Комплекс СТО БР ИББС начал набирать популярность именно за счет того, что с его помощью банки получили возможность выполнять требования законодательства по защите персональных данных (ПДн) проще и привычнее, чем «напрямую» выполняя требования ФСТЭК и ФСБ. Поэтому многие банки решили воспользоваться этой возможностью и присоединились к СТО БР.
Но теперь ситуация изменилась. СТО БР ИББС в текущей редакции больше не соответствует законодательству по защите персональных данных, и банкам придется обратится к требованиям постановления Правительства №1119 и 21-го приказа ФСТЭК для защиты ПДн. Следовательно, многие возможности, которые открывал СТО БР, такие как, например, неотнесение автоматизированной банковской системы (АБС) к информационным системам персональных данных (ИСПДн), теперь закрылись. И банкам предстоит большая работа, частично перечеркивающая то, что уже было сделано.
Состав персональных данных
Как в любом проекте по приведению к соответствию каким-либо требованиям, первым этапом проводится GAP-анализ и составляется план, в соответствии с которым и будут проводиться работы по достижению соответствия (в нашем случае это будут подготовка нормативной документации, регламентирующей обработку и защиту ПДн, моделирование угроз, определение уровней защищенности для каждой ИСПДн, формирование защитных мер, проектирование и внедрение системы защиты).
В ходе этого анализа крайне важно правильно определить, какие именно персональные данные обрабатываются в банке, где...