6 октября, 2011, BIS Journal №3(3)/2011

Не застигли врасплох


Губка Олег

Исполнительный директор (ООО «ДАТАСЕК ТЕКНОЛОДЖИЗ»)

Эндреев Борис

Председатель правления (Банк «Нальчик» ООО)

Требования федерального законодательства по защите персональных данных были своевременно выполнены ведущими банками Кабардино-Балкарии

Ведущие банки Кабардино-Балкарской Республики в кратчайшие сроки привели свои информационные системы в соответствие с положениями федерального закона о персональных данных №152-ФЗ с учетом поправок, принятых Государственной думой РФ в июле 2011 года.

СУЩЕСТВЕННЫЕ ПОПРАВКИ

Остался в прошлом последний срок приведения информационных систем банков в соответствие требованиям закона о персональных данных – 1 июля 2011 года. Однако поправки, принятые в июле Государственной думой РФ, оказались столь существенными, что, по сути, появилась новая редакция закона. Это, безусловно, может осложнить жизнь многим кредитно-финансовым организациям. Ведущие банки Кабардино-Балкарии не были застигнуты врасплох потому, что работа по реализации требований законодательства планировалась заранее.

Базой обеспечения информационной безопасности, в том числе защиты персональных данных, служил отраслевой стандарт – Комплекс документов в области стандартизации Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (Комплекс БР ИББС). Рабочей площадкой взаимодействия, обсуждения сложностей реализации требований закона и стандартов, а также эффективных подходов и решений для специалистов банков стала Ассоциация банков и страховщиков Кабардино-Балкарской Республики.

В намеченные сроки была успешно завершена целая серия комплексных проектов по выполнению требований СТО БР ИББС и 152-ФЗ, в настоящее время осуществляются проекты дальнейшего сопровождения и совершенствования системы обеспечения информационной безопасности. Первопроходцами на этом пути в республике стали Банк «Нальчик» ООО, «БУМ-БАНК» ООО, Банк «Прохладный» ООО и ЗАО КБ «Евростандарт», вслед за ними аналогичную работу провели и другие банках Кабардино-Балкарской Республики.

Последовательность работ в таких проектах, уже выполненных и реализуемых в настоящее время компанией DataSecurity Technologies, можно представить в виде следующих основных этапов. На первом этапе проводится инвентаризация всех информационных активов банка, подлежащих защите. В том числе – информационных систем и процессов обработки персональных данных. Осуществляется оценка соответствия требованиям СТО БР ИББС, разрабатываются рекомендации по устранению обнаруженных уязвимостей и выявленных несоответствий.

На втором этапе проводится оценка рисков ИБ, осуществляется выбор необходимых защитных мер, формируются требования по защите и разрабатывается пакет внутренней документации, регламентирующей деятельность банка по информационной безопасности в соответствии с документами Комплекса БР ИББС. На третьем этапе проектируются техническая система защиты и внедрение средств защиты информации, проводится сканирование внутренних и внешних ресурсов IT-инфраструктуры банка, выявленные уязвимости устраняются.

СОВМЕСТНЫМИ УСИЛИЯМИ

Успешность внедрения и модернизации процессов обеспечения информационной безопасности во многом зависят от профессионализма и организованности сотрудников банка, на чьи плечи ложится значительная часть работы. Эта деятельность не прекращается по завершении проекта, но является частью процесса дальнейшего сопровождения и совершенствования системы обеспечения информационной безопасности банка.

Главными результатами выполненных проектов являются не только соответствие информационных систем банка стандартам Банка России и законодательству по персональным данным. Также важны и повышение прозрачности процессов обеспечения информационной безопасности, уровня осознания сотрудниками своих задач в этой области, а также четкое разделение полномочий и задач ответственных специалистов. Новый уровень профессионализма позитивно сказывается на надёжности системы защиты информационных активов банков.

Реализация проектов по обеспечению информационной безопасности банков в Кабардино-Балкарии является важным направлением деятельности компании DataSecurity Technologies. Нельзя не отметить, что сотрудники банков Кабардино-Балкарской Республики отличаются глубокой заинтересованностью в положительном результате. Плодотворное межбанковское взаимодействие в ходе решения поставленных задач, организованное на базе Ассоциации банков и страховщиков Кабардино-Балкарской Республики, позволило эффективно выполнить сразу несколько параллельных проектов.

Эффективность обеспечения информационной безопасности банка во многом зависит от того, насколько слаженно взаимодействуют в процессе реализации проекта его сотрудники с подрядчиком, – отмечает заместитель председателя правления ЗАО КБ «Евростандарт» Вячеслав Ша-ваев. Тесное сотрудничество с проектной командой DataSecurity Technologies как во время выполнения, так и после окончания проекта – залог оперативного решения вопросов внедрения процессов, обеспечивающих информационную безопасность.

УЧИТЫВАЯ СПЕЦИФИКУ БИЗНЕСА

Конечно, банкам остаётся достаточно много самостоятельной работы, направленной на повышение уровня соответствия отраслевому стандарту. Но главное, что у сотрудников банков, которые участвовали в выполнении проектов, формируется правильное понимание, как следует в дальнейшем выполнять такую работу. Такое повышение профессиональной квалификации специалистов по информационной безопасности банка – необходимая основа дальнейшего совершенствования всей системы её обеспечения.

Приведение системы обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС стало для некоторых банков новой задачей. Но, как отмечает председатель правления Банка «Прохладный» ООО Ольга Черешкова, понимая ее актуальность и важность, при содействии компании DataSecurity Technologies удалось достаточно оперативно включиться в эту работу.

Сотрудники Банка «Прохладный» регулярно участвуют в отраслевых деловых и обучающих мероприятиях – конференциях и семинарах как регионального, так и федерального уровня, а также проходят обучение в ведущих учебных центрах по информационной безопасности. Погруженность банковских специалистов в актуальную тематику позволяет эффективно взаимодействовать и с коллегами из других банков, и с регулирующими органами.

Обеспечение информационной безопасности является крайне важным, необходимым направлением банковской работы, но ложится дополнительной нагрузкой на бизнес. При достижении оптимального результата в этой сфере важно оптимизировать затраты. Для этого нужно соотносить требования отраслевых стандартов и федерального законодательства к деятельности конкретного банка. А именно учитывать масштаб и специфику его бизнеса, выделяя реальные информационные угрозы и выстраивая защиту в первую очередь от них. Что успешно удалось сделать в ходе выполнения совместного с DataSecurity Technologies проекта объединёнными усилиями квалифицированных специалистов подрядчика и сотрудников Банка «Нальчик» ООО.

Все ведущие банки Кабардино-Балкарии при помощи компании DataSecurity Technologies смогли оперативно выполнить актуальные требования в сфере защиты персональных данных. Потому что банки, которые постоянно ведут работу по совершенствованию своих систем обеспечения информационной безопасности, чьи сотрудники регулярно повышают профессиональную квалификацию, участвуют в отраслевых деловых мероприятиях и находятся в курсе тенденций развития законодательства, сложно застигнуть врасплох законодательными новшествами.

 

Смотрите также

Дефицит недоверия

18 апреля, 2011
Подпишись на новости!
Подписаться