Банки оказались на персональном распутье

19
Источник:   —  10 октября 2010, 21:57

Осталось поменьше 3 месяцев до первого января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Следственно нет ничего чудесного, что после летнего затишья опять заговорили о построении систем защиты персональных данных.

Банки оказались на персональном распутье

Осталось поменьше 3 месяцев до первого января, когда в полную силу заработает федеральный закон № сто пятьдесят два «О персональных данных». Следственно нет ничего восхитительного в том, что после летнего затишья опять начались дискуссии вокруг построения в компаниях и организациях систем защиты персональных данных (СЗПДн). И в первую очередь такие дискуссии возобновились в группах риска. В частности, в финансовом секторе. Так, к примеру, случилось на пресс-пресс-пресс-пресс-конференции «IT-безопасность в финансовом секторе», организованной компанией AHConferences. И правда дискуссия еще далека от заключения, уже можно выделить три пути, по которым банки могут двигаться в деле решения трудности ПДн

Стоит подметить, что на названной конференции для начала представители финансовых организаций добросовестно пытались обговаривать все вопросы IT-безопасности. Тут были затронуты темы и мошенничества в финансовой сфере, и противодействия DDoS-атакам, и реального навыка построения систем управления информационной безопасностью. Но настоящая дискуссия началась только после того, как была затронута тема персональных данных.

Затейщиком спора стала страховая организация «Росно», поделившаяся с участниками мероприятия своим навыком добросовестного реализации требований закона № 152. Тем самым был показан 1-й из путей, которым могут последовать банки при решении трудности ПДн, правда, частичном. Дело в том, что как бы отменно ни были исполнены требования закона, никуда не пропадает иная проблемка, связанная с отсутствием регламента выполнения аттестации систем на соответствие требованиям все того же закона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не сумела назвать какие-либо сроки. Отсель следует, что даже если банк возведет СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно.

2-й путь решения трудности ПДн, рассмотренный в рамках конференции на определенном примере, заключается в последствии СЗПДн банка из-под юрисдикции закона «О персональных данных» — полной либо частичной. В первом случае финансовому учреждению нужно воспользоваться отраслевым эталоном в области информационной безопасности. Речь идет о комплексе документов БР ИББС — Обеспечение информационной безопасности организаций банковской системы Русской Федерации. Данный эталон имеет больше широкий охват, чем закон «О персональных данных». С другой стороны, он в чем-то имеет больше суровые требования по сопоставлению с законом 152. Но в нем нет трудности с отсутствием регламента выполнения аттестации информационных систем. Стоит подметить, что данный эталон ЦБ носит рекомендательный характер. Следственно, как оказалось на конференции, множество банков пока ждут и глядят на первопроходцев — «а как у них все получится».

Также стоит подметить, что банки, по совету референтов, стали расценивать эталон ЦБ в качестве «спасательного круга» и «последнего шанса». То есть если до конца года не случится нового переноса сроков введения в силу всех состояний закона, а еще не появится ясный регламент аттестации СЗПДн, то банки, едва ли не в завершающий момент, могут внутренним приказом принять эталон ЦБ и начать работы по выполнению этих требований. В таком случае, подмечают референты, ФСТЭК в общем-то не будет иметь жалоб к тому, что в той либо иной финансовой организации до сих пор не сделана СЗПДн.

2-й метод ухода из под закона № 152 продемонстрировал руководитель отдела департамента безопасности «Россельхозбанка» Александр Беликов. Для начала он подметил, что многие не очень пристально читают документы — ухватываются за 1-е попавшиеся положения, а на остальное не обращают внимания. То же самое, по словам, случилось с законом «О персональных данных», когда участники рынка стали определять классность своих информационных систем, исполнять требования закона и т. п. В то же время, по словам, в законе есть строчки о особых системах, к которым предъявляет требования только ФСБ РФ — речь идет о требовании обрабатывать информацию в особых системах только с поддержкой сертифицированных средств криптографической защиты информации.

Беликов отметил, что «Россельхозбанк» сумел перевести все семьдесят своих ИС в разряд особых. И это при наличии соответствующих лицензий решило все вопросы — у ФСТЭК их в конце концов не оказалось.

Наконец, 3-й путь решения проблемных задач ПДн был указан специалистом — советником председателя правления по информационной безопасности инвестбанка «Открытие» и директора по методики организации «Инфосекьюрити Сервис» Михаилом Левашовым. Он предложил банкам нанимать для решения названной трудности аутсорсеров — людей либо организации, которые умеют верно разговаривать с регулятором и решать возникающие трудности.

Стоит подметить, что при слове аутсорсеры представители банков поскучнели. Следственно Левашову пришлось напомнить «банкирам», что если они боятся передавать скептически значимую и конфиденциальную информацию сторонним подрядчикам, то у них есть иная возможность — нанимать и брать в штат банка соответствующих специалистов. Правда это и дорого.

ЧИТАЙТЕ ТАКЖЕ
Интернациональные посредники начинают предпринимать новые усилия для прекращения раздора в Палестине

Интернациональные посредники начинают предпринимать новые усилия для прекращения раздора в Палестине

Совместно с тем, Кофи Аннан поблагодарил начальника миссии, бывшего президента Финляндии Мартти Ахтисаари и его команду из двадцати человек,...

31
Полет над гнездом донецких: приторный ужас кочевого народа

Полет над гнездом донецких: приторный ужас кочевого народа

Автор этого текста до недавнего прошлого - пресс-секретарь ФК "Шахтер" (Донецк). Он написал рассказ - очень радостный и который много проясняет...

40
Директора музея "Кижи" задержали из-за взятки в 500 тыс. рублей

Директора музея "Кижи" задержали из-за взятки в 500 тыс. рублей

Как известила пресс-служба ведомства в четверг, следствие предполагает, что перед этим подозреваемый через посредника получил эту сумму...

35
Путин выделил еще трем институтам по пять млрд рублей

Путин выделил еще трем институтам по пять млрд рублей

Арктический, Северо-Восточный и Уральский федеральные институты получат до две тысячи четырнадцатого года по пять млрд рублей, информировал...

14
facebook
Нажмите «Нравится»,
чтобы читать 1NNC в Facebook