Приведение системы обеспечения информационной безопасности коммерческого банка в соответствие с требованиями закона «О персональных данных»

На тему разработки системы защиты персональных данных написано немало методик и статей и, казалось бы, что проблема давно и всем известная. Но в них рассматриваются общие законодательные вопросы, причем часто основываются на старых положениях и подзаконных актах, а практическое применение и практические рекомендации остаются вне рамок методик или статей на эту тему. Требования закона должны выполнять все компании и организации без исключения, однако самостоятельное решение данной задачи становится для многих сложной проблемой.  Опубликованные статьи имеют общий подход для всех предприятий в целом, а мне хотелось разобраться в особенностях именно применительно к коммерческому банку, с учетом всех требований Банка России к кредитной организации. Как оказалось, разобраться самостоятельно со всеми требованиями закона и подзаконных актов в области защиты персональных данных довольно сложно. Сам закон не дает понимания последовательности действий, поэтому появилась необходимость выстроить для себя такой комплекс мероприятий, чтобы в дальнейшем применить его на практике, причем с учетом финансовой невозможности проведения внешнего аудита и консалтинга ввиду кризиса и введенного в банке режима «строгой экономии». 

Целью данной работы является методическая проработка необходимых мер и действий по приведению системы обеспечения информационной безопасности коммерческого банка в соответствие с требованиями Федерального закона  № 152-ФЗ «О персональных данных», подзаконных актов, стандартов Банка России и требований регуляторов по обработке и защите персональных данных. 

Итоговая цель всех описываемых в работе мероприятий по приведению в соответствие законодательных требований в области обработки и защиты ПДн – изменить состояние системы обеспечения информационной безопасности (СОИБ) банка от «неудовлетворительного» в области требований 152-ФЗ, до «желаемого», т.е. чтобы СОИБ всем требованиям закона соответствовала. При этом необходимо определить сроки проводимых мероприятий, описать результаты, которых мы должны достичь, оценить ресурсы, которые будут участвовать в этих мероприятиях. Тем самым, нашей целью становится перевод системы из «существующего» состояния до «желаемого», т.е. мы можем определить масштаб или Scope предстоящих работ, время на выполнение всех мероприятий и бюджет. Поскольку одна из наших целей для минимизации затрат банка это  организация всех работ собственными силами, то в качестве бюджета можем рассматривать наши собственные ресурсы. Сотрудники банка, участвующие в этих процессах, должны затратить довольно много времени на выполнение дополнительных поручений, которые возникнут в ходе выполнения всех мероприятий, т.е. сверх того, что у них есть свои функциональные обязанности. Весь данный комплекс мероприятий можно рассматривать как проект со всеми присущими ему атрибутами (цель, миссия, стоимость, время, масштаб). Поэтому для приведения системы обеспечения информационной безопасности банка в соответствие требованиям закона «О персональных данных» был применен проектный подход, в работе определен стиль проекта, приведено описание всех этапов жизненного цикла проекта и даны рекомендации по его  управлению в соответствии со стандартами в области управления проектами.

Результатом аттестационной работы является разработка рекомендаций, основанных на полученных знаниях в «Школе IT-менеджмента» и собственном практическом опыте в ходе реализации проекта по выполнению требований закона «О персональных данных» в коммерческом банке.  

Данная методика была применена на практике.На её основе были подготовлены и выпущены все необходимые приказы, разработаны и утверждены соответствующие внутренние нормативные документы, на сайте банка опубликована разработанная частная политика по обработке персональных данных, проведены инструктажи и вводное обучение работников банка по порядку обработки персональных данных в соответствии с разработанной программой обучения, подготовлено  заключение о возможности эксплуатации ИСПДн, получен регистрационный номер оператора в Роскомнадзоре. Весь комплекс мероприятий был выполнен сотрудниками службы информационной безопасности совместно с департаментом информационных технологий.