Кто может присоединиться к СТО Банка России?

В последнее время мне часто задают вопрос, может ли присоединиться к СТО Банка России некредитная и вообще нефинансовая организация. Не хочу повторять одно и тоже каждому — напишу сразу всем.

Во-первых, надо сразу понимать, что вопрос, как ответ, разбивается на 4 составляющие:
— можно ли присоединиться и если да, то как?
— как выполнять?
— как проводится оценка соответствия?
— как на все это посмотрит регулятор?

На первый вопрос ответ прост. Можно. Только надо понимать, что нет понятия «присоединиться к стандарту»; также как и нет понятия «отраслевой стандарт». Если мы говорим с юридической точки зрения, то у нас есть только два типа стандартов — национальный и стандарт организации. Вот СТО пока относится ко второму типу стандартов. Это значит только одно — принять его у себя организации может любое предприятие — банк, поликлиника, завод, турагентство. Надо просто ввести стандарт приказом по организации. На этом весь процесс присоединения и заканчивается. С момента ввода в действие приказа, стандарт становится обязательным. Так как СТО — это комплекс стандартов, то у себя можно вводить не все из документов, входящих в СТО, а только некоторые (есть ли смысл в этом?).

После принятия у себя СТО в полном объеме или частично, можно выполнять его положения. С этим тоже вопросов не возникает. Как и с оценкой соответствия в виде самооценки. Аудит с привлечением АБИСС или иной внешней стороны в данном случае смысла большого не имеет, если организация нефинансовая. Куда потом эти результаты девать? Хотя практически аудит по СТО для некредитной организации тоже не представляет труда — методика же есть.

Самое важное, и именно это имеют ввиду, задавая вопрос, вынесенный в заголовок, — как посмотрит на принятие СТО нефинансовой организацией регулятор? Можно ли «уйти» под «письмо шести» не банку? Увы, нельзя. И регулятор в лице РКН, ФСТЭК или ФСБ вполне закономерно тоже не будут учитывать ваш уход под СТО при проведении госконтроля/надзора. Т.е. сослаться на СТО, классифицируя свои ИСПДн не по «приказу трех», отказываясь от сертифицированных СЗИ, не получая лицензию на ТЗКИ и не заморачиваясь аттестацией, вы, не будучи кредитной организацией, не сможете. И позвонить в ЦБ за разъяснением или защитой от произвола региональных регуляторов вы тоже не сможете. Вы же не банк.

Поэтому резюме будет такое — вы можете принять у себя СТО, не будучи кредитной организацией, но защититься таким образом от регуляторов вы не сможете.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    То же самое что сказать — вы можете внедрить у себя ИСО27001 или любой другой стандарт

    Ответить
  2. Сергей

    Да и при проверке банков регулятор (РКН точно) на СТО ИББС не смотрит, для них то они не указ. Писмо 6 — декларация, что выполнение СТО = выполнение требований 152 и иже с ним, но проверяют по своим методикам.

    Ответить
  3. Д.Никитин

    как печально, что никто добровольно не хочет присоединяться к СТР-К, РД, рекомендациям МИАЦ РАМН и всяким другим тритонам :))))

    Ответить
  4. Анонимный

    > всяким другим тритонам
    Дык эти тритоны и не увидеть в полном объеме нигде!
    А то что увидеть уже устарело! (

    Ответить
  5. Unknown

    И разработчики Тритонов гикнулись… Нету больше их…

    Ответить