Модели развития финансовых супермаркетов
Сейчас кредитные организации подпадают под действие Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Будут ли и финансовые супермаркеты контролироваться этим комплексом документов или же потребуется разработать новый стандарт? Ответ очевиден, в этом году запланирован выход очередной версии Стандарта Банка России СТО БР ИББС по информационной безопасности, доработанного в соответствии с последними изменениями ФЗ-152 «О персональных данных». Первоначально стандарт не является обязательным, но общий тренд указывает на переход все большего числа банков к его требованиям. Разработанный на базе международных стандартов, СТО БР ИББС заложил фундамент деятельности подразделений ИБ в банках и финансовых организациях, что планомерно повышает уровень безопасности финансовой системы в целом. TESTINGTESTING
В настоящее время к банковским организациям предъявляется множество различных требований в области информационной безопасности: это и требования Закона о персональных данных, и нормы стандарта PCI DSS[11], положения Банка и другие. Кроме того, в ближайшее время будут сформированы новые требования в соответствии с законом «О национальной платежной системе».
Выполнение и поддержание соответствия каждой группы требований в отдельности, независимо друг от друга, оказывается слишком дорогим и неэффективным для большинства кредитно – финансовых организаций. Поэтому банковское сообщество заинтересовано в создании общей платформы для интеграции различных требований в единый комплекс. Такой платформой, по сути, является Комплекс стандартов СТО БР ИББС: построенная в соответствии с ним система обеспечения информационной безопасности (СОИБ) позволяет легко включать в свой состав другие группы требований и поддерживать соответствие.
Еще в 2003 г. появилось положение Банка России от 16 декабря 2003 г. №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». В 2009 г. оно было доработано. Появились требования об обязательном наличии системы обеспечения непрерывности бизнеса в банковских организациях, в банковском стандарте СТО ИБ ИББС также появляются требования по непрерывности деятельности. А в конце 2010 года Ассоциация Российских Банков выпускает собственный стандарт по непрерывности бизнеса «Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Данный стандарт рекомендован Ассоциацией Российских банков и согласован с департаментом банковского регулирования и надзора Центрального Банка РФ.
Сейчас в Евросоюзе подготавливаются новые изменения в законодательстве по защите персональных данных. Новые требования появляются для социальных сетей, облачных сервисов и других популярных систем. Основной упор в готовящихся изменениях сделан на уменьшение административных мер, препятствующих ведению бизнеса и повышение доверия к онлайновым сервисам, но вместе с тем и на повышение ответственности за инциденты в сфере защиты персональных данных. Понимание необходимости «права быть забытым», формализация передачи персональных данных в третьи страны в условиях глобализации, обеспечение защищенности личной информации в современном мире, повышение ответственности обработчиков – вот ряд аспектов нового законодательства. Пока сложно сказать, насколько изменения законодательства Евросоюза повлияют на тренды отечественных инициатив, тем более, что их принятие состоится только через два года после утверждения Европейским парламентом[12].