Регулирование с учетом отраслевой специфики
До недавнего времени кредитные организации могли выполнять мероприятия по приведению своих систем в соответствие с требованиями законодательства исключительно на основе документов ФСТЭК России и ФСБ России. Однако акты данных регуляторов зачастую не учитывают реальных бизнес-процессов и специфики банковской отрасли, в ряде случаев их реализация сопряжена с целым рядом сложностей. В результате защита персональных данных в рамках сформулированного в них подхода в кредитных организациях превращается в дорогой, трудоемкий и длительный процесс, не учитывающий реалий бизнеса.
Понимая это, Банк России выпустил новую версию отраслевого Стандарта СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", базирующегося на лучших практиках и принципах международных стандартов менеджмента. Банк России разработал типовую модель угроз безопасности персональных данных, а также доработал текущие версии базового стандарта безопасности и методику оценки соответствия требованиям регуляторов с объявленными ограничениями.
Банковское сообщество получило адаптированные для применения в банковской системе Российской Федерации методические рекомендации по защите персональных данных.
Данный Стандарт, вышедший 21 июня 2010 г., позволит организациям, работающим в банковской системе, успешно проходить проверки регуляторов. Для его применения необходимо ввести СТО БР ИББС в организации в качестве обязательного. В этом случае руководствоваться им придется при проведении работ по защите любой информации, в том числе отнесенной к банковской и коммерческой тайне.
Также необходимо будет провести оценку соответствия требованиям Стандарта и совершить ряд последовательных действий: выпуск документа о подтверждении соответствия требованиям Стандарта с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий), направление этого документа в адрес Банка России и территориальных органов регуляторов.
Есть и другой вариант: не вводить в организации Стандарт Банка России и руководствоваться общими документами законодательства в области персональных данных - Законом о персональных данных, постановлениями Правительства РФ, документами Роскомнадзора, ФСБ России и ФСТЭК России.
Каждый из вариантов имеет свои минусы. Так, соответствие требованиям СТО БР ИББС в качестве обязательного к выполнению намного дороже, чем выполнение общих требований и рекомендаций правовых актов в области защиты персональных данных. К примеру, по требованиям ФСТЭК России к информационным системам персональных данных нужно защищать очень немногие автоматизированные банковские системы (около 20% от тех систем, которые необходимо защитить), то есть затраты на технические средства, которые являются основными в проектах по защите персональных данных, будут значительно ниже.
В то же время ФСТЭК России дает более детальные указания, чем параметры стандартов, стремится диктовать и способ реализации политики информационной безопасности. А соответствие Стандарту СТО БР ИББС-1.0-2010 многие считают обязательным признаком успешного и надежного банка, заботящегося о своих клиентах. В любом случае выбор за конкретной кредитной организацией.
Полагаем, что помочь в этой части сможет Банк России, главная задача которого в области персональных данных в настоящее время состоит в согласовании требований и сближении позиций относительно методик контроля с регуляторами в области персональных данных.
В заключение отметим, что в основном банковское сообщество готово к выполнению Закона о защите персональных данных. Как правило, крупные банки имеют в своей структуре управление информационной безопасности, для специалистов которого требования, предъявляемые к информационным системам персональных данных, не являются новыми. Упрощает соблюдение требований Закона по работе с персональными данными и наличие согласованных с регуляторами отраслевых документов.
В то же время приходится констатировать, что на данный момент Закон о защите персональных данных учитывает в первую очередь интересы субъектов персональных данных в ущерб интересам операторов. В расчет не берется и специфика банковских технологических процессов, что затрудняет ведение нормальной банковской деятельности и повышает ее риски.
Выполнение данного Закона влечет для кредитной организации рост операционных, правовых, финансовых и репутационных рисков. Очевидно, что законодательство в данной сфере нуждается в совершенствовании. Наличие правовых коллизий, расплывчатости и возможность неоднозначной трактовки положений нормативных актов - все это затрудняет исполнение Закона кредитными организациями. Полагаем, что ситуация еще больше усугубится после 1 июля. У организаций, обрабатывающих персональные данные, остается все меньше времени, чтобы выполнить требования Закона.
В.Ф.Филатова
К. ю. н.,
консультант
по налогам и сборам
Палата налоговых консультантов
Подписано в печать
10.05.2011