3-я конференция АРБ о реализации требований 152-ФЗ

3-я конференция АРБ о реализации требований 152-ФЗ

В среду посетил мероприятие АРБ, посвященное вопросам персональных данных. Делегатов было порядка 200 человек (представители банков, разработчиков АБС, консультантов и др.). Выступали представители ЦБ (А.П. Курило), Роскомнадзор (Кантемиров Ю.Е.), ФСБ (Баранов А.П.), ФСТЭК (Лютиков В.С.), а также представители консультантов и различных банков.

В целом мероприятие оставило неоднозначное впечатление. С одной стороны понятно, что такого рода конференции нужны, т.к. позволяют обмениваться реальным опытом, делиться проблемами и возможно даже совместными усилиями их решать, но с другой стороны лично меня обескуражило, что по ряду вопросов мнения экспертов очень серьезно различались и судя по переговорам в зале, конференция у некоторых оставила больше вопросов, чем ответов. Ну поживем - увидим как оно все будет развиваться.

Теперь немного о самой конференции. Открыл конференцию Андрей Петрович Курило с общим обзором текущей ситуации в области защиты персональных данных в банковских организациях. По его словам сейчас уже достигнуто взаимопонимание с регуляторами, т.е. стандарты серии СТО БР ИББС не вызывают никаких вопросов и полностью ими принимаются. Кроме того сейчас уже активно пошел процесс присоединения к стандарту и в адрес ЦБ приходит около 2х писем в день от банков, решивших принять СТО БР ИББС в качестве стандарта, обязательного для выполнения. Кроме того этой осенью в федеральный закон и возможно подзаконные акты будут вноситься изменения, которые видимо внесут коррективы в порядок обеспечения безопасности персональных данных.

А.П. Баранов и В.С. Лютиков в своих докладах коснулись более подробно возможных осенних изменений и в частности изменений 19-ой статьи Федерального закона. Какие именно будут изменения к сожалению никто из них не сказал, но видимо что будет изменен подход к формированию требований по обеспечению безопасности персональных данных, а также порядок контроля за соблюдением этих требований. Честно сказать я очень сильно пытался понять как же это будет, но у меня это так и не получилось :).... так что будем ждать вестей из Думы.

Далее выступал Валерий Павлович Харламов с докладом о международных стандартах в области ИБ вообще и защиты персональных данных в частности (ISO 29100). Доклад в целом был интересным, но только вот зачем это банкам, ведь уже понятно что на ближайшие годы основным стандартом будет СТО БР ИББС-1.0? Хотя возможно эти стандарты будут использованы при подготовке новой редакции стандартов СТО БР ИББС.

Ю.Е. Кантемиров рассказал о работе Роскомнадзора за последние два года. Так было сказано, что за 2009 год было проведено 37 проверок банков и в 67% случаев были выявлены нарушения, а за 9 месяцев 2010 года - 70 проверок из которых нарушения нашлись в менее чем 50% случаев. Интересная статистика, хотя уж какая-то очень хорошая (не верится мне, что сейчас можно выполнить 152-ФЗ без нарушений :))
Из основных замечаний было указано, что:
а) банки должны (!) уведомлять Роскомнадзор об обработке персональных данных
б) необходимо включать в договора с коллекторами требования по обеспечению конфиденциальности передаваемых персональных данных
в) грубым по мнению РКН нарушением законодательства является публикация информации о неблагонадежных заемщиках в публичных ресурсах (веб-сайт, пресса и т.п.). По ряду таких фактов материалы были переданы в прокуратуру.

Далее была секция вопросов-ответов и презентаций отдельных банков,но тут ничего нового сказано не было, кроме одного - по поводу лицензирования ФСТЭК И ФСБ.
Текущий закон о лицензировании предполагает обязательное (!) лицензирование по линии ФСТЭК, а также лицензирование по линии ФСБ (при использовании криптографии). Сейчас ведется обсуждение возможных поправок в этот закон, но чем все закончится пока не понятно. Будем ждать. Артем Сычев из Россельхозбанка предложил как один из вариантов текущего решения проблемы с лицензированием ФСТЭК - заключение договора с организацией-лицензиатом на проведение работ по защите персональных данных.
Но в целом неформальное мнение свелось к тому, что лицензироваться в ФСБ необходимо, а во ФСТЭК необязательно.
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Александр Бондаренко

Блог Александра Бондаренко