Не застигли врасплох

Ведущие банки Кабардино-Балкарской Республики в кратчайшие сроки привели свои информационные системы в соответствие с положениями федерального закона о персональных данных №152-ФЗ с учетом поправок, принятых Государственной думой РФ в июле 2011 года.

СУЩЕСТВЕННЫЕ ПОПРАВКИ

Остался в прошлом последний срок приведения информационных систем банков в соответствие требованиям закона о персональных данных – 1 июля 2011 года. Однако поправки, принятые в июле Государственной думой РФ, оказались столь существенными, что, по сути, появилась новая редакция закона. Это, безусловно, может осложнить жизнь многим кредитно-финансовым организациям. Ведущие банки Кабардино-Балкарии не были застигнуты врасплох потому, что работа по реализации требований законодательства планировалась заранее.

Базой обеспечения информационной безопасности, в том числе защиты персональных данных, служил отраслевой стандарт – Комплекс документов в области стандартизации Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (Комплекс БР ИББС). Рабочей площадкой взаимодействия, обсуждения сложностей реализации требований закона и стандартов, а также эффективных подходов и решений для специалистов банков стала Ассоциация банков и страховщиков Кабардино-Балкарской Республики.

В намеченные сроки была успешно завершена целая серия комплексных проектов по выполнению требований СТО БР ИББС и 152-ФЗ, в настоящее время осуществляются проекты дальнейшего сопровождения и совершенствования системы обеспечения информационной безопасности. Первопроходцами на этом пути в республике стали Банк «Нальчик» ООО, «БУМ-БАНК» ООО, Банк «Прохладный» ООО и ЗАО КБ «Евростандарт», вслед за ними аналогичную работу провели и другие банках Кабардино-Балкарской Республики.

Последовательность работ в таких проектах, уже выполненных и реализуемых в настоящее время компанией DataSecurity Technologies, можно представить в виде следующих основных этапов. На первом этапе проводится инвентаризация всех информационных активов банка, подлежащих защите. В том числе – информационных систем и процессов обработки персональных данных. Осуществляется оценка соответствия требованиям СТО БР ИББС, разрабатываются рекомендации по устранению обнаруженных уязвимостей и выявленных несоответствий.

На втором этапе проводится оценка рисков ИБ, осуществляется выбор необходимых защитных мер, формируются требования по защите и разрабатывается пакет внутренней документации, регламентирующей деятельность банка по информационной безопасности в соответствии с документами Комплекса БР ИББС. На третьем этапе проектируются техническая система защиты и внедрение средств защиты информации, проводится сканирование внутренних и внешних ресурсов IT-инфраструктуры банка, выявленные уязвимости устраняются.

СОВМЕСТНЫМИ УСИЛИЯМИ

Успешность внедрения и модернизации процессов обеспечения информационной безопасности во многом зависят от профессионализма и организованности сотрудников банка, на чьи плечи ложится значительная часть работы. Эта деятельность не прекращается по завершении проекта, но является частью процесса дальнейшего сопровождения и совершенствования системы обеспечения информационной безопасности банка.

Главными результатами выполненных проектов являются не только соответствие информационных систем банка стандартам Банка России и законодательству по персональным данным. Также важны и повышение прозрачности процессов обеспечения информационной безопасности, уровня осознания сотрудниками своих задач в этой области, а также четкое разделение полномочий и задач ответственных специалистов. Новый уровень профессионализма позитивно сказывается на надёжности системы защиты информационных активов банков.

Реализация проектов по обеспечению информационной безопасности банков в Кабардино-Балкарии является важным направлением деятельности компании DataSecurity Technologies. Нельзя не отметить, что сотрудники банков Кабардино-Балкарской Республики отличаются глубокой заинтересованностью в положительном результате. Плодотворное межбанковское взаимодействие в ходе решения поставленных задач, организованное на базе Ассоциации банков и страховщиков Кабардино-Балкарской Республики, позволило эффективно выполнить сразу несколько параллельных проектов.

Эффективность обеспечения информационной безопасности банка во многом зависит от того, насколько слаженно взаимодействуют в процессе реализации проекта его сотрудники с подрядчиком, – отмечает заместитель председателя правления ЗАО КБ «Евростандарт» Вячеслав Ша-ваев. Тесное сотрудничество с проектной командой DataSecurity Technologies как во время выполнения, так и после окончания проекта – залог оперативного решения вопросов внедрения процессов, обеспечивающих информационную безопасность.

УЧИТЫВАЯ СПЕЦИФИКУ БИЗНЕСА

Конечно, банкам остаётся достаточно много самостоятельной работы, направленной на повышение уровня соответствия отраслевому стандарту. Но главное, что у сотрудников банков, которые участвовали в выполнении проектов, формируется правильное понимание, как следует в дальнейшем выполнять такую работу. Такое повышение профессиональной квалификации специалистов по информационной безопасности банка – необходимая основа дальнейшего совершенствования всей системы её обеспечения.

Приведение системы обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС стало для некоторых банков новой задачей. Но, как отмечает председатель правления Банка «Прохладный» ООО Ольга Черешкова, понимая ее актуальность и важность, при содействии компании DataSecurity Technologies удалось достаточно оперативно включиться в эту работу.

Сотрудники Банка «Прохладный» регулярно участвуют в отраслевых деловых и обучающих мероприятиях – конференциях и семинарах как регионального, так и федерального уровня, а также проходят обучение в ведущих учебных центрах по информационной безопасности. Погруженность банковских специалистов в актуальную тематику позволяет эффективно взаимодействовать и с коллегами из других банков, и с регулирующими органами.

Обеспечение информационной безопасности является крайне важным, необходимым направлением банковской работы, но ложится дополнительной нагрузкой на бизнес. При достижении оптимального результата в этой сфере важно оптимизировать затраты. Для этого нужно соотносить требования отраслевых стандартов и федерального законодательства к деятельности конкретного банка. А именно учитывать масштаб и специфику его бизнеса, выделяя реальные информационные угрозы и выстраивая защиту в первую очередь от них. Что успешно удалось сделать в ходе выполнения совместного с DataSecurity Technologies проекта объединёнными усилиями квалифицированных специалистов подрядчика и сотрудников Банка «Нальчик» ООО.

Все ведущие банки Кабардино-Балкарии при помощи компании DataSecurity Technologies смогли оперативно выполнить актуальные требования в сфере защиты персональных данных. Потому что банки, которые постоянно ведут работу по совершенствованию своих систем обеспечения информационной безопасности, чьи сотрудники регулярно повышают профессиональную квалификацию, участвуют в отраслевых деловых мероприятиях и находятся в курсе тенденций развития законодательства, сложно застигнуть врасплох законодательными новшествами.

Олег Губка -- Исполнительный директор (ООО «ДАТАСЕК ТЕКНОЛОДЖИЗ»)

Борис Эндреев -- Председатель правления (Банк «Нальчик» ООО)

BIS Journal №3(3)/2011

6 октября, 2011

Смотрите также