Весной Россия избрала Президента. Никаких сюрпризов не случилось. Только учитывая прошлое нашего Президента роль, а главное, влияние, ФСБ изменились; точнее усилились. Последние факты это только доказывают — позиция ФСБ по ПП-313, проекты постановлений Правительства по персданным, законопроект по банкоматам, ну и ряд других не менее значимых, но менее заметных событий. Часть документов уже принята, принятие оставшихся запланировано на ближайшую осень.
Роль Роскомнадзора тоже меняется в сторону (не хочу упоминать термин «карательные функции») усиления влияния. Рост штрафов, увеличение полномочий, расширения спектра задач. Большая часть этих документов готовится к утверждению также осенью.
Еще более серьезные изменения произошли в Банке России. Появилась абсолютно новая нормативная база по Национальной платежной системе. И эта база будет только ширится. Частично 382-П построено на СТО, но есть и некоторые нововведения. Главное, это смена статуса. 382-П обязательно к применению, в отличие от СТО. За его невыполнение существует вполне конкретная ответственность. Но самое главное, что регулирование НПС ушло в Департамент регулирования расчетов (при этом СТО раньше продвигался под эгидой ГУБЗИ). Сейчас основное внимание ЦБ уделяет именно НПС — необходимо обкатать разработанные документы, обновить KliKO, отработать схему приема отчетности, организовать ее анализ и т.д. Раньше чем к концу года это врядли выйдет на накатанные рельсы.
А еще у нас есть PCI DSS и ПП-584, а также ряд иных разработанных или разрабатываемых документов по регулированию финансовой отрасли.
Разномастная картина, не правда ли? И она коренным образом отличается от того, что у нас было еще 2,5 года назад, когда писалась 4-я версия СТО, а потом и «письмо шести». Поменялась не только роль регуляторов. Очень уж много неопределенностей существует на данный момент. Пока непонятно в каком виде будут выпущены Постановления Правительства по персданным (непонятен именно финальный вариант). Еще более непонятно, что нам ждать от требований ФСТЭК и ФСБ по персданным (хотя проекты документов тоже разработаны). Без этих документов, очевидно, разрабатываться новая версия СТО не будет. Разумеется, если рассматривать СТО как единый набор требований для всех видов информации ограниченного доступа, обрабатываемых в кредитной организации (КТ, БТ, ПДн и т.д.). Если же брать только защиту БТ, то есть ли смысл в СТО? Если нет единого унифицированного набора требований, то жить становится грустно ;-( Основным препятствием сейчас является вопрос классификации ИСПДн. В остальном серьезных разногласий практически нет.
Так когда же ждать новой версии СТО БР ИББС? Не могу отвечать за Банк России (и ТК122), но предположу, что в этом году это малореально. Срок разработки составляет около 3-4 месяцев и столько же уходит на согласование с ФСТЭК, ФСБ и РКН (если такая задача будет стоять). Экстраполируя опыт разработки прошлой версии СТО БР ИББС, могу предположить, что если предположить, что документы ФСТЭК и ФСБ будут приняты к концу сенября, то после их изучения в течении месяца, новая версия СТО (в части персданных) будет разработана к февралю-марту, а ее согласование будет не раньше начала лета 2013 года. Это при условии, что все сложится благополучно и не выпывут на поверхность кое-какие косяки и подводные камни.
Есть ли смысл в СТО? Точнее, есть ли смысл в таком СТО? Вот это справедливый вопрос. Разработчики стандарта так и будут всю жизнь бежать за уходящим поездом и дорабатывать стандарт, добавляя в него уже существующие требования, которые и без того применимы к банками. Забыли еще Конституцию России в стандарт записать… 🙂
Смысл есть, если принятие СТО освобождает от применения других требований