Зарегистрируйтесь и о Вас узнают потенциальные клиенты!

Банки оказались на персональном распутье

Missing

Банки оказались на персональном распутье

Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Фото: Григорий Собченко/BFM.ru

Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Фото: Григорий Собченко/BFM.ru

Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Поэтому нет ничего удивительного в том, что после летнего затишья вновь начались дискуссии вокруг построения в компаниях и организациях систем защиты персональных данных (СЗПДн). И в первую очередь такие дискуссии возобновились в группах риска. В частности, в финансовом секторе. Так, например, произошло на конференции «IT-безопасность в финансовом секторе», организованной компанией AHConferences. И хотя дискуссия еще далека от завершения, уже можно выделить три пути, по которым банки могут двигаться в деле решения проблемы ПДн

Стоит отметить, что на названной конференции для начала представители финансовых организаций честно пытались обсуждать все вопросы IT-безопасности. Здесь были затронуты темы и мошенничества в финансовой сфере, и противодействия DDoS-атакам, и реального опыта построения систем управления информационной безопасностью. Но настоящая дискуссия началась только после того, как была затронута тема персональных данных.

Зачинщиком спора стала страховая компания «Росно», поделившаяся с участниками мероприятия своим опытом честного выполнения требований закона № 152. Тем самым был показан первый из путей, которым могут последовать банки при решении проблемы ПДн, правда, частичном. Дело в том, что как бы хорошо не были выполнены требования закона, никуда не исчезает другая проблема, связанная с отсутствием регламента проведения аттестации систем на соответствие требованиям все того жезакона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не смогла назвать какие-либо сроки. Отсюда следует, что даже если банк построит СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно.

Второй путь решения проблемы ПДн, рассмотренный в рамках конференции на конкретном примере, заключается в выводе СЗПДн банка из-под юрисдикции закона «О персональных данных» — полной или частичной. В первом случае финансовому учреждению необходимо воспользоваться отраслевым стандартом в области информационной безопасности. Речь идет о комплексе документов БР ИББС — Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Этот стандарт имеет более широкий охват, чем закон «О персональных данных». С другой стороны, он в чем-то имеет более строгие требования по сравнению с законом 152. Зато в нем нет проблемы с отсутствием регламента проведения аттестации информационных систем. Стоит отметить, что этот стандарт ЦБ носит рекомендательный характер. Поэтому, как выяснилось на конференции, большинство банков пока выжидают и смотрят на первопроходцев — «а как у них все получится».

Также стоит отметить, что банки, по совету консультантов, стали расценивать стандарт ЦБ в качестве «спасательного круга» и «последнего шанса». То есть если до конца года не случится нового переноса сроков вступления в силу всех положений закона, а также не появится внятный регламент аттестации СЗПДн, то банки, едва ли не в последний момент, могут внутренним приказом принять стандарт ЦБ и начать работы по выполнению этих требований. В таком случае, отмечают консультанты, ФСТЭК в общем-то не будет иметь претензий к тому, что в той или иной финансовой организации до сих пор не создана СЗПДн.

Второй способ ухода из под закона № 152 продемонстрировал начальник отдела департамента безопасности «Россельхозбанка» Александр Беликов. Для начала он заметил, что многие не очень внимательно читают документы — ухватываются за первые попавшиеся положения, а на остальное не обращают внимания. То же самое, по его словам, произошло с законом «О персональных данных», когда участники рынка стали определять классность своих информационных систем, выполнять требования закона и т. п. В то же время, по его словам, в законе есть строчки о специальных системах, к которым предъявляет требования только ФСБ РФ — речь идет о требовании обрабатывать информацию в специальных системах только с помощью сертифицированных средств криптографической защиты информации.

Беликов отметил, что «Россельхозбанк» смог перевести все 70 своих ИС в разряд специальных. И это при наличии соответствующих лицензий решило все вопросы — у ФСТЭК их в итоге не оказалось.

Наконец, третий путь решения проблем ПДн был указан экспертом — советником председателя правления по информационной безопасности инвестбанка «Открытие» и директора по методологии компании «Инфосекьюрити Сервис» Михаилом Левашовым. Он предложил банкам нанимать для решения названной проблемы аусорсеров — людей или компании, которые умеют правильно разговаривать с регулятором и решать возникающие трудности.

Стоит отметить, что при слове аутсорсеры представители банков поскучнели. Поэтому Левашову пришлось напомнить «банкирам», что если они опасаются передавать критически важную и конфиденциальную информацию сторонним подрядчикам, то у них есть другая возможность — нанимать и брать в штат банка соответствующих экспертов. Хотя это и дорого.

Разделы: Hi-Tech, Финансы, IT, Банки, безопасность, законодательство и Россия

Дата: 10 октября 2010, воскресенье 21:57

Ваша компания

Зарегистрируйтесь и о Вас узнают потенциальные клиенты!

Новости on-line

Cообщить о неточности
Карта сайта →
Финансы
Разделили бизнес, а налоговая попыталась сложить его обратно
Банки
Лизинг
Инвестиции
Страхование
Господдержка
Помощь бизнесу
1. Открыть бизнес
2. Выбор помещения
3. Эффективная реклама
4. Подбор аутсорсинга
5. Господдержка
6. Уплата налогов
7. Поиск кадров
8. Юридическая помощь
Организации
Добавить свою
Новости компаний
Товары и услуги
Добавить товар
Добавить услугу
Тендеры
Выставки
Обучение
Центры проф. обучения
Новости
Hi-Tech
Антикризис
Конфликты
Макроэкономика
Медиа
Металлургия
Недвижимость
Персоналии
Потребрынок
Промышленность
Телеком
Транспорт
ТЭК
Деньги
Персоны
Ахунов Рустем Ринатович
Андреев Александр Вадимович
О портале
Политика обработки персональных данных
Возможности сайта
Реклама на сайте
Контактная информация
Курсы мировых валют
Биржевые индексы
Вклады
Карта Уфы
ГОСТы
Ваш кабинет
Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
© 2009—2024  Единый республиканский бизнес-портал
О портале | Контактная информация | Реклама на портале | Правила пользования |
Сделано в «Техинформ» Уфа
Все права принадлежат КП «Респект»