УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

+7 (495) 231-23-51 Москва

+7 (964) 778-99-27 Москва

+7 (343) 286-17-86 Екатеринбург

+7 (3452) 68-88-99 Тюмень

Учебный Центр «Микротест» - обучение и сертификация IT-специалистов
Учебный центр Микротест / Статьи / Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Персональные данные в банках: только соответствие требованиям, или реальная защищенность?

Подписка
 
 


Отзывы наших клиентов

/upload/cimg_cache/48caa02fec44d8aafb98c4d6c650afeb/binder1_1_3-_-kopiya.png

ООО "Газпром добыча Надым" выражает благодарность коллективу НОУ ДПО Учебный центр "Микротест" за своевременное и качественное оказание услуг по программе обучения VMware. По итогам проведенных курсов отмечено высокое качество преподавания - профессионализм лектора, коммуникативные умения, способность ответить на любые вопросы аудитории, наличие большого количества лабораторных работ и наглядных материалов. Большое количество приводимых примеров произвели хорошее впечатление на участников, что позволило лучше освоить новый материалов, а также структурировать и повысить качество уже имеющихся знаний. Отдельно хочется отметить хорошую организацию тренинга, ответственность и доброжелательность сотрудников компании. Желаем Вам успехов в работе и надеемся продолжить в дальнейшем успешно реализовывать проекты по обучению и развитию персонала с Учебным центром Микротест.

Зам. генерального директора по управлению персоналом Ю.С. Краплин

 
24.04.2012
Виталий Романов

О защите персональных данных сказано и написано бесконечно много. Тема банковского стандарта СТО БР ИББС освещена меньше. И для банков эти две темы сегодня можно объединить в одну.

Разработкой стандарта СТО БР ИББС Банк России занялся до принятия "152-го" закона, но после выхода ФЗ "О персональных данных" стандарт был доработан. Итогом работы этой группы специалистов и стал комплекс требований к защите персональных данных, учитывающий специфику деятельности российских кредитных организаций.

Таким образом, на сегодня у банков есть выбор: выполнять требования рекомендованного СТО БР, или изучать и руководствоваться в работе нормативно-правовыми актами регуляторов в сфере персональных данных. От первого варианта часто отказываются в силу того, что СТО БР носит рекомендательный характер. В то же время он имеет много плюсов. СТО БР описывает единый подход к построению системы обеспечения информационной безопасности (СОИБ), учитывает лучшие мировые практики менеджмента информационной безопасности, требования российского законодательства, а также отраслевую специфику.

В первую очередь стандарт предусматривает процессный подход к информационной безопасности. Защита ради защиты сегодня никому не нужна. Внедрение СТО БР позволит построить циклический и управляемый процесс обеспечения информационной безопасности. Немаловажным является и то, что стандарт гармонично объединяет в себе требования российского законодательства, в том числе требования к обеспечению безопасности персональных данных, и согласован с контролирующими органами ФСБ России, ФСТЭК России, Роскомнадзор и совершенствуется, в том числе в следующих направлениях:

  • гармонизация с требованиями к национальной платежной системе;
  • гармонизация с требованиями PCI DSS;
  • детализация требований по безопасности к системам ДБО;
  • разработка рекомендаций по выделению и назначению ролей.
  • Возможно, СТО БР недополучает внимания из-за сложности стандарта или дороговизны его внедрения. Есть и ряд типичных организационных проблем, из-за которых менеджмент банков отказывается от СТО БР:
  • менеджмент банка не видит вклада информационной безопасности в развитие бизнеса и, соответственно, не уделяет должного внимания вопросам обеспечения информационной безопасности;
  • в большинстве случаев служба информационной безопасности как структурное подразделение банка не сформирована, информационной безопасностью занимается отдельно выделенный сотрудник;
  • информационная безопасность в большинстве случаев сконцентрирована только на проблемных областях и не носит системного характера.

При этом внедрение СТО БР не может быть сведено только к разработке политик и процедур, а представляет собой построение системы, которая затрагивает деятельность многих структурных подразделений банка, включая СВК, IT, HR, BCM, риск-менеджмент и др.

Роль организатора среди множества этих участников должен брать на себя системный интегратор, обладающий достаточным персоналом и проектным опытом, поскольку процесс внедрения стандарта не прост.

К сожалению, в последние годы на волне подъема рынка появилось множество компаний, предоставляющих услуги в области информационной безопасности, но неспособных обеспечить их качество.

Названные проблемы отделяют российские банки от перспективного способа повышения защищенности, который гарантирует и выполнение требований регуляторов к защите персональных данных, и решение многих других актуальных задач в области информационной безопасности.

Внедренный стандарт СТО ИББС существенно облегчает процесс прохождения проверок Банка России в части требований к ИТ и ИБ инфраструктуре.


Автор статьи: Виталий Романов, руководитель группы аудита и консалтинга БН "Информационная безопасность" компании "Микротест".

Источник: i-business.ru

 

Комментарии Facebook

Комментарии ВКонтакте