Сегодня в России действует порядка 950 банков, треть из них уже подали уведомления о принятии стандарта, думаю, к лету мы перешагнем порог в 500 банков объявивших о своем присоединении. Но не столь интересна статистика по присоединению, сколько указанные в уведомлениях цифры.
По моим оценкам, хоть какие-то работы по ПДн провело не больше 10-20% банков. Подавляющее число из них сделали акты классификаций, несколько перечней ИСПДн и кое-какую организационно-распорядительную документацию. На этом их работа остановилась, что на мой взгляд вполне разумно в сегодняшних условиях. Оставшиеся 80-90% банков по ПДн работы не проводили. А теперь посмотрим на статистику, о которой недавно писал Алексей Лукацкий. Подавляющее большинство банков указали первый уровень соответствия требованиям стандарта, за ними идут второй, третий и четвертый уровни. Меньше 6% указывают в своих самооценках 0-й уровень.
Согласно методике проведения самооценки если работы по ПДн не проводились, то 9-й показатель (Общие требования по обработке персональных данных в организации БС РФ) будет равен нулю. В этом случае общий уровень соответствия будет равен 0, такова методика. Как же так получилось, что у 94% показавших самооценку уровень оказался выше нуля?
Все просто. После того, как служба ИБ подготовит отчет по самооценке, в котором уровень ИБ получается равным 0, очень сложно объяснить окружающим, включая правление, что такова методика. Даже если руководство внемлет объяснениям, то не всякий ТОР-менеджер сможет набраться решительности показать ЦБ такую самооценку. Знаю добрый десяток банков, где так и не решились. В результате простым подгоном цифра вырастает до 1-2-3-4-го уровня соответствия.
Сложно сказать «правильно» заниматься «подгоном» или «неправильно». У каждого свой субъективный опыт общения с ЦБ, да и банки все разные, однако жесткость методики совершенно точно подталкивает банки активнее проводить работы по защите ПДн и это видно невооруженным глазом. Число проектов по СТО БР ИББС, где в первую очередь решают вопрос с ПДн, очень быстро растет. Не появись альтернативы ФСТЭК-овскому подходу, банковское сообщество по-прежнему бы занимало выжидательную позицию, значит появление отраслевого решения это позитив для всех.
Сейчас наблюдается большой интерес к СТО НАПФ 4.1-2010, здесь также можно ожидать роста активностей, хоть и несравнимых с СТО БР, но все же. Другими словами международный опыт отраслевой стандартизации оказался позитивным и для нас. Ждем новых отраслевых стандартов по ИБ…
Да, про подгонку результатов самооценки — это верное подмечено.
что-то мне кажется, что как раз в статистике у А. Лукацкого заявились банки без подгонов результатов. Напомню, что Стандарт (1-е издание) появился с 2004 года. Небольшой процент банков так или иначе пытался двигаться по нему…
«что-то мне кажется, что как раз в статистике у А. Лукацкого заявились банки без подгонов результатов»
Уверяю, это не так)))