В последнее время мне часто задают вопрос, может ли присоединиться к СТО Банка России некредитная и вообще нефинансовая организация. Не хочу повторять одно и тоже каждому — напишу сразу всем.
Во-первых, надо сразу понимать, что вопрос, как ответ, разбивается на 4 составляющие:
— можно ли присоединиться и если да, то как?
— как выполнять?
— как проводится оценка соответствия?
— как на все это посмотрит регулятор?
На первый вопрос ответ прост. Можно. Только надо понимать, что нет понятия «присоединиться к стандарту»; также как и нет понятия «отраслевой стандарт». Если мы говорим с юридической точки зрения, то у нас есть только два типа стандартов — национальный и стандарт организации. Вот СТО пока относится ко второму типу стандартов. Это значит только одно — принять его у себя организации может любое предприятие — банк, поликлиника, завод, турагентство. Надо просто ввести стандарт приказом по организации. На этом весь процесс присоединения и заканчивается. С момента ввода в действие приказа, стандарт становится обязательным. Так как СТО — это комплекс стандартов, то у себя можно вводить не все из документов, входящих в СТО, а только некоторые (есть ли смысл в этом?).
После принятия у себя СТО в полном объеме или частично, можно выполнять его положения. С этим тоже вопросов не возникает. Как и с оценкой соответствия в виде самооценки. Аудит с привлечением АБИСС или иной внешней стороны в данном случае смысла большого не имеет, если организация нефинансовая. Куда потом эти результаты девать? Хотя практически аудит по СТО для некредитной организации тоже не представляет труда — методика же есть.
Самое важное, и именно это имеют ввиду, задавая вопрос, вынесенный в заголовок, — как посмотрит на принятие СТО нефинансовой организацией регулятор? Можно ли «уйти» под «письмо шести» не банку? Увы, нельзя. И регулятор в лице РКН, ФСТЭК или ФСБ вполне закономерно тоже не будут учитывать ваш уход под СТО при проведении госконтроля/надзора. Т.е. сослаться на СТО, классифицируя свои ИСПДн не по «приказу трех», отказываясь от сертифицированных СЗИ, не получая лицензию на ТЗКИ и не заморачиваясь аттестацией, вы, не будучи кредитной организацией, не сможете. И позвонить в ЦБ за разъяснением или защитой от произвола региональных регуляторов вы тоже не сможете. Вы же не банк.
Поэтому резюме будет такое — вы можете принять у себя СТО, не будучи кредитной организацией, но защититься таким образом от регуляторов вы не сможете.
То же самое что сказать — вы можете внедрить у себя ИСО27001 или любой другой стандарт
Да и при проверке банков регулятор (РКН точно) на СТО ИББС не смотрит, для них то они не указ. Писмо 6 — декларация, что выполнение СТО = выполнение требований 152 и иже с ним, но проверяют по своим методикам.
как печально, что никто добровольно не хочет присоединяться к СТР-К, РД, рекомендациям МИАЦ РАМН и всяким другим тритонам :))))
> всяким другим тритонам
Дык эти тритоны и не увидеть в полном объеме нигде!
А то что увидеть уже устарело! (
И разработчики Тритонов гикнулись… Нету больше их…