Страховщикам придется позаботиться о защите персональных данных

15.10.2010

Вернуться к списку новостей Стоит отметить, что на названной конференции для начала представители финансовых организаций честно пытались обсуждать все вопросы IT-безопасности. Здесь были затронуты темы и мошенничества в финансовой сфере, и противодействия DDoS-атакам, и реального опыта построения систем управления информационной безопасностью. Но настоящая дискуссия началась только после того, как была затронута тема персональных данных.

Зачинщиком спора стала страховая компания "Росно", поделившаяся с участниками мероприятия своим опытом честного выполнения требований закона № 152. Тем самым был показан первый из путей, которым могут последовать банки при решении проблемы ПДн, правда, частичном. Дело в том, что как бы хорошо ни были выполнены требования закона, никуда не исчезает другая проблема, связанная с отсутствием регламента проведения аттестации систем на соответствие требованиям все того же закона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не смогла назвать какие-либо сроки. Отсюда следует, что даже если банк построит СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно.

Второй путь решения проблемы ПДн, рассмотренный в рамках конференции на конкретном примере, заключается в выводе СЗПДн банка из-под юрисдикции закона "О персональных данных" — полной или частичной. В первом случае финансовому учреждению необходимо воспользоваться отраслевым стандартом в области информационной безопасности. Речь идет о комплексе документов БР ИББС — Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Этот стандарт имеет более широкий охват, чем закон "О персональных данных". С другой стороны, он в чем-то имеет более строгие требования по сравнению с законом 152. Зато в нем нет проблемы с отсутствием регламента проведения аттестации информационных систем. Стоит отметить, что этот стандарт ЦБ носит рекомендательный характер. Поэтому, как выяснилось на конференции, большинство банков пока выжидают и смотрят на первопроходцев — "а как у них все получится".

Также стоит отметить, что банки, по совету консультантов, стали расценивать стандарт ЦБ в качестве "спасательного круга" и "последнего шанса". То есть если до конца года не случится нового переноса сроков вступления в силу всех положений закона, а также не появится внятный регламент аттестации СЗПДн, то банки, едва ли не в последний момент, могут внутренним приказом принять стандарт ЦБ и начать работы по выполнению этих требований. В таком случае, отмечают консультанты, ФСТЭК в общем-то не будет иметь претензий к тому, что в той или иной финансовой организации до сих пор не создана СЗПДн.

Второй способ ухода из под закона № 152 продемонстрировал начальник отдела департамента безопасности "Россельхозбанка" Александр Беликов. Для начала он заметил, что многие не очень внимательно читают документы — ухватываются за первые попавшиеся положения, а на остальное не обращают внимания. То же самое, по его словам, произошло с законом "О персональных данных", когда участники рынка стали определять классность своих информационных систем, выполнять требования закона и т. п. В то же время, по его словам, в законе есть строчки о специальных системах, к которым предъявляет требования только ФСБ РФ — речь идет о требовании обрабатывать информацию в специальных системах только с помощью сертифицированных средств криптографической защиты информации.

Беликов отметил, что "Россельхозбанк" смог перевести все 70 своих ИС в разряд специальных. И это при наличии соответствующих лицензий решило все вопросы — у ФСТЭК их в итоге не оказалось.
Наконец, третий путь решения проблем ПДн был указан экспертом — советником председателя правления по информационной безопасности инвестбанка "Открытие" и директора по методологии компании "Инфосекьюрити Сервис" Михаилом Левашовым. Он предложил банкам нанимать для решения названной проблемы аутсорсеров — людей или компании, которые умеют правильно разговаривать с регулятором и решать возникающие трудности.

Стоит отметить, что при слове аутсорсеры представители банков поскучнели. Поэтому Левашову пришлось напомнить "банкирам", что если они опасаются передавать критически важную и конфиденциальную информацию сторонним подрядчикам, то у них есть другая возможность — нанимать и брать в штат банка соответствующих экспертов. Хотя это и дорого.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 

© 2018 ООО «СёрчИнформ»

Все права защищены