"Отраслевые документы по защите персональных данных. Стандарт Банка России"

Александр Митрохин, группа компаний "4х4"В настоящий момент подходит к концу отсрочка, данная операторам в прошлом году, для приведения своих систем в соответствие с требованиями 152-ФЗ «о персональных данных». За этот год было сделано многое как Регуляторами, так и самими операторами для упорядочения нормативной базы в данной области. Одним из таких событий стало разработка, согласование с Регуляторами и официальное опубликование Банком России отраслевого стандарта  СТО БР ИББС, включающий раздел о защите персональных данных.Немного истории о СТО БРЕще совсем недавно обеспечение информационной безопасности строилось на основании  знания и опыта своих сотрудников, мероприятия по обеспечению защищенности велись   бессистемно и хаотично, что не могло дать какого-то положительного результата.Использование международного стандарта ISO 27001, основанного на оценке рисков и определении критичных активов, могло бы сильно помочь в построении органичной системы обеспечения информационной безопасности в Банках.Однако, внедрение его в полном объеме в масштабах Банка, вполне логично сталкивалось с рядом трудностей и ограничений, как объективных, так и субъективных: предложение со стороны безопасников и интеграторов ISO 27001  в качестве «руководства к действию» в условиях суровой Российской действительности (низкий уровень зрелости процессов управления большинства Российских Банков) встречало непонимание со стороны менеджмента.В 2004г. Банком России с целью повышения уровня информационной безопасности, как самого ЦБ РФ, так и коммерческих российских банков, была разработана и введена в действие первая редакция стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», и в течение 2005–2006гг. в ряде территориальных учреждений Банка России и коммерческих банках проводились работы по опытному внедрению данного стандарта, по итогам которых стандарт был доработан.В результате распоряжением ЦБ РФ от 26.01.2006 №Р-27 была введена в действие вторая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006, уже учитывающая положения таких стандартов как ISO 27001 и Cobit, что «побуждало» к повышению уровня зрелости внутренних процессов организации.Логическим развитием стало появление третьей редакции, введенной в действие  Распоряжением Банка России от 25.12.2008 N Р-1674 с 01.05.2009 введена в действие третья редакция Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2008". Стандарт продолжил  развиваться, был более широко рассмотрены вопросы СМИБ, не забыли и про сами процессы обеспечения ИБ, но, к сожалению, были сделаны шаги по упрощению требований, как то отказались  от целевого уровня зрелости процессов.С появлением нормативных актов регуляторов, детализирующих требования к защите персональных данных, была проведена работа по разработке уже четвёртая редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010). Так же, в дополнению к Стандарту, были разработаны новая методика оценки соответствия СТО, отраслевая модель угроз ПДн и рекомендации по приведению в соответствие. Документы Комплекса БР ИББС были согласованы с Роскомнадзором, ФСБ России, ФСТЭК России, приняты и введены в действие распоряжением ЦБР от 21 июня 2010 г. N Р-705.