• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

О чем задумались банки?

Казалось бы, кредитно-финансовым структурам, имеющим собственный стандарт информационной безопасности, беспокоиться не о чем: механизмы защиты определены и отлажены. Ан нет! Новые федеральные законы ставят и новые задачи.

«Возмутителем спокойствия» стали персональные данные. У рыночных игроков и разработчиков стандарта (представителей Банка России, регулятора в банковской сфере) возникло немало вопросов к регуляторным органам федерального значения – ФСТЭК, ФСБ, Федеральной службе по надзору в области связи и массовых коммуникаций. Основной из них: насколько стандарт ЦБ соответствует требованиям ФЗ «О персональных данных» и утвержденным правительством документам, нацеленным на обеспечение безопасности персональных данных. Обозначились и иные немаловажные проблемы получения дополнительных (по отношению к отраслевому стандарту) сертификаций и лицензий. Эти и другие вопросы, связанные с ИБ, обсуждались на конференции FinSec в начале июня.

Из выступления зам. начальника управления ФСТЭК А.А. Бажанова следовало, что банкам, оперирующим персональными данными, для соблюдения всех требований документов ФСТЭК к реализации упомянутого ФЗ нужно приложить немало усилий: получить лицензии на обработку персональных данных, создать ряд внутренних документов, провести мероприятия по техническому обеспечению защиты персональных данных, подтвердить, наконец, соответствие информационных систем требованиям ФСТЭК. Кстати, требования ФСТЭК к персональным данным не являются открытыми, не опубликованы на сайте службы и высылаются организациям только по специальному запросу.

В целом они кажутся весьма жесткими, но в «комплекте» ФСТЭК, по словам заместителя коммерческого директора НИП «Информзащита» М.Ю. Емельянникова, отсутствуют такие основополагающие документы, как перечень персональных данных, нормы защиты в сегментированных сетях и др. Алгоритм действия законопослушных банков, изложенный М.Ю. Емельянниковым, восторга у участников конференции не вызвал (см. дискуссии на сайте www.iks-media.ru). Зато всех развеселил его совет: не спешите переводить бумажные документы в электронные.

А вот А.П. Курило, зам. начальника главного управления защиты информации Банка России и главный разработчик стандарта, полагает, что в документе ЦБ отражены все требования к обработке персональных данных, предъявляемые ФЗ, и указаны механизмы проверки их исполнения. А.П. Курило видит лишь одну проблему: нужно привести их в соответствие с нормами действующего ФЗ. Признают ли регуляторы априори более жесткие требования стандарта ЦБ достаточными для соблюдения нормативов, предъявляемых к персональным данным, покажет время. Разработчики готовы представить им свое видение. Ответ А.А. Бажанова был осторожно-нейтральным: присылайте, будем рассматривать.

Оценку того, во что обходится банку исполнение требований всех регулирующих и надзирающих органов, дал С.Д. Котов, начальник управления защиты информации МБРР (он подчеркнул, что эти расходы несут не инвесторы, а потребители). Несложный подсчет затрат для банка с 20 филиалами (среднего размера согласно классификации ЦБ) дает $380 тыс. Но эта сумма – лишь верхушка айсберга. В нее не входит стоимость аппаратно-программных средств и подготовки специалистов для работы с ними. По оценкам разных банков, на обучение одного квалифицированного сотрудника требуется не менее $2,5 тыс. Как сказал один из участников конференции, «регуляторы повышают мою стоимость как специалиста: чем сложнее требования, тем она выше».