В последнее время мне часто задают вопрос, может ли присоединиться к СТО Банка России некредитная и вообще нефинансовая организация. Не хочу повторять одно и тоже каждому - напишу сразу всем.
Во-первых, надо сразу понимать, что вопрос, как ответ, разбивается на 4 составляющие:
- можно ли присоединиться и если да, то как?
- как выполнять?
- как проводится оценка соответствия?
- как на все это посмотрит регулятор?
На первый вопрос ответ прост. Можно. Только надо понимать, что нет понятия "присоединиться к стандарту"; также как и нет понятия "отраслевой стандарт". Если мы говорим с юридической точки зрения, то у нас есть только два типа стандартов - национальный и стандарт организации. Вот СТО пока относится ко второму типу стандартов. Это значит только одно - принять его у себя организации может любое предприятие - банк, поликлиника, завод, турагентство. Надо просто ввести стандарт приказом по организации. На этом весь процесс присоединения и заканчивается. С момента ввода в действие приказа, стандарт становится обязательным. Так как СТО - это комплекс стандартов, то у себя можно вводить не все из документов, входящих в СТО, а только некоторые (есть ли смысл в этом?).
После принятия у себя СТО в полном объеме или частично, можно выполнять его положения. С этим тоже вопросов не возникает. Как и с оценкой соответствия в виде самооценки. Аудит с привлечением АБИСС или иной внешней стороны в данном случае смысла большого не имеет, если организация нефинансовая. Куда потом эти результаты девать? Хотя практически аудит по СТО для некредитной организации тоже не представляет труда - методика же есть.
Самое важное, и именно это имеют ввиду, задавая вопрос, вынесенный в заголовок, - как посмотрит на принятие СТО нефинансовой организацией регулятор? Можно ли "уйти" под "письмо шести" не банку? Увы, нельзя. И регулятор в лице РКН, ФСТЭК или ФСБ вполне закономерно тоже не будут учитывать ваш уход под СТО при проведении госконтроля/надзора. Т.е. сослаться на СТО, классифицируя свои ИСПДн не по "приказу трех", отказываясь от сертифицированных СЗИ, не получая лицензию на ТЗКИ и не заморачиваясь аттестацией, вы, не будучи кредитной организацией, не сможете. И позвонить в ЦБ за разъяснением или защитой от произвола региональных регуляторов вы тоже не сможете. Вы же не банк.
Поэтому резюме будет такое - вы можете принять у себя СТО, не будучи кредитной организацией, но защититься таким образом от регуляторов вы не сможете.
То же самое что сказать - вы можете внедрить у себя ИСО27001 или любой другой стандарт
ОтветитьУдалитьДа и при проверке банков регулятор (РКН точно) на СТО ИББС не смотрит, для них то они не указ. Писмо 6 - декларация, что выполнение СТО = выполнение требований 152 и иже с ним, но проверяют по своим методикам.
ОтветитьУдалитькак печально, что никто добровольно не хочет присоединяться к СТР-К, РД, рекомендациям МИАЦ РАМН и всяким другим тритонам :))))
ОтветитьУдалить> всяким другим тритонам
ОтветитьУдалитьДык эти тритоны и не увидеть в полном объеме нигде!
А то что увидеть уже устарело! (
И разработчики Тритонов гикнулись... Нету больше их...
ОтветитьУдалить