УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

+7 (495) 231-23-51 Москва

+7 (964) 778-99-27 Москва

+7 (343) 286-17-86 Екатеринбург

+7 (3452) 68-88-99 Тюмень

Учебный Центр «Микротест» - обучение и сертификация IT-специалистов
Учебный центр Микротест / Статьи / Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Подписка
 
 


Отзывы наших клиентов

/upload/cimg_cache/f28b42a17d6ab0113a20b7a32ec1c028/d524d6ba1f0172552e7e9a79290b626d.png

Выражаю благодарность коллективу Учебного центра «Микротест» за качественно организованное обучение специалистов нашего предприятия по курсам Microsoft. Преподаватели Учебного центра обладают высокой квалификацией и практическим опытом, доступное и четкое изложение материала, внимательное отношение к слушателям. Отдельно следует отметить условия работы: в учебном классе создана комфортная обстановка, для перерывов организованы отдельные зоны отдыха вне классов. ФГУП «РФЯЦ ВНИИТФ им.академика Е.И.Забабахина» планирует продолжать сотрудничество в дальнейшем.

Сугоняев В.Г.,
Заместитель начальника отдела кадров

 
24.04.2012
Виталий Романов

О защите персональных данных сказано и написано бесконечно много. Тема банковского стандарта СТО БР ИББС освещена меньше. И для банков эти две темы сегодня можно объединить в одну.

Разработкой стандарта СТО БР ИББС Банк России занялся до принятия "152-го" закона, но после выхода ФЗ "О персональных данных" стандарт был доработан. Итогом работы этой группы специалистов и стал комплекс требований к защите персональных данных, учитывающий специфику деятельности российских кредитных организаций.

Таким образом, на сегодня у банков есть выбор: выполнять требования рекомендованного СТО БР, или изучать и руководствоваться в работе нормативно-правовыми актами регуляторов в сфере персональных данных. От первого варианта часто отказываются в силу того, что СТО БР носит рекомендательный характер. В то же время он имеет много плюсов. СТО БР описывает единый подход к построению системы обеспечения информационной безопасности (СОИБ), учитывает лучшие мировые практики менеджмента информационной безопасности, требования российского законодательства, а также отраслевую специфику.

В первую очередь стандарт предусматривает процессный подход к информационной безопасности. Защита ради защиты сегодня никому не нужна. Внедрение СТО БР позволит построить циклический и управляемый процесс обеспечения информационной безопасности. Немаловажным является и то, что стандарт гармонично объединяет в себе требования российского законодательства, в том числе требования к обеспечению безопасности персональных данных, и согласован с контролирующими органами ФСБ России, ФСТЭК России, Роскомнадзор и совершенствуется, в том числе в следующих направлениях:

  • гармонизация с требованиями к национальной платежной системе;
  • гармонизация с требованиями PCI DSS;
  • детализация требований по безопасности к системам ДБО;
  • разработка рекомендаций по выделению и назначению ролей.
  • Возможно, СТО БР недополучает внимания из-за сложности стандарта или дороговизны его внедрения. Есть и ряд типичных организационных проблем, из-за которых менеджмент банков отказывается от СТО БР:
  • менеджмент банка не видит вклада информационной безопасности в развитие бизнеса и, соответственно, не уделяет должного внимания вопросам обеспечения информационной безопасности;
  • в большинстве случаев служба информационной безопасности как структурное подразделение банка не сформирована, информационной безопасностью занимается отдельно выделенный сотрудник;
  • информационная безопасность в большинстве случаев сконцентрирована только на проблемных областях и не носит системного характера.

При этом внедрение СТО БР не может быть сведено только к разработке политик и процедур, а представляет собой построение системы, которая затрагивает деятельность многих структурных подразделений банка, включая СВК, IT, HR, BCM, риск-менеджмент и др.

Роль организатора среди множества этих участников должен брать на себя системный интегратор, обладающий достаточным персоналом и проектным опытом, поскольку процесс внедрения стандарта не прост.

К сожалению, в последние годы на волне подъема рынка появилось множество компаний, предоставляющих услуги в области информационной безопасности, но неспособных обеспечить их качество.

Названные проблемы отделяют российские банки от перспективного способа повышения защищенности, который гарантирует и выполнение требований регуляторов к защите персональных данных, и решение многих других актуальных задач в области информационной безопасности.

Внедренный стандарт СТО ИББС существенно облегчает процесс прохождения проверок Банка России в части требований к ИТ и ИБ инфраструктуре.


Автор статьи: Виталий Романов, руководитель группы аудита и консалтинга БН "Информационная безопасность" компании "Микротест".

Источник: i-business.ru

 

Комментарии Facebook

Комментарии ВКонтакте