10 ноября, 2010, BIS Journal №1(1)/2011

Время не бремя


Пазизин Сергей

начальник Управления по обеспечению информационной безопасности ДБ (ПАО Банк ВТБ)

Закон о персональных данных не страшен банкам, в которых IT-системы изначально создавали с учетом требований информационной безопасности

На I Международной конференции «Защита персональных данных», проведенной 27-28 октября 2010 года в Подмосковье, обсуждался широкий круг вопросов, актуальных для российских компаний и структур, попадающих под юрисдикцию ФЗ-152 «О персональных данных». Своими оценками итогов форума поделился руководитель группы защиты автоматизированных банковских систем отдела защиты информации Управления защиты информации и объектов банка Департамента по обеспечению безопасности ОАО Банк ВТБ, кандидат физико-математических наук Сергей ПАЗИЗИН.

В ПРЕДДВЕРИИ ЧАСА «Ч»

− В какой степени тематика конференции была актуальной для российских банков?

− Поскольку практически все кредитно-финансовые учреждения обрабатывают персональные данные, тематика конференции для них актуальна. Это подтверждается активным участием представителей банков и банковских сообществ в работе конференции.  

Следует также иметь в виду, что к 1 января 2011 года все  информационные системы персональных данных должны быть приведены в соответствие с требованиями ФЗ-152. Отведённое время близится к концу, а ряд вопросов ещё только предстоит решить. В законодательство вносятся изменения, регуляторы выдвигают дополнительные требования, ассоциации принимают отраслевые документы, а специалисты хотят быть в курсе всех последних событий.

− В чём отличие этого форума от других деловых мероприятий, посвящённых обсуждению проблем защиты персональных данных?

− Понятно особое внимание к I Международной конференции «Защита персональных данных»: её организатором выступил Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных. По перечню докладчиков и поднятым проблемам уровень проведённой конференции можно оценить как самый высокий.

– В какой степени для банков важен международный статус конференции и обсуждавшиеся вопросы защиты персональных данных при трансграничной передаче информации?

– В первую очередь вопросы трансграничной передачи данных и взаимодействие с зарубежными партнерами актуальны для крупных банков, имеющих дочерние банки и филиалы в других странах, в частности для ОАО Банк ВТБ.

– В чём различие проблематики трансграничной передачи данных финансово-кредитных учреждений России со странами ближнего и дальнего зарубежья?

– Как в дальнем, так и в ближнем зарубежье, в разных странах по-разному обеспечивается  защита персональных данных. Особенностью стран ближнего зарубежья является наша общая история, наличие объединяющих структур, таких как СНГ и ОДКБ, а также возможность общения на таких мероприятиях как данная конференция.

ДОРАБОТКА НА ХОДУ

− Выступления по каким темам были наиболее интересны и значимы для специалистов по информационной безопасности банков?

− Для участников, которые представляли банковские учреждения, в первую очередь были интересны вопросы, связанные с применением отраслевых документов банковской системы для выполнения требований законодательства в области персональных данных. В этом отношении наиболее значимыми и актуальными были выступления А.П. Курило − заместителя начальника Главного управления безопасности и защиты информации Банка России и А.Н. Велигуры − председателя Комитета по информационной безопасности Ассоциации российских банков.

Много нового и важного специалисты по информационной безопасности могли почерпнуть из докладов О.А. Залунина – начальника Центра по безопасности связи ФСБ России, А.О. Выборнова – эксперта комитетов по стандартизации  ТК22ПК27. Не могло не запомниться эмоциональное выступление М.М. Котухова – директора по развитию бизнеса компании «КАБЕСТ», были и другие интересные доклады и реплики.

− Что стало главным предметом дискуссий?

− После докладов развернулась содержательная дискуссия об определении понятия «Персональных данных» и проблемам юридического характера, связанным с применением закона. О том, что закон 152-ФЗ «О персональных данных» требует доработки, говорили представители операторов персональных данных, с этим соглашались и регуляторы. Такая работа, как было ясно из сделанных докладов, ведется. Одним из вопросов, вызвавших бурное обсуждение, является требование закона о наличии письменного согласия субъекта персональных данных на обработку его персональных данных.

Предлагалось легализовать согласие на обработку персональных данных действием, например, когда субъект персональных данных регистрируется на сайте компании или пользуется магазином, в котором висит плакат о ведущейся видеосъемке. Формально, в настоящее время такая форма согласия не позволяет операторам обрабатывать персональные данные. В случае с видеосъемкой не поможет даже законодательное закрепление «согласия действием», так как во многих случаях человек попадает в поле видеокамеры прежде, чем знакомится с предупреждением о ведущейся видеосъемке.

С другой стороны, банки не могут отказаться от контроля использования банкоматов с помощью видеокамер, так как это повлечет значительное увеличение рисков, как для банков, так и для их клиентов. Но все же наличие этой и других проблем вовсе не означает, что  закон ФЗ-152 в данных условиях «не работает». Спорные моменты могут быть сняты вводом отраслевых стандартов, а также путём конструктивного подхода регуляторов и проверяющих. Ожидаем также, что готовящиеся изменения  закона «О персональных данных» помогут в этом процессе.

СГОВОР НЕ АКТУАЛЕН

− Какие возможные негативные последствия вступления в силу закона о защите персональных данных вызывали наибольшую тревогу у участников конференции?

− В некоторых вопросах и репликах высказывались опасения, что нормы ФЗ-152 могут использоваться недобросовестными конкурентами. Например, путём организации потока жалоб для инициирования нескончаемых проверок соблюдения 152-ФЗ, способных блокировать работу конкурента. На мой взгляд, такие действия могут быть эффективными только при условии сговора с контролирующими органами. Судя по открытости и готовности к взаимодействию с общественностью, проявленными регуляторами − участниками конференции, такая опасность пока не актуальна.

– Как можно оценить степень готовности банковского сообщества к проверкам соблюдения норм закона о персональных данных и чем они грозят отдельным банкам?

− В основном банковское сообщество готово к выполнению норм закона о персональных данных. Традиционно в банках уделяется большее, чем в других организациях, внимание защите информации. Это связано не только с необходимостью соблюдения банковской тайны и требованиями Банка России, но и с потребностью банков защищать свои активы от злоумышленников.

Проблемы, связанные с отсутствием подразделений информационной безопасности, о которых говорил А.Н. Велигура, актуальны для небольших региональных банков или банков одного клиента. Крупные универсальные банки имеют, как правило, в своей структуре Департамент или управление информационной безопасности, для специалистов которых требования, предъявляемые к Информационным системам персональных данных, не являются новыми. Наличие согласованных с регуляторами отраслевых документов также упрощает для банков соблюдение требований по работе с персональными данными. 

− Какой положительный итог участия в конференции ваших коллег − специалистов по информационной безопасности финансовой сферы?

− Для руководителей и сотрудников служб информационной безопасности банков участие в I Международной конференции «Защита персональных данных» было, безусловно, полезным. В целом специалисты по защите информации стараются быть в курсе вопросов, связанных с ФЗ-152. Но подобные мероприятия, тем более на высоком официальном уровне, позволяют, образно говоря, «сверить часы». А именно, получить последнюю информацию из первых рук о предполагаемых изменениях в нормативных документах,  особенностях применения отраслевых стандартов, обменяться опытом с коллегами.

УСПЕВАЮТ ОТВЕТСТВЕННЫЕ

− В списках участников можно увидеть не только специалистов по защите информации, но и представителей бизнеса, юридических и IT-служб…

− Вопросы, обсуждавшиеся на конференции, интересны для специалистов разного профиля, без активного участия которых невозможно соблюдение требований ФЗ-152. Нормы закона относятся к работе организации в целом, а не только к защите информации. Соответственно, каждое подразделение должно обеспечить его выполнение в своей сфере ответственности.

При наличии эффективно работающего подразделения информационной безопасности основной объем работы по выполнению требований ФЗ-152 лежит в сферах организационной и IT. Бизнес-процессы следует реорганизовать так, чтобы при предоставлении услуг избегать обработки лишних персональных данных. В юридической области банкам нужны новые формы договоров со своими сотрудниками и клиентами, должны быть также проработаны вопросы взаимодействия с контрагентами и дочерними компаниями, включая зарубежные. При наличии морально устаревших средств автоматизации необходимо разработать и внедрить новые информационные системы, отвечающие требованиям по защите персональных данных.

Было бы странным, если бы, для приведения деятельности банков в соответствие с требованиями ФЗ-152, подразделения защиты информации, кроме выполнения своих непосредственных функций, выстраивали новые бизнес-процессы, вносили изменения в процедуры работы с персоналом или разрабатывали и внедряли новые автоматизированные системы…

Задачей подразделений защиты информации является подготовка необходимой нормативной базы, а также обеспечение работы инфраструктуры информационной безопасности − средств контроля доступа, управления криптографическими ключами и т.п.

− Как вы полагаете, все ли участники конференции могут чувствовать себя в равной степени уверенными в связи с приближением 1 января 2011 года?

− Несомненно, основной объем работ по выполнению требований закона приходится на модификацию существующих и внедрение более современных автоматизированных систем, включая разработку нового технологического процесса, учитывающего специфику бизнеса, выбор средств автоматизации, разработку и внедрение новых решений. Данный процесс объективно является очень трудоемким, затратным и длительным.

Полагаю, что основные опасения операторов персональных данных связаны именно с тем, что не все смогут в установленные сроки модернизировать свои информационные системы с учетом требований по защите персональных данных, вытекающих из 152-ФЗ. Следовательно, в более выгодном положении находятся организации, в которых существующие системы разрабатывались и внедрялись с учетом требований информационной безопасности.

Следует полагать, что задачи, которые ставили организаторы I Международной конференции «Защита персональных данных», в основном выполнены. Можно лишь высказать пожелание, чтобы при организации следующих подобных мероприятий более широко привлекались зарубежные коллеги, включая представителей дальнего зарубежья, а также, чтобы их участие в совместной работе было более активным.

 

Смотрите также

Подпишись на новости!
Подписаться