Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Тюменский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
персональные данные в кредитной организации.docx
Скачиваний:
3
Добавлен:
11.07.2019
Размер:
29.94 Кб
Скачать
►Содержание►

Регулирование с учетом отраслевой специфики

До недавнего времени кредитные организации могли выполнять мероприятия по приведению своих систем в соответствие с требованиями законодательства исключительно на основе документов ФСТЭК России и ФСБ России. Однако акты данных регуляторов зачастую не учитывают реальных бизнес-процессов и специфики банковской отрасли, в ряде случаев их реализация сопряжена с целым рядом сложностей. В результате защита персональных данных в рамках сформулированного в них подхода в кредитных организациях превращается в дорогой, трудоемкий и длительный процесс, не учитывающий реалий бизнеса.

Понимая это, Банк России выпустил новую версию отраслевого Стандарта СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", базирующегося на лучших практиках и принципах международных стандартов менеджмента. Банк России разработал типовую модель угроз безопасности персональных данных, а также доработал текущие версии базового стандарта безопасности и методику оценки соответствия требованиям регуляторов с объявленными ограничениями.

Банковское сообщество получило адаптированные для применения в банковской системе Российской Федерации методические рекомендации по защите персональных данных.

Данный Стандарт, вышедший 21 июня 2010 г., позволит организациям, работающим в банковской системе, успешно проходить проверки регуляторов. Для его применения необходимо ввести СТО БР ИББС в организации в качестве обязательного. В этом случае руководствоваться им придется при проведении работ по защите любой информации, в том числе отнесенной к банковской и коммерческой тайне.

Также необходимо будет провести оценку соответствия требованиям Стандарта и совершить ряд последовательных действий: выпуск документа о подтверждении соответствия требованиям Стандарта с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий), направление этого документа в адрес Банка России и территориальных органов регуляторов.

Есть и другой вариант: не вводить в организации Стандарт Банка России и руководствоваться общими документами законодательства в области персональных данных - Законом о персональных данных, постановлениями Правительства РФ, документами Роскомнадзора, ФСБ России и ФСТЭК России.

Каждый из вариантов имеет свои минусы. Так, соответствие требованиям СТО БР ИББС в качестве обязательного к выполнению намного дороже, чем выполнение общих требований и рекомендаций правовых актов в области защиты персональных данных. К примеру, по требованиям ФСТЭК России к информационным системам персональных данных нужно защищать очень немногие автоматизированные банковские системы (около 20% от тех систем, которые необходимо защитить), то есть затраты на технические средства, которые являются основными в проектах по защите персональных данных, будут значительно ниже.

В то же время ФСТЭК России дает более детальные указания, чем параметры стандартов, стремится диктовать и способ реализации политики информационной безопасности. А соответствие Стандарту СТО БР ИББС-1.0-2010 многие считают обязательным признаком успешного и надежного банка, заботящегося о своих клиентах. В любом случае выбор за конкретной кредитной организацией.

Полагаем, что помочь в этой части сможет Банк России, главная задача которого в области персональных данных в настоящее время состоит в согласовании требований и сближении позиций относительно методик контроля с регуляторами в области персональных данных.

В заключение отметим, что в основном банковское сообщество готово к выполнению Закона о защите персональных данных. Как правило, крупные банки имеют в своей структуре управление информационной безопасности, для специалистов которого требования, предъявляемые к информационным системам персональных данных, не являются новыми. Упрощает соблюдение требований Закона по работе с персональными данными и наличие согласованных с регуляторами отраслевых документов.

В то же время приходится констатировать, что на данный момент Закон о защите персональных данных учитывает в первую очередь интересы субъектов персональных данных в ущерб интересам операторов. В расчет не берется и специфика банковских технологических процессов, что затрудняет ведение нормальной банковской деятельности и повышает ее риски.

Выполнение данного Закона влечет для кредитной организации рост операционных, правовых, финансовых и репутационных рисков. Очевидно, что законодательство в данной сфере нуждается в совершенствовании. Наличие правовых коллизий, расплывчатости и возможность неоднозначной трактовки положений нормативных актов - все это затрудняет исполнение Закона кредитными организациями. Полагаем, что ситуация еще больше усугубится после 1 июля. У организаций, обрабатывающих персональные данные, остается все меньше времени, чтобы выполнить требования Закона.

В.Ф.Филатова

К. ю. н.,

консультант

по налогам и сборам

Палата налоговых консультантов

Подписано в печать

10.05.2011

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности