II Всероссийская конференция-семинар "Персональные данные"

1 октября 2009 г. в гостинице "Рэдиссон САС Славянская" состоялась II Всероссийская конференция-семинар "Персональные данные", организованная журналом "Информационная безопасность" и Межрегиональной общественной организацией "Ассоциация защиты информации".

В мероприятии приняли участие более 350 человек - представителей всех основных отраслей российской экономики (включая такие организации, как Внешэкономбанк, Газпромбанк, СГ "Урал-сиб", ЖАСО, "РЕСО-Гарантия", Фонд социального страхования России, Пенсионный фонд РФ, НПФ "Газфонд", Комстар-ОТС, Вымпелком, МТС, Московская областная детская ортопедо-хи-рургическая больница, Самарский областной клинический онкологический диспансер, женская консультация № 7 Советского района г. Воронежа, ГК "Виктория", OZON.RU, Роснефть, Газпром Нефть, Лукойл, Объединенная нефтяная группа, Московская медицинская академия им. Сеченова, МГТУ им. Н.Э. Баумана, Курский государственный технический университет, Саратовский государственный университет имени Н.Г. Чернышевского, Российский университет дружбы народов).

Кроме того, в мероприятии участвовали представители Госдумы РФ, Росинформтехнологий, Федеральной службы по труду и занятости, ФСИН России, ФНС России, Управления региональной безопасности Тверской области, Министерства социального развития Саратовской области, Управления здравоохранения администрации города Серпухов, а также ФГУП "Рособоронэкспорт", Мосэнерго и др.

Соорганизаторами и партнерами конференции выступили ведущие компании рынка информационной безопасности и основные общественные объединения: Oracle (золотой парнер), АП КИТ, КРОК, "Инфотехнопроект" (соорганизаторы), "Газинформ-сервис", "Инфорион", ЕВРААС.ИТ, "Академия АйТи", Leta IT-com-pany, "Телекомпас", ОКБ САПР, Stonesoft, "Анкад", "ФОРС -Центр разработки" (партнеры). Мероприятие прошло при поддержке Национальной ассоциации дистанционной торговли (NAMO), Российской ассоциации агентств делового туризма (BTAA), Российской гостиничной ассоциации (РГА).

В отличие от прошлогодней конференции, на которой основной акцент делался на общеметодологических и юридических вопросах, в этом году основное внимание было уделено практическому опыту построения систем и прохождения проверок. В рамках секционных заседаний обсуждались вопросы, касающиеся оптимизации ИС под обработку ПДн, взаимоотношений проверяющих и проверяемых, приводились примеры реализации требований безопасности ПДн на практике, был представлен опыт прохождения проверок Роскомнадзора, предложено решение защиты ПДн при трансграничной передаче данных.

Представители образовательных учреждений, телекоммуникационных компаний и муниципальных образований поделились своим опытом и проблемами, связанными с задачей приведения информационных систем в соответствие с требованиями ФЗ "О персональных данных".

В дискуссиях участвовали члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

В рамках брифинга регуляторов представители ФСТЭК и ФСБ России, Роскомнадзора по Москве и Московской области ответили на вопросы участников, выступили с краткими докладами. Андрей Федосенко, ведущий советник аппарата Комитета Госдумы по конституционному законодательству и государственному строительству, рассказал о перспективах дальнейшего развития нормативной базы в области защиты персональных данных.

Станислав Любушкин
Управление Роскомнадзора по Москве и Московской области

На данном этапе тема персональных данных действительно актуальна, потому что до времени "Ч", когда в полном объеме вступит в силу ФЗ-152 "О персональных данных", осталось совсем немного.

У Роскомнадзора существует практика устранения нарушений в ходе проверки, когда мы даем операторам еще немного времени. Но технической стороной вопроса будет заниматься ФСТЭК, и я не думаю, что они будут применять такую же практику. Да и проверяемые ими вопросы не решить за время проверки, которая в среднем идет около 20 дней. Так что именно сейчас следует вплотную заняться этим вопросом. Поэтому я считаю, что данная конференция весьма актуальна и своевременна.

Ирина Баймакова, Алексей Рогачев
Фирма "1С"

Нам было интересно общение и налаживание контактов с различными категориями организаций (операторами, интеграторами, регуляторами), вовлеченных в одну общую для всех проблему защиты персональных данных. Особая ценность проведенной конференции - широкий спектр участников, что дало возможность установления контактов с потенциальными партнерами. Кроме того, данная конференция позволила нам, как разработчику, лучше понять, какие задачи и проблемы, связанные с применением 152-ФЗ, возникают у других участников рынка, и учесть их при доработке наших ПП, их сертификации и выработке рекомендаций для партнерской сети.

Александр Захаров
НПФ "Социум"

Конференция "Персональные данные", как и все проведенные компанией "Гротек" мероприятия, отличается прекрасным подбором участников, актуальностью тем для обсуждения, конструктивной атмосферой для завязывания контактов с будущими партнерами.

Наиболее интересными, на мой взгляд, были выступления практиков разработки линеек защиты Евраас.ИТ, Leta IT-company и Oracle.

Елена Карпова
Фирма "АНКАД"

Наиболее актуальные темы мероприятия - документальное и юридическое оформление защиты персональных данных.

Среди сильных сторон данной конференции - организация общения разработчиков и поставщиков средств информационной безопасности с операторами - потенциальными заказчиками.

Алексей Ковальчук
Банковский холдинг "АКЭФ"

Хочется поблагодарить организаторов за конференцию "Персональные данные". Отличительными чертами проводимых компанией "Гротек" мероприятий являются великолепная организация, профессионализм докладчиков и высокий уровень представителей регуляторов.

Иван Луконин
Саратовский государственный университет

Принять участие в данном мероприятии мне рекомендовали представители силовых ведомств, которые уже участвовали в прошлогодней конференции "Персональные данные". Мне сказали, что конференция будет заточена на практическое решение задач.

Наш университет уже давно зарегистрирован в качестве оператора. Разработан план мероприятий, началось их осуществление. Поэтому нам интересны темы, связанные с моделями угроз, вопросы о том, как грамотно описать класс информационных систем персональных данных, какими путями его можно уменьшить.

Павел Мельников
Банк HSBC

Нам интересно, насколько возможно провести комплекс работ по приведению наших систем в соответствие с законом собственными силами, насколько необходимо применение сертифицированных средств защиты в наших информационных системах. Для нас актуальны и вопросы трансграничной передачи данных, а также последующей аттестации наших систем.

Мероприятие полезно тем, что в таком большом кругу профессионалов есть возможность получить практический опыт прохождения проверок регуляторов, понять подход к реализации требований закона.

Илья Митричев
РФК

Хочу поблагодарить организаторов за собранную на мероприятии аудиторию: здесь есть представители компаний, которые занимаются технической сферой, и есть те, кто оказывает юридические услуги, предлагает общий консалтинг или решение узких задач. Если заказчик задаст мне тот или иной вопрос, я просто смогу посмотреть состав участников и обратиться к соответствующим специалистам.

Дмитрий Никитин
ЕВРАСС.ИТ

Конференция актуальна именно сейчас. Срок выполнения требований по персональным данным уже на подходе. Переносов не предвидится. Поэтому наиболее интересен опыт успешной практической реализации каких-то конкретных проектов. Важна уже не теория, а практика.

Организаторам спасибо за высокий уровень мероприятия, за адекватно подобранный и представительный состав участников: всех в меру - и операторов, и коммерческих структур, и представителей регуляторов. Регуляторам - отдельное спасибо за конструктивную позицию, здоровую реакцию на критику и вообще за активное участие в решении проблем, связанных с безопасностью ПДн.

Михаил Симаков
КБ "Экспресс-Тула"

Наш банк сейчас плотно занимается организацией систем защиты персональных данных. Мы находимся на определенном этапе выполнения этой задачи, и нам хотелось бы уточнить ряд юридических и технических вопросов, а также пообщаться с другими компаниями, понять, как обстоят дела у них.

Наш банк одним из первых в Тульском регионе подал заявку в Роскомнадзор, мы уже прошли проверку на соответствие требованиям ФЗ-152, теперь осуществляем закупку оборудования, прорабатываем технические и юридические вопросы защиты персональных данных.

На конференции я узнал о компаниях, которые занимаются защитой персональных данных, ознакомился с опытом операторов. Очень полезно живое обсуждение на брифинге регуляторов.

Андрей Филимонов
Санкт-Петербургский государственный политехнический университет

В конференции я принял участие, поскольку было заявлено, что здесь будет дан пошаговый алгоритм выстраивания защиты персональных данных, проведения организационных мероприятий и совершенствования программных и технических средств.

1 января 2010 г. не за горами. Все ожидают, что будет дальше, и хотят принять те меры, которые еще можно принять за оставшееся время. Мы, естественно, подготовку уже начали: выпущена часть соответствующих приказов, подготовлено положение о защите персональных данных, вносятся необходимые коррективы в действующие локальные нормативные акты. До 1 января мы планируем завершить приведение техники и нормативной базы университета в соответствие с требованиями закона.

Антон Фишман
ЗАО "Бизнес Компьютер Центр"

Наиболее актуальные темы конференции - классификация персональных данных и необходимые практические шаги в области защиты персональных данных, направленные на приведение информационных систем в соответствие с требованиями Федерального закона № 152, контроль за выполнением которого начинается 1 января 2010 г. Участие в работе конференции предоставило нам возможность не только обменяться мнениями по самому широкому кругу вопросов, наметить новые темы для расширения сотрудничества, но и обсудить в неформальной обстановке различные аспекты реализации текущих и будущих комплексных проектов в области обеспечения информационной безопасности.

Вадим Шноль
HRS

Очень полезно было увидеть на конференции представителей практически всех регулирующих органов, услышать их прогнозы на будущее. Порадовал тот факт, что предвидится обсуждение отраслевых стандартов по защите ПДн. Потенциальная польза от введения типизированной модели угроз и защиты очень велика. Однако, насколько я понимаю, далее есть высокая вероятность того, что их введение застрянет на уровне отраслей (министерств и объединений операторов типа АРБ, АСР, РГАЕ).

Также было очень полезно пообщаться с компаниями, уже прошедшими проверку Роскомнадзора. И еще я получил удовольствие от неформального общения по окончании официальной части. Все организовано очень профессионально.