Особенности применения нормативной базы в области персональных данных в банковской сфере

Данную тему мы начали с рассмотрения банковского мифа о присоединении к СТО БР.

Этот миф мы рассмотрели в следующей формулировке:

Заблужение 5: Банки, присоединившиеся к отраслевому стандарту СТО БР ИББС, могут не выполнять требования нормативных документов регуляторов (ФСТЭК, ФСБ и Роскомнадзора) в области персональных данных

Однако, данный миф оказался несколько более сложным и глубже укоренившимся, поэтому рассмотрим его теперь в следующей формулировке:

Заблуждение 6. Присоединение к отраслевому стандарту СТО БР ИББС дает банкам существенное преимущество (перед неприсоединившимися банками) в виде упрощения реализации нормативных требований в области персональных данных

Опубликование "письма шестерых", а также разработка и согласование с регуляторами документов Комплекса БР ИББС, на которые оно ссылается, имеет две очевидные цели (не берусь судить о том, какая из них превалирует):

1. Сподвигнуть банки к введению СТО БР ИББС в качестве обязательного для выполнения
2. Облегчить банкам бремя обеспечения соответствия требованиям законодательства и нормативной базы в области персональных данных

По замыслу разработчиков Комплекса БР ИББС достижение второй цели должно вытекать из первой, другими словами, внедряя СТО БР ИББС банки облегчают себе задачу обеспечения соответствия законодательным требованиям в области персональных данных. Возможно это так и есть, но возникает ряд закономерных вопросов:

1. За счет чего внедрение СТО БР облегчает задачу обеспечения соответствия в области ПДн?
2. Можно ли достигнуть того же результата не вводя СТО БР в качестве обязательного и не беря на себя связанных с этим дополнительных обязательств?
3. Область действия СТО БР значительно шире, чем задача обеспечения безопасности персональных данных. Можно ли воспользоваться только теми рекомендациями СТО БР, которые относятся к персональным данным, не внедряя стандарта в полном объеме? (Например, если банк уже использует другие стандарты в области ИБ).
4. Не придется ли вместо одного проекта по созданию СЗПДн и обеспечению соответствия требованиям в области персональных данных, реализовывать сразу два проекта: и внедрения СТО БР и обеспечения соответствия требованиям законодательства и нормативной базы в области ПДн? Не дороже ли это выйдет?
5. Регуляторы подтвердили, подписав "письме шестерых", что Комплекс БР ИББС не содержит противоречий с их требованиями. Однако не понятно, охватывают ли эти документы все требования регуляторов. Выполняя требования СТО БР, выполняем ли мы при этом все требования регуляторов?
6. и т.д.

Если бы не было первой цели, связанной с продвижением СТО БР, не просто путем его популяризации, а путем введения его в качестве обязательного в организациях БС РФ, то не возникало бы и всех перечисленных выше вопросов. Можно было просто выпустить те же самые рекомендации для банков по наиболее затратным и спорным вопросам, связанным с выполнением требований действующего законодательства и нормативной базы в области ПДн, согласовать эти рекомендации (трактовки нормативных требований) с регуляторами, предложить Правительству РФ и законодателям рассмотреть соответствующие поправки и т.д.

Это и было сделано и будет делаться далее. Ни в коем случае не хотелось бы умолять заслуг тех людей и со стороны ЦБ и со стороны АРБ и других организаций, которые принимают участие в работе над совершенствованием законодательства и нормативной базы в области защиты информации вообще и персональных данных, в частности. Однако весьма естественное стремление ЦБ непременно присоединить все банки к СТО БР портит все дело, т.к. намеренно перемешиваются два вопроса, между которыми нет прямой связи: вопрос об использовании согласованных с регуляторами рекомендаций Банка России в области персональных данных и вопрос о присоединении к стандарту СТО БР.

Получается, что согласованные с регуляторами "послабления" предлагаются банкам не задаром, а взамен обязательного присоединения к СТО БР, что означает для банков проведение значительно более широкого и затратного комплекса мероприятий по защите информации, выходящего далеко за рамки вопросов защиты ПДн, регулярное проведение оценок и самооценок по СТО БР с предоставлением соответствующей отчености регуляторам. Никто не говорит о том, что эти мероприятия не полезны для банков и что их не надо реализовывать. Внедрение СТО БР наверняка приведет к повышению уровня защищенности информационных активов банка по сравнению с банком, который не реализует никаких особенных систематических мер в области защиты информации. Однако не стоит забывать о том, что по закону каждая организация имеет право сама выбирать какие стандарты и в каком объеме ей использовать, а также о том, что помимо СТО БР, существует еще большое количество стандартов, которые с успехом могут применяться в банке и также способствовать повышению уровня защищенности его информационных активов.

Банкам, не желающим присоединяться к СТО БР и делать его для себя обязательным (хотя возможно и использующим отдельные рекомендации из данного стандарта), никто помогать оказывается и не собирался. Мол не хотите принимать наш стандарт целиком в добровольно-принудительном порядке - крутитесь тогда сами. В результате происходит раскол банковского сообщества на две части: на присоединившихся и на неприсоединившихся к СТО БР. Для первой группы регулирование вопросов защиты ПДн, а заодно и других вопросов защиты информации, берет на себя Банк России через СТО БР, который урегулирует возникающие несостыковки с регуляторами. Вторая группа существует сама по себе, не обращая внимания на рекомендации ЦБ в области персональных данных. При этом обе группы подвержены проверкам со стороны всех регуляторов: и ЦБ и ФСТЭК и ФСБ и Роскомнадзора. Различие только в том, что для первой группы согласованы "поблажки", но зато обязательны требования СТО БР, а для второй "поблажки" не согласованы", зато не обязательно выполнение требований СТО БР.

Вот и опухают мозги у банкиров. Что им делать? "Уйти под крыло ЦБ", присоединившись к СТО БР и взяв на себя дополнительные обязательства и немалые расходы, связанные с их выполнением, или остаться один на один с регуляторами в области персональных данных без поддержки ЦБ? Кто для банка страшнее: ЦБ или прочие регуляторы и в чем заключается поддержка ЦБ в случае присоединение к СТО БР?

Поддержка ЦБ, предоставляемая банкам, присоединившимся к СТО БР, выражается в некотором упрощении требований нормативной базы в области персональных данных. Упрощения эти представляют собой согласованные с регуляторами трактовки требований законодательства и нормативной базы, смягчающие эти требования. Поверхностный анализ Комплекса БР ИББС позволяет выделить четыре основных упрощения:

1. Банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации
2. Банки могут не относить АБС к ИСПДн
3. Банки могут не разрабатывать частные модели угроз безопасности ПДн, а присоединиться к общей отраслевой модели угроз
4. Банки могут реализовывать упрощенные наборы требований по защите персональных данных, состав которых зависит только от категории обрабатываемых ПДн

Эти упрощения заметно сокращают объем работы и соответствующие затраты на обеспечение соответствия в области персональных данных. Упрощения эти согласованы с регуляторами. И, наконец, самое главное, что упрощения эти могут использоваться всеми банками, независимо от того, к чему они присоединились! Для этого, в своей внутренней политике безопасности (или в Положении об обработке и защите персональных данных или в Концепции обеспечения безопасности персональных данных) банку следует прописать те положения СТО БР, которыми он руководствуется при осуществлении мероприятий по обеспечению безопасности персональных данных (наряду с положениями прочих стандартов и нормативных документов, которыми банк руководствуется в данных вопросах). Оспаривать правомочность такого решения никто не сможет.

Действительно, кто мешает любому банку на законных основаниях использовать те рекомендации СТО БР, которые он считает для себя полезными и не использовать прочие? С регуляторами эти рекомендации согласованы. Несмотря на то, что ко всем этим рекомендациям имеются приписки, что они действуют только для "присоединившихся" банков, но мы в это не верим. Как такое может быть, чтобы АБС относилась к ИСПДн для одних банков и не относилась к ИСПДн для других или чтобы лицензирование в области ТЗКИ зависело от использования тех или иных стандартов или чтобы согласованная с регуляторами отраслевая модель угроз могла использоваться в одних банках и не могла использоваться в других? Этого быть не может, т.к. противоречит здравому смыслу. Уверен, что никто из регуляторов не будет настаивать на подобных абсурдных утверждениях. Да потом, сами регуляторы не имеют заинтересованности в том, чтобы банки непременно внедряли СТО БР. Это их хлеб отнимает.

Обобщая все приведенные выше рассуждения можно сделать следующие выводы:

1. Банк России совместно с АРБ проделал (и продолжает) достаточно серьезную и полезную работу по стандартизации в области информационной безопасности и персональных данных. Согласованные им с регуляторами "упрощения" нормативных требований в области персональных данных, позволяют значительно сократить расходы банков на обеспечения соответствия в данной области. За это им даже можно простить некоторое лукавство, имеющее целью сподвигнуть банки к внедрению СТО БР. Ведь цели эти благие и, в конечном счете, должны способствовать повышению защищенности банковской системы РФ.
2. Любые банки, независимо от того, к каким стандартам они присоединились или не присоединились, могут использовать любые рекомендации СТО БР в области персональных данных в том объеме, в котором они считают нужным. Мы можем рекомендовать всем банкам с целью минимизации своих расходов на защиту ПДн использовать те согласованные с регуляторами "упрощения" (в виде соответствующих рекомендаций СТО БР), о которых говорилось выше.
3. Вопрос относительно присоединения к СТО БР или к любому другому стандарту, путем введения этого стандарта у себя в качестве обязательного, никак не связан ни с возможностью использования банком согласованных с регуляторами рекомендаций в области персональных данных, ни с необходимостью выполнения всех обязательных требований законодательства и нормативной базы в области персональных данных. Нормативные требования необходимо выполнять. Любые рекомендации можно использовать по своему усмотрению в том случае, если они не противоречат законодательным или нормативным требованиям.

PS

Пунк 1 из перечисленных выше "поблажек", говорящий о том, что "банки могут не получать лицензию ФСТЭК на деятельность в области ТЗКИ для собственных нужд и не проводить аттестацию ИСПДн по требованиям безопасности информации", при ближайшем рассмотрении, "поблажкой" не является. Данный вопрос разбирается в статье:

Присоединение к СТО БР и лицензирование в области ТЗКИ: есть ли связь?

Остальные три "поблажки": насчет не отнесения АБС к ИСПДн, отраслевой модели угроз и упрощения требований 58 приказа ФСТЭК, также вызывают множество сомнений.