3-я конференция АРБ о реализации требований 152-ФЗ

3-я конференция АРБ о реализации требований 152-ФЗ

В среду посетил мероприятие АРБ, посвященное вопросам персональных данных. Делегатов было порядка 200 человек (представители банков, разработчиков АБС, консультантов и др.). Выступали представители ЦБ (А.П. Курило), Роскомнадзор (Кантемиров Ю.Е.), ФСБ (Баранов А.П.), ФСТЭК (Лютиков В.С.), а также представители консультантов и различных банков.

В целом мероприятие оставило неоднозначное впечатление. С одной стороны понятно, что такого рода конференции нужны, т.к. позволяют обмениваться реальным опытом, делиться проблемами и возможно даже совместными усилиями их решать, но с другой стороны лично меня обескуражило, что по ряду вопросов мнения экспертов очень серьезно различались и судя по переговорам в зале, конференция у некоторых оставила больше вопросов, чем ответов. Ну поживем - увидим как оно все будет развиваться.

Теперь немного о самой конференции. Открыл конференцию Андрей Петрович Курило с общим обзором текущей ситуации в области защиты персональных данных в банковских организациях. По его словам сейчас уже достигнуто взаимопонимание с регуляторами, т.е. стандарты серии СТО БР ИББС не вызывают никаких вопросов и полностью ими принимаются. Кроме того сейчас уже активно пошел процесс присоединения к стандарту и в адрес ЦБ приходит около 2х писем в день от банков, решивших принять СТО БР ИББС в качестве стандарта, обязательного для выполнения. Кроме того этой осенью в федеральный закон и возможно подзаконные акты будут вноситься изменения, которые видимо внесут коррективы в порядок обеспечения безопасности персональных данных.

А.П. Баранов и В.С. Лютиков в своих докладах коснулись более подробно возможных осенних изменений и в частности изменений 19-ой статьи Федерального закона. Какие именно будут изменения к сожалению никто из них не сказал, но видимо что будет изменен подход к формированию требований по обеспечению безопасности персональных данных, а также порядок контроля за соблюдением этих требований. Честно сказать я очень сильно пытался понять как же это будет, но у меня это так и не получилось :).... так что будем ждать вестей из Думы.

Далее выступал Валерий Павлович Харламов с докладом о международных стандартах в области ИБ вообще и защиты персональных данных в частности (ISO 29100). Доклад в целом был интересным, но только вот зачем это банкам, ведь уже понятно что на ближайшие годы основным стандартом будет СТО БР ИББС-1.0? Хотя возможно эти стандарты будут использованы при подготовке новой редакции стандартов СТО БР ИББС.

Ю.Е. Кантемиров рассказал о работе Роскомнадзора за последние два года. Так было сказано, что за 2009 год было проведено 37 проверок банков и в 67% случаев были выявлены нарушения, а за 9 месяцев 2010 года - 70 проверок из которых нарушения нашлись в менее чем 50% случаев. Интересная статистика, хотя уж какая-то очень хорошая (не верится мне, что сейчас можно выполнить 152-ФЗ без нарушений :))
Из основных замечаний было указано, что:
а) банки должны (!) уведомлять Роскомнадзор об обработке персональных данных
б) необходимо включать в договора с коллекторами требования по обеспечению конфиденциальности передаваемых персональных данных
в) грубым по мнению РКН нарушением законодательства является публикация информации о неблагонадежных заемщиках в публичных ресурсах (веб-сайт, пресса и т.п.). По ряду таких фактов материалы были переданы в прокуратуру.

Далее была секция вопросов-ответов и презентаций отдельных банков,но тут ничего нового сказано не было, кроме одного - по поводу лицензирования ФСТЭК И ФСБ.
Текущий закон о лицензировании предполагает обязательное (!) лицензирование по линии ФСТЭК, а также лицензирование по линии ФСБ (при использовании криптографии). Сейчас ведется обсуждение возможных поправок в этот закон, но чем все закончится пока не понятно. Будем ждать. Артем Сычев из Россельхозбанка предложил как один из вариантов текущего решения проблемы с лицензированием ФСТЭК - заключение договора с организацией-лицензиатом на проведение работ по защите персональных данных.
Но в целом неформальное мнение свелось к тому, что лицензироваться в ФСБ необходимо, а во ФСТЭК необязательно.
Alt text
Комментарии для сайта Cackle

Александр Бондаренко

Блог Александра Бондаренко