Кто может присоединиться к СТО Банка России?

В последнее время мне часто задают вопрос, может ли присоединиться к СТО Банка России некредитная и вообще нефинансовая организация. Не хочу повторять одно и тоже каждому - напишу сразу всем.

Во-первых, надо сразу понимать, что вопрос, как ответ, разбивается на 4 составляющие:
- можно ли присоединиться и если да, то как?
- как выполнять?
- как проводится оценка соответствия?
- как на все это посмотрит регулятор?

На первый вопрос ответ прост. Можно. Только надо понимать, что нет понятия "присоединиться к стандарту"; также как и нет понятия "отраслевой стандарт". Если мы говорим с юридической точки зрения, то у нас есть только два типа стандартов - национальный и стандарт организации. Вот СТО пока относится ко второму типу стандартов. Это значит только одно - принять его у себя организации может любое предприятие - банк, поликлиника, завод, турагентство. Надо просто ввести стандарт приказом по организации. На этом весь процесс присоединения и заканчивается. С момента ввода в действие приказа, стандарт становится обязательным. Так как СТО - это комплекс стандартов, то у себя можно вводить не все из документов, входящих в СТО, а только некоторые (есть ли смысл в этом?).

После принятия у себя СТО в полном объеме или частично, можно выполнять его положения. С этим тоже вопросов не возникает. Как и с оценкой соответствия в виде самооценки. Аудит с привлечением АБИСС или иной внешней стороны в данном случае смысла большого не имеет, если организация нефинансовая. Куда потом эти результаты девать? Хотя практически аудит по СТО для некредитной организации тоже не представляет труда - методика же есть.

Самое важное, и именно это имеют ввиду, задавая вопрос, вынесенный в заголовок, - как посмотрит на принятие СТО нефинансовой организацией регулятор? Можно ли "уйти" под "письмо шести" не банку? Увы, нельзя. И регулятор в лице РКН, ФСТЭК или ФСБ вполне закономерно тоже не будут учитывать ваш уход под СТО при проведении госконтроля/надзора. Т.е. сослаться на СТО, классифицируя свои ИСПДн не по "приказу трех", отказываясь от сертифицированных СЗИ, не получая лицензию на ТЗКИ и не заморачиваясь аттестацией, вы, не будучи кредитной организацией, не сможете. И позвонить в ЦБ за разъяснением или защитой от произвола региональных регуляторов вы тоже не сможете. Вы же не банк.

Поэтому резюме будет такое - вы можете принять у себя СТО, не будучи кредитной организацией, но защититься таким образом от регуляторов вы не сможете.