Куда бежать банкам

Данным постом я хочу предложить разные точки зрения, которые могут иметь место в банковской среде относительно того, что делать или не делать банкам в связи с набиранием оборотов закона «О национальной платежной системе».

Как уже все знают, только что вышли в свет проекты Положения и Указания ЦБ, которые при хорошем стечении обстоятельств могут быть приняты уже летом. Из текста документов следует, что они уже согласованы регуляторами и могут быть опубликованы в Вестнике Банка России» уже в июле. Нужно ли что-нибудь делать Банкам в этой связи или нужно по-прежнему ждать?

С точки зрения ИБ для Банка в той или иной части применимо законодательство о ПДн (152-ФЗ и ниже), Стандарт безопасности Банка России (пакет документов СТО БР ИББС). Теперь к этому списку добавляется Закон о национальной платежной системе (161-ФЗ) и документы «прикладного» уровня (документы ЦБ). Так что же нужно делать рядовому банку, в какую сторону начинать бежать? Хочу рассмотреть три точки зрения, какая из них более правильная, попрошу оценить экспертное сообщество:

• Игнорировать 152-ФЗ, принять СТО БР, игнорировать 161-ФЗ

• Применить 152-ФЗ, игнорировать СТО БР, применить 161-ФЗ

• Применить 152-ФЗ, игнорировать 161-ФЗ, игнорировать СТО БР

Здесь я сознательно не уделяю внимание стандарту PCI DSS по классической причине – отсутствие его обязательности по причине отсутствия реальной ответственности перед кем бы то ни было.

Теперь я хочу прокомментировать каждый из сценариев:

1) Пожалуй, самый распространенный путь для банка это принятие СТО БР. Большое число банков уже приняли этот стандарт, и потихоньку начали приведение своих ИС и процессов в соответствии с ним. Известно, что сам по себе СТО БР носит рекомендательный характер и скорее всего таким и останется. Уж не знаю, по какой причине так происходит, но ЦБ никак не может его сделать обязательным для исполнения. Может быть дело в том, что в ЦБ понимают, что подавляющее большинство банков не смогут в обозримом будущем достичь реального показателя ИБ, заложенного в нем. Если СТО БР в банке официально принят, то на законодательство по ПДн, пусть и с некоторыми оговорками, можно не ориентироваться.

2) Другой путь - это следование законодательству РФ в части ПДн по той причине, что «вертикаль власти», а именно Федеральный закон, Постановления Правительства и т.д. всегда имеют приоритет по сравнению с отраслевыми стандартами, которые к тому же не должны противоречить первым. Плюс этого подхода ещё и в том, что под любое изменение законодательства проще подстроиться, выполняя основополагающие требования, а не их производные. Что же касается законодательства о НПС, то в любом случае все ИС, которые присутствуют в банке, это уже ИСПДн. К тому же механизмы защиты, предлагаемые к реализации ЦБ, очень хорошо коррелируют со СТО БР.

3) Последний путь основывается на утверждении о том, что практически любой банк не имеет в своем распоряжении никаких платежный систем. Список платежных систем весьма широк, но большинство из них либо международные, либо не принадлежат банкам. В отделениях банков имеются лишь рабочие места, связанные с данными платежными системами. Это наиболее формальный подход, согласно которому банк занимает выжидательную позицию в вопросах ИБ и начинает выполнять требования ЦБ и платежных систем по мере поступлений. В вопросах защиты платежных систем, также как и в предыдущем сценарии, банк может руководствоваться общими требованиями законодательства о ПДн.