УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

       +7 (495) 231 23 51 Москва

       +7 (964) 778 99 27 Москва

       Дербеневская наб. д.7 стр. 5

Учебный центр Микротест / Статьи / Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Подписка
 
 


Отзывы наших клиентов

/upload/cimg_cache/772bbc506828b26e9464854927147cbb/7092675a42b7e13b2a505eaa6ce20802.png

Закрытое Акционерное Общество «Золото Северного Урала» выражает признательность всему коллективу Учебного центра «Микротест» за обучение специалистов ЗАО «Золото Северного Урала» по курсу: MS Outlook – «Электронная почта Microsoft Outlook». Слушатели высоко оценили уровень организации и проведения обучения, а также теоретический и практический опыт преподавателя УЦ «Микротест» Щеткина Максима Валерьевича. Учебный центр проявил себя, как квалифицированный партнер по обучению, поэтому мы будем рады продолжению нашего сотрудничества.

Заместитель управляющего директора по персоналу
А.Б.Черданцев

 
24.04.2012
Виталий Романов

О защите персональных данных сказано и написано бесконечно много. Тема банковского стандарта СТО БР ИББС освещена меньше. И для банков эти две темы сегодня можно объединить в одну.

Разработкой стандарта СТО БР ИББС Банк России занялся до принятия "152-го" закона, но после выхода ФЗ "О персональных данных" стандарт был доработан. Итогом работы этой группы специалистов и стал комплекс требований к защите персональных данных, учитывающий специфику деятельности российских кредитных организаций.

Таким образом, на сегодня у банков есть выбор: выполнять требования рекомендованного СТО БР, или изучать и руководствоваться в работе нормативно-правовыми актами регуляторов в сфере персональных данных. От первого варианта часто отказываются в силу того, что СТО БР носит рекомендательный характер. В то же время он имеет много плюсов. СТО БР описывает единый подход к построению системы обеспечения информационной безопасности (СОИБ), учитывает лучшие мировые практики менеджмента информационной безопасности, требования российского законодательства, а также отраслевую специфику.

В первую очередь стандарт предусматривает процессный подход к информационной безопасности. Защита ради защиты сегодня никому не нужна. Внедрение СТО БР позволит построить циклический и управляемый процесс обеспечения информационной безопасности. Немаловажным является и то, что стандарт гармонично объединяет в себе требования российского законодательства, в том числе требования к обеспечению безопасности персональных данных, и согласован с контролирующими органами ФСБ России, ФСТЭК России, Роскомнадзор и совершенствуется, в том числе в следующих направлениях:

  • гармонизация с требованиями к национальной платежной системе;
  • гармонизация с требованиями PCI DSS;
  • детализация требований по безопасности к системам ДБО;
  • разработка рекомендаций по выделению и назначению ролей.
  • Возможно, СТО БР недополучает внимания из-за сложности стандарта или дороговизны его внедрения. Есть и ряд типичных организационных проблем, из-за которых менеджмент банков отказывается от СТО БР:
  • менеджмент банка не видит вклада информационной безопасности в развитие бизнеса и, соответственно, не уделяет должного внимания вопросам обеспечения информационной безопасности;
  • в большинстве случаев служба информационной безопасности как структурное подразделение банка не сформирована, информационной безопасностью занимается отдельно выделенный сотрудник;
  • информационная безопасность в большинстве случаев сконцентрирована только на проблемных областях и не носит системного характера.

При этом внедрение СТО БР не может быть сведено только к разработке политик и процедур, а представляет собой построение системы, которая затрагивает деятельность многих структурных подразделений банка, включая СВК, IT, HR, BCM, риск-менеджмент и др.

Роль организатора среди множества этих участников должен брать на себя системный интегратор, обладающий достаточным персоналом и проектным опытом, поскольку процесс внедрения стандарта не прост.

К сожалению, в последние годы на волне подъема рынка появилось множество компаний, предоставляющих услуги в области информационной безопасности, но неспособных обеспечить их качество.

Названные проблемы отделяют российские банки от перспективного способа повышения защищенности, который гарантирует и выполнение требований регуляторов к защите персональных данных, и решение многих других актуальных задач в области информационной безопасности.

Внедренный стандарт СТО ИББС существенно облегчает процесс прохождения проверок Банка России в части требований к ИТ и ИБ инфраструктуре.


Автор статьи: Виталий Романов, руководитель группы аудита и консалтинга БН "Информационная безопасность" компании "Микротест".

Источник: i-business.ru

 

Комментарии Facebook

Комментарии ВКонтакте