После согласования Комплекса БР ИББС с регуляторами и опубликования нашумевшего «письма шестерых» о присоединении к СТО БР, банковское сообщество по отношению к выполнению требований в области персональных данных фактически раскололось на две части: на присоединившихся и на неприсоединившихся. Почему так произошло и кому из них лучше живется?
Данную тему мы начали с рассмотрения банковского мифа о присоединении к СТО БР.
Этот миф мы рассмотрели в следующей формулировке:
Однако, данный миф оказался несколько более сложным и глубже укоренившимся, поэтому рассмотрим его теперь в следующей формулировке:
Заблуждение 6. Присоединение к отраслевому стандарту СТО БР ИББС дает банкам существенное преимущество (перед неприсоединившимися банками) в виде упрощения реализации нормативных требований в области персональных данных
Опубликование «письма шестерых«, а также разработка и согласование с регуляторами документов Комплекса БР ИББС, на которые оно ссылается, имеет две очевидные цели (не берусь судить о том, какая из них превалирует):
- Сподвигнуть банки к введению СТО БР ИББС в качестве обязательного для выполнения
- Облегчить банкам бремя обеспечения соответствия требованиям законодательства и нормативной базы в области персональных данных
По замыслу разработчиков Комплекса БР ИББС достижение второй цели должно вытекать из первой, другими словами, внедряя СТО БР ИББС банки облегчают себе задачу обеспечения соответствия законодательным требованиям в области персональных данных. Возможно это так и есть, но возникает ряд закономерных вопросов:
- За счет чего внедрение СТО БР облегчает задачу обеспечения соответствия в области ПДн?
- Можно ли достигнуть того же результата не вводя СТО БР в качестве обязательного и не беря на себя связанных с этим дополнительных обязательств?
- Область действия СТО БР значительно шире, чем задача обеспечения безопасности персональных данных. Можно ли воспользоваться только теми рекомендациями СТО БР, которые относятся к персональным данным, не внедряя стандарта в полном объеме? (Например, если банк уже использует другие стандарты в области ИБ).
- Не придется ли вместо одного проекта по созданию СЗПДн и обеспечению соответствия требованиям в области персональных данных, реализовывать сразу два проекта: и внедрения СТО БР и обеспечения соответствия требованиям законодательства и нормативной базы в области ПДн? Не дороже ли это выйдет?
- Регуляторы подтвердили, подписав «письме шестерых», что Комплекс БР ИББС не содержит противоречий с их требованиями. Однако не понятно, охватывают ли эти документы все требования регуляторов. Выполняя требования СТО БР, выполняем ли мы при этом все требования регуляторов?
- и т.д.
Если бы не было первой цели, связанной с продвижением СТО БР, не просто путем его популяризации, а путем введения его в качестве обязательного в организациях БС РФ, то не возникало бы и всех перечисленных выше вопросов. Можно было просто выпустить те же самые рекомендации для банков по наиболее затратным и спорным вопросам, связанным с выполнением требований действующего законодательства и нормативной базы в области ПДн, согласовать эти рекомендации (трактовки нормативных требований) с регуляторами, предложить Правительству РФ и законодателям рассмотреть соответствующие поправки и т.д.
Это и было сделано и будет делаться далее. Ни в коем случае не хотелось бы умолять заслуг тех людей и со стороны ЦБ и со стороны АРБ и других организаций, которые принимают участие в работе над совершенствованием законодательства и нормативной базы в области защиты информации вообще и персональных данных, в частности. Однако весьма естественное стремление ЦБ непременно присоединить все банки к СТО БР портит все дело, т.к. намеренно перемешиваются два вопроса, между которыми нет прямой связи: вопрос об использовании согласованных с регуляторами рекомендаций Банка России в области персональных данных и вопрос о присоединении к стандарту СТО БР.
Получается, что согласованные с регуляторами «послабления» предлагаются банкам не задаром, а взамен обязательного присоединения к СТО БР, что означает для банков проведение значительно более широкого и затратного комплекса мероприятий по защите информации, выходящего далеко за рамки вопросов защиты ПДн, регулярное проведение оценок и самооценок по СТО БР с предоставлением соответствующей отчености регуляторам. Никто не говорит о том, что эти мероприятия не полезны для банков и что их не надо реализовывать. Внедрение СТО БР наверняка приведет к повышению уровня защищенности информационных активов банка по сравнению с банком, который не реализует никаких особенных систематических мер в области защиты информации. Однако не стоит забывать о том, что по закону каждая организация имеет право сама выбирать какие стандарты и в каком объеме ей использовать, а также о том, что помимо СТО БР, существует еще большое количество стандартов, которые с успехом могут применяться в банке и также способствовать повышению уровня защищенности его информационных активов.
Банкам, не желающим присоединяться к СТО БР и делать его для себя обязательным (хотя возможно и использующим отдельные рекомендации из данного стандарта), никто помогать оказывается и не собирался. Мол не хотите принимать наш стандарт целиком в добровольно-принудительном порядке — крутитесь тогда сами. В результате происходит раскол банковского сообщества на две части: на присоединившихся и на неприсоединившихся к СТО БР. Для первой группы регулирование вопросов защиты ПДн, а заодно и других вопросов защиты информации, берет на себя Банк России через СТО БР, который урегулирует возникающие несостыковки с регуляторами. Вторая группа существует сама по себе, не обращая внимания на рекомендации ЦБ в области персональных данных. При этом обе группы подвержены проверкам со стороны всех регуляторов: и ЦБ и ФСТЭК и ФСБ и Роскомнадзора. Различие только в том, что для первой группы согласованы «поблажки», но зато обязательны требования СТО БР, а для второй «поблажки» не согласованы», зато не обязательно выполнение требований СТО БР.
Вот и опухают мозги у банкиров. Что им делать? «Уйти под крыло ЦБ», присоединившись к СТО БР и взяв на себя дополнительные обязательства и немалые расходы, связанные с их выполнением, или остаться один на один с регуляторами в области персональных данных без поддержки ЦБ? Кто для банка страшнее: ЦБ или прочие регуляторы и в чем заключается поддержка ЦБ в случае присоединение к СТО БР?
Поддержка ЦБ, предоставляемая банкам, присоединившимся к СТО БР, выражается в некотором упрощении требований нормативной базы в области персональных данных. Упрощения эти представляют собой согласованные с регуляторами трактовки требований законодательства и нормативной базы, смягчающие эти требования. Поверхностный анализ Комплекса БР ИББС позволяет выделить четыре основных упрощения:
- Банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации
- Банки могут не относить АБС к ИСПДн
- Банки могут не разрабатывать частные модели угроз безопасности ПДн, а присоединиться к общей отраслевой модели угроз
- Банки могут реализовывать упрощенные наборы требований по защите персональных данных, состав которых зависит только от категории обрабатываемых ПДн
Эти упрощения заметно сокращают объем работы и соответствующие затраты на обеспечение соответствия в области персональных данных. Упрощения эти согласованы с регуляторами. И, наконец, самое главное, что упрощения эти могут использоваться всеми банками, независимо от того, к чему они присоединились! Для этого, в своей внутренней политике безопасности (или в Положении об обработке и защите персональных данных или в Концепции обеспечения безопасности персональных данных) банку следует прописать те положения СТО БР, которыми он руководствуется при осуществлении мероприятий по обеспечению безопасности персональных данных (наряду с положениями прочих стандартов и нормативных документов, которыми банк руководствуется в данных вопросах). Оспаривать правомочность такого решения никто не сможет.
Действительно, кто мешает любому банку на законных основаниях использовать те рекомендации СТО БР, которые он считает для себя полезными и не использовать прочие? С регуляторами эти рекомендации согласованы. Несмотря на то, что ко всем этим рекомендациям имеются приписки, что они действуют только для «присоединившихся» банков, но мы в это не верим. Как такое может быть, чтобы АБС относилась к ИСПДн для одних банков и не относилась к ИСПДн для других или чтобы лицензирование в области ТЗКИ зависело от использования тех или иных стандартов или чтобы согласованная с регуляторами отраслевая модель угроз могла использоваться в одних банках и не могла использоваться в других? Этого быть не может, т.к. противоречит здравому смыслу. Уверен, что никто из регуляторов не будет настаивать на подобных абсурдных утверждениях. Да потом, сами регуляторы не имеют заинтересованности в том, чтобы банки непременно внедряли СТО БР. Это их хлеб отнимает.
Обобщая все приведенные выше рассуждения можно сделать следующие выводы:
- Банк России совместно с АРБ проделал (и продолжает) достаточно серьезную и полезную работу по стандартизации в области информационной безопасности и персональных данных. Согласованные им с регуляторами «упрощения» нормативных требований в области персональных данных, позволяют значительно сократить расходы банков на обеспечения соответствия в данной области. За это им даже можно простить некоторое лукавство, имеющее целью сподвигнуть банки к внедрению СТО БР. Ведь цели эти благие и, в конечном счете, должны способствовать повышению защищенности банковской системы РФ.
- Любые банки, независимо от того, к каким стандартам они присоединились или не присоединились, могут использовать любые рекомендации СТО БР в области персональных данных в том объеме, в котором они считают нужным. Мы можем рекомендовать всем банкам с целью минимизации своих расходов на защиту ПДн использовать те согласованные с регуляторами «упрощения» (в виде соответствующих рекомендаций СТО БР), о которых говорилось выше.
- Вопрос относительно присоединения к СТО БР или к любому другому стандарту, путем введения этого стандарта у себя в качестве обязательного, никак не связан ни с возможностью использования банком согласованных с регуляторами рекомендаций в области персональных данных, ни с необходимостью выполнения всех обязательных требований законодательства и нормативной базы в области персональных данных. Нормативные требования необходимо выполнять. Любые рекомендации можно использовать по своему усмотрению в том случае, если они не противоречат законодательным или нормативным требованиям.
PS
Пунк 1 из перечисленных выше «поблажек», говорящий о том, что «банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации», при ближайшем рассмотрении, «поблажкой» не является. Данный вопрос разбирается в статье:
Присоединение к СТО БР и лицензирование в области ТЗКИ: есть ли связь?
Остальные три «поблажки»: насчет не отнесения АБС к ИСПДн, отраслевой модели угроз и упрощения требований 58 приказа ФСТЭК, также вызывают множество сомнений.
Оглавление
Comments (9)
Tiger 28-01-2011 04:53
СТО БР
Мне показалось как будто две статьи склеили, причем с противоположным смыслом ))
>Получается, что согласованные с регуляторами «послабления» предлагаются банкам не задаром, а взамен обязательного присоединения к СТО БР
№1>Банкам, не желающим присоединяться к СТО БР и делать его для себя обязательным (хотя возможно и использующим отдельные рекомендации из данного стандарта), никто помогать оказывается и не собирался.
Сначала читаю, соглашаюсь и возмущаюсь вместе с вами двуличности банка. )
Но тут вдруг вторая часть .. я ее определил со слов
>Поддержка ЦБ, предоставляемая банкам, присоединившимся к СТО БР
И далее
№2>И, наконец, самое главное, что упрощения эти могут использоваться всеми банками, независимо от того, к чему они присоединились!
Так все таки -№1 или №2? Не собирался никто помогать неприсоединившимся или все-таки чем-то можно воспользоваться? Определитесь )
Далее
>Мы можем рекомендовать всем банкам с целью минимизации своих расходов на защиту ПДн использовать те согласованные с регуляторами «упрощения»
Или все-таки
>Пунк 1 из перечисленных выше «поблажек»,
и
>Остальные три «поблажки»: насчет не отнесения АБС к ИСПДн, отраслевой модели угроз и упрощения требований 58 приказа ФСТЭК, также вызывают множество сомнений.
Так рекомендуете или нет все-таки? )
Еще просто вопрос, возникший по всем статьям :
>Мы можем рекомендовать
Мы это кто? Это вы лично или коллектив авторов? Или ГлобалТраст?
Просто режет слух сильно. ИМХО лучше написать или Мы в ГлобалТраст или просто Я.
Последний момент
>Никто не говорит о том, что эти мероприятия не полезны для банков и что их не надо реализовывать. Внедрение СТО БР наверняка приведет к повышению уровня защищенности информационных активов банка по сравнению с банком, который не реализует никаких особенных систематических мер в области защиты информации.
Это основное в общем-то, почему предлагается внедрять стандарт и почему его навязывают как вы говорите.
Вопрос именно так и стоит – будете защищать или нет.
И этот довод
>Однако не стоит забывать о том, что по закону каждая организация имеет право сама выбирать какие стандарты и в каком объеме ей использовать, а также о том, что помимо СТО БР, существует еще большое количество стандартов,
сомнительный т.к. по ИСО то 1,5 банка сертифицированы, а что уж про другие стандарты говорить.
Вы с ними ситуацию намного лучше меня знаете, но вот я бы не стал NIST скажем внедрять только из-за того, что он не переведен и мне это неудобно, а по ИСО ГОСТ даже сделан (бесплатный )), так что так.. Т.е альтернатива банковскому стандарту для банка это ИСО 27х, но если учесть что СТО БР сделан по ИСО, то разница есть конечно, но велика ли?
поскриптум )
Я ни в коем случае не хотел как –то пренебрежительно отозваться как о вас так и о ваших статьях.
Спасибо за них, я со многим соглашаюсь кстати, как и за регулярные ответы )
Александр Астахов 28-01-2011 10:06
СТО БР
1) То, что неприсоединившимся банкам помогать не собирались, следует из формулировок, которые мы находим в «письме шестерых». Тем не менее, по факту, любые банки могут воспользоваться согласованными с регуляторами рекомендациями, упрощающими им работу по обеспечению соответствия ФЗ-152, и мы можем рекомендовать им это сделать. Ни к чему присоединяться для этого не требуется. Таким образом, не собирались помогать, а помогли.
2) Фактически все перечисленные поблажки носят сомнительный характер и несут в себе противоречия со здравым смыслом. Но раз они согласованы с регуляторами, то почему бы ими не воспользоваться для упрощения себе работы по обеспечению формального соответствия? Не только рекомендации СТО БР, но и вся существующая система регулирования в области ИБ содержит массу противоречий. Это известно всем специалистам, включая самих регуляторов. Вот вам и предоставляются лазейки, позволяющие формально обеспечить соответствие и при этом не разориться. Будет усовершенствовано законодательство и нормативная база, усовершенствуются и методы обеспечения соответствия.
3) Я говорю от второго лица «МЫ», имея ввиду ни какую-то конкретную организацию, ни ГлобалТраст, ни каких-то своих соавторов, а себя и тех людей, которые разделяют мои взгляды. Любая публикуемая статья, которая носит полемический характер, а не является констатацией устоявшихся стереотипов и официальных точек зрения, многократно перепечатываемых из одного источника в другой, всегда делит аудиторию примерно на три равные части: тех, кто поддерживает автора, тех, кто активно выступает против и выражает свое несогласие и тех, кто сохраняет нейтралитет. Говоря «мы», я говорю от лица первой группы, от себя лично и от тех людей, которые со мной солидарны. Если бы я все время «якал», это резало бы слух еще больше.
4) Между ISO 27х и СТО БР существует огромная разница. Внедрять СТО БР могут только те банки, которые не знают и не понимают ISO 27х. Точно также как владелец мерседеса ни за что по собственной воле не пересядет на жигули, сделанном когда-то на базе Фиата. На жигулях тоже можно ездить, но на качественно другом уровне.
Tiger 29-01-2011 09:33
Re
>Вот вам и предоставляются лазейки, позволяющие формально обеспечить соответствие и при этом не разориться.
Спасибо ;-). Но вот тут вы точно неправы если под словом Вам имеете ввиду меня, т.к. я никак к банковскому сектору, увы, не отношусь, если не считать, что я слежу, безусловно, за всей деятельность банковского сектора в сфере ИБ. Поэтому в ангажированности относительно СТО БР меня трудно заподозрить;-)
Tiger 30-01-2011 09:59
Мы
>Я говорю от второго лица «МЫ», имея ввиду ни какую-то конкретную организацию, ни ГлобалТраст, ни каких-то своих соавторов, а себя и тех людей, которые разделяют мои взгляды.
Такое определение вызывает массу смешных противоречий (наподобие ваших же вопросов по СТО БР и ФЗ152), однако я опасаюсь злоупотреблять вашим вниманием т.к. тема имхо незначительна 😉
Александр Астахов 30-01-2011 10:08
про «мы»
Честно говоря, привычка излагать материал от второго лица сформировалась у меня еще в институте, т.к. это позволяет в любой момент добавить соавторов, не изменяя текста статьи 🙂
потом многих людей коробит, когда автор все время «якает», как будто все излагаемые мысли принадлежат исключительно ему.
АИБ 01-02-2011 07:07
СТО
ЦБ поступает правильно. СТО направлены на обеспечение ИБ в целом, а защита ПДн будет автоматически обеспечена «в том числе». Компроментация информации, которая не относится к ПДн (например о ЮЛ), влечет для банка более серьезные последствия, и защищать ее надо лучше, а за одно и ПДн.
Александр Астахов 01-02-2011 07:29
СТО БР
Защищать информацию всю в целом, с «автоматической защитой» ПДн, да еще в одной связке с ЦБ — это наверное для кого-то и круто. Только мы здесь обсуждали более прозаичный вопрос об особенностях реализации в банке нормативных требований регуляторов в области защиты ПДн.
IBSec 08-02-2011 09:45
Банки могут не относить АБС к ИСПДн
С возможностью неотнесения АБС к ИСПДн в случае не присоединения к СТО БР Вы уж загнули.
Тут же вся фишка в том, что в рамках СТО БР к ИСПДн не относятся платежные АБС, в которых защита ПДн обеспечивается в режиме зажиты банковской тайны, в том числе за счет реализации положений СТО БР.
Таким образом, если банк принимает СТО БР, то он должен выполнять требования стандарта и в отношении защиты сведений, составляющих банковскую тайну, в том числе и ПДн, входящих в эти сведения.
Банки же, не принявшие стандарт, не могут просто выделить из ИСПДн платежные АБС, не беря на себя обязательств по их защите.
Поэтому, я считаю, что Ваше утверждение о том, что любой банк без принятия СТО БР может тупо выполнить рекомендации ЦП по ПДн и этим ограничиться, является в корне неверным.
И вообще эти две статьи про СТО БР уж излишни эмоциональны, не хватает рациального подхода к рассмотрению вопроса.
Александр Астахов 08-02-2011 10:29
неотнесение АБС к ИСПДн
>в рамках СТО БР к ИСПДн не относятся платежные АБС, в которых защита ПДн обеспечивается в режиме зажиты банковской тайны, в том числе за счет реализации положений СТО БР.
Вы только людей запутываете. Выражение «в рамках СТО БР к ИСПДн не относятся платежные АБС» лишено всякого смысла. Понятие ИСПДн определяется законом, а не стандартами. Присоединение к любому стандарту не может отменять требований и определений, которые вводятся ФЗ, ПП и нормативными документами. Не могут ПДн, ИСПДн и прочие определения ФЗ-152 для одних значить одно, а для других другое, к чему бы кто не присоединялся. Режим банковской тайны с успехом может быть реализован без СТО БР, данный стандарт не является необходимым условием для этого.
>Таким образом, если банк принимает СТО БР, то он должен выполнять требования стандарта и в отношении защиты сведений, составляющих банковскую тайну, в том числе и ПДн, входящих в эти сведения.
А если банк не принимает СТО БР, то ему и нет необходимости выполнять требования данного стандарта в отношении любых сведений.
>Банки же, не принявшие стандарт, не могут просто выделить из ИСПДн платежные АБС, не беря на себя обязательств по их защите.
Они могут точно также выделить платежные АБС, взяв на себя обязательства по их защите. Причем здесь СТО БР?
>Поэтому, я считаю, что Ваше утверждение о том, что любой банк без принятия СТО БР может тупо выполнить рекомендации ЦП по ПДн и этим ограничиться, является в корне неверным.
Ни в коем случае не надо ограничиваться рекомендациями ЦБ по ПДн. Существует целая куча стандартов, методик и рекомендаций, которые можно применять и для защиты ПДн и для защиты банковской тайны. Вы о других стандартах, кроме СТО БР, разве не слыхали?
>И вообще эти две статьи про СТО БР уж излишни эмоциональны, не хватает рациального подхода к рассмотрению вопроса.
Для того, чтобы рационально рассматривать данный вопрос, вам не хватает более широкого взгляда на проблему. Вы ограничили свое видение предметной области рамками СТО БР, который похоже заменяет вам и законодательство и номативную базу и все стандарты вместе взятые.