки, присоединившиеся к отраслевому стандарту СТО БР ИББС, могут не выполнять требования нормативных документов регуляторов (ФСТЭК, ФСБ и Роскомнадзора) в области персональных данных
Данное заблуждение возникло в связи с опубликованием Банком России совместно с АРБ так называемого письма шестерых, сообщающего о том, что:
- Банком России и иже с ним были разработаны отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных.
- Эти документы включают в себя так называемый Комплекс БР ИББС (всего 4 документа: СТО БР ИББС 1.0 “Общие положения”, СТО БР ИББС 1.2 “Методика оценки соответствия…”, “Отраслевая частная модель угроз…”, “Требования по обеспечению безопасности ПДн…”), а также Методические рекомендации по выполнению законодательных требований при обработке ПДн в организациях БС РФ.
- Документы Комплекса БР ИББС были согласованы с регуляторами (ФСТЭК, ФСБ и Роскомнадзором)
- Банк России рекомендует банкам ввести документы Комплекса БР ИББС у себя в качестве обязательных и руководствоваться ими при проведении работ по защите ПДн, а также банковской и коммерческой тайны.
Далее в письме описывается порядок работы по вводу Комплекса БР ИББС в действие.
В конце письма имеется заявление о том, что “в случае, если Комплекс БР ИББС в кредитной организации не вводится, то она должна руководствоваться нормативно-правовыми актами ФСТЭК, ФСБ и Роскомнадзора”. Из этого почему-то делается неправильный вывод о том, что банки, в которых вводится Комплекс БР ИББС, могут не руководствоваться нормативными документами регуляторов, хотя в письме об этом не говориться (иначе регуляторы его бы не подписали).
Реально дело обстоит следующим образом. Никто не мешает банкам и любым другим операторам ПДн присоединятся к любому стандарту, устанавливающему требования в области ПДн. Для этого не требуется никаких писем, подписанных регуляторами. С тем же успехом можно присоединиться к британскому стандарту BS 10012, к международным стандартам ISO 2700х, ввести у себя в организации в качестве обязательных российские ГОСТы или любые другие стандарты. Однако, если какие-то рекомендации используемых вами стандартов будут вступать в противоречие с требованиями законодательства и нормативной базы РФ в области персональных данных, то применять такие рекомендации очевидно не стоит.
Мы здесь не будем производить сравнение различных стандартов и рекомендаций в области персональных данных. Это тема для отдельной статьи. Мы было начали сопоставлять СТО БР ИББС с ISO 27001 в статье “Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности“, да пока оставили за ненужностью. Тем, кто внедряет СТО БР ИББС, чаще всего, нет дела до международных стандартов, а тем, кто ориентирован на международные стандарты, обычно СТО БР ИББС не требуется.
То, что рекомендации Банка России согласованы с регуляторами, можно только приветствовать. Однако разве только Банк России разрабатывает рекомендации в области персональных данных, в том числе и для банков? Сейчас многие организации и сообщества разрабатывают каждый свои рекомендации. Никто не мешает вам эти рекомендации применять в том случае, если вы находите это полезным.
Конечно не все существующие рекомендации в области персональных данных согласованы с регуляторами, однако никто не мешает вам это сделать самостоятельно. Регуляторы каждый день согласуют множество документов в области персональных данных для различных организаций и лицензиатов, включая модели угроз, ТЗ, ОРД, различные частные требования и рекомендации и т.п. Однако это не означает, что данные требования и рекомендации могут применяться вместо официльно принятых нормативных документов.
Выводы:
- Организации БС РФ могут использовать рекомендации Комплекса БР ИББС, как и любые другие рекомендации, если находят это полезным для себя, до тех пор, пока эти рекомендации не противоречат здравому смыслу или требованиям действующего законодательства и нормативной базы РФ в области персональных данных. Они также могут вводить Комплекс БР ИББС в качестве обязательных требований в своей организации, если считают нужным.
- Использование любых рекомендаций и присоединение к любым стандартам (международным, национальным или отраслевым) не избавляет организации от необходимости соблюдения требований действующего законодательства и нормативной базы (Эта фраза пишется жирными буквами на всех международных стандартах).
Оглавление
Comments (8)
Specialist 19-01-2011 04:49
Желтовато
Как-то однобоко рассмотрена суть вопроса и проскальзывает ангажированность и неприязнь к Банку России, мол они с корыстным умыслом толкают банки на внедрение Стандарта им не нужного. К тому же в заголовке фигурирует действительно миф “СТО БР позволяет ничего не делать по 152-ФЗ”, а в статье почему-то говориться, что и реальное внедрение стандарта – мероприятие бесполезное, и от регуляторов не защищает.
Да, действительно СТО БР законов и нормативов не отменяет, НО позволяет их гибко трактовать. Собственно единственная причина, по которой банкам выгодно внедрять этот стандарт, это волшебный пункт, который позволяет АБС не делать ИСПДН. А все мы знаем, если читаем эту статью, что АБС в банке – это самая громоздкая и сложная система, на приведение которой может уйти очень и очень много ресурсов. Почему-то ни слова не сказано о РС БР ИББС-2.3-2010, который кстати и устанавливает требования к защите ИСПН, и который содержит все те же требования, что и 58 Приказ.
Единственные, кому выгодно занижать ценность Стандарта – это интеграторы, ведь внедрение СТО БР обходится в разы дешевле, чем комплекс мероприятий по общепринятым методикам.
Александр Астахов 19-01-2011 06:19
присоединение к СТО БР ИББС
В своей статье я хотел сказать ровно то, что и сказал. Если бы я желал по этому вопросу добавить еще что-либо, то уж наверняка смог бы самостоятельно сформулировать свои мысли. Поэтому не стоит приписывать мне каких-то новых идей и, тем более, неприязни к Банку России. Мои доводы достаточно просты и прозрачны. Если желаете полемизировать со мной, тогда и цитируйте мои мысли в своих возражениях, а не свои собственные.
Выражение “СТО БР позволяет ничего не делать по 152-ФЗ” вы мне приписали. Я такого написать не мог, т.к. данное выражение не имеет смысла, поскольку СТО БР содержит рекомендации о том, что надо делать по ФЗ-152.
Где у меня написано, что внедрение СТО БР – мероприятие бесполезное?
Где вы у меня нашли рассуждения о защите от регуляторов?
Если БР договорился с остальными регуляторами о том, что АБС не относится к ИСПДн, то я не берусь здесь рассуждать плохо это или хорошо, но банкам однозначно меньше работы. Только какое это отношение имеет к внедрению СТО БР? Или для тех, кто внедряет СТО БР, АБС не относится к ИСПДн, а для всех остальных относится? На бред это не смахивает?
Я также не ставил перед собой цели делать обзор банковских стандартов и сравнивать их с 58 приказом ФСТЭК (без меня найдутся охотники этим заниматься), речь велась лишь о “комплексе БР ИББС”, о котором говорится в “письме шестерых”.
Обсуждать кому выгодно занижать, а кому выгодно завышать ценность стандарта мне неинтересно, т.к. этот вопрос не имеет никакого отношения к моей профессиональной деятельности. Но насчет того, что “внедрение СТО БР в разы дешевле… и т.д.” вы призагнули очень сильно. Бросается в глаза ваша ангажированность.
Tiger 21-01-2011 12:49
СТО
>Банки, присоединившиеся к отраслевому стандарту СТО БР ИББС, могут не выполнять требования нормативных документов регуляторов (ФСТЭК, ФСБ и Роскомнадзора) в области персональных данных
Требования СТО в области ПДн полностью соответствуют документам регуляторов, в конце рекомендаций даже перекрёстная табличка есть. Потому исполняя требования СТО оператор-банк автоматически исполняет требования нормативных документов регуляторов, что они же и подтвердили
Александр Астахов 21-01-2011 02:18
соответствие СТО требованиям регуляторов
Я ничего не говорил о сравнении требований СТО БР с требованиями регуляторов. Независимо от того, какой стандарт (или стандарты) вы у себя внедряете, полностью или неполностью эти стандарты соответствуют требованиям регуляторов, эти требования все-равно придется выполнять. Какая разница включены требования регуляторов в состав СТО БР или существуют в виде отдельных документов? Присоединяйтесь вы к чему хотите или не присоединяйтесь – в части обеспечения соответствия обязательным требованиям в области ПДн для вас ничего не поменяется, а что касается дополнительных рекомендаций, содержащихся в стандартах, то, как говорится, на то они и рекомендации.
Maksim S. Guslyaev 03-02-2011 08:40
СТО БР в контексте защиты ПДн
Полностью присоединяюсь к мнению, приведенному в статье, хотя, оно, конечно, будет неоднозначно воспринято в банковской среде. Ну, не может ни один стандарт подменять собой законы и нормативно-правовые акты органов власти.
Разработка стандартов, которые противоречат законодательству, только вносит хаос в и без того сложную ситуацию с обеспечением выполнения требований. И по хорошему не разработкой массы противоречевых отраслевых стандартов надо заниматься, а разработать адекватные унифицированные требования, единые для всех.
Alx 07-02-2011 08:07
про подмену
Вы ещё скажите что слово президента или тем более примера у нас в стране не может подменить закон. Вот и тут тоже самое большие дяди подписали вот и всё значит так и есть.
Specialist 10-02-2011 06:03
А никакой подмены нет
А СТО БР никаких законов и нормативов не подменяет! Более того, для банка ввод СТО БР может превратиться в очень долгую и болезненную процедуру, так как там требования не только и не столько к техническим средствам, но к менеджменту ИБ – а это не “континеты” в стопочки складывать.
Безусловно, Банк России пошел на хитрость, впихнув в стандарт слова, общий смысл которых: перс. данные в АБС – это не перс. данные, а банковская тайна, а АБС в банке, это считай любая система, кроме кадровой, да клиентской. Но ведь все регуляторы с этим согласились? – Согласились, а у нас в стране принято “за базар отвечать…” Кроме того не забываем, что ЦБ таким образом дает “крышу” тем, кто с ними в ногу идет. ЦБ уже говорит, что при проверках по 152-ФЗ в банках всегда будет представитель от ЦБ (функция его, я думаю, Вам понятна). Не считайте банкиров глупыми – если они внедряют в своих банках этот стандарт, как меру против 152-ФЗ значит на это у них есть серьезные основания.
Кстати, просто к слову, не видел еще ни одного банка, который бы принял Стандарт и “сел на пятую точку” в бездействии – все шевелятся и ищут выход – либо приглашают спецов, либо пытаются сами выплыть. А те кто ничего не делают, руководствуются своим смыслом – им проще заплатить штраф или взятку, чем заниматься какой-то там безопасностью.
Александр Астахов 10-02-2011 11:43
СТО БР законов не подменяет
Просто диву даешься от таких рассуждений.
СТО БР никаких законов и нормативов не подменяет. Он просто переопределяет вводимые законом базовые понятия и требования, включая ИСПДн, ПДн и т.п., дает указания относительно получения лицензий на защиту информации, заменяет моделирование угроз безопасности ПДн “присоединением” к отраслевой модели угроз и т.д. 🙂
Не может не умилять очевидная для всех “хитрость” с неотнесением АБС к ИСПДн, обещания предоставления “крыши” присоединившимся банкам (или это шутка такая?), институт “народных комиссаров” ЦБ, которые будут присутствовать при проверках (как вы себе это представляете? регламент их работы уже определен? комиссары назначены?), тезис о внедрении стандарта как “меры против ФЗ-152”.
Вы это все на полном серьезе говорите?