Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Страховщикам придется позаботиться о защите персональных данных

Страховщикам придется позаботиться о защите персональных данных

Страховщикам придется позаботиться о защите персональных данных


14.10.2010



Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 "О персональных данных". Поэтому нет ничего удивительного в том, что после летнего затишья вновь начались дискуссии вокруг построения в компаниях и организациях систем защиты персональных данных (СЗПДн). И в первую очередь такие дискуссии возобновились в группах риска. В частности, в финансовом секторе. Так, например, произошло на конференции "IT-безопасность в финансовом секторе", организованной компанией AHConferences. И хотя дискуссия еще далека от завершения, уже можно выделить три пути, по которым банки могут двигаться в деле решения проблемы ПДн

Стоит отметить, что на названной конференции для начала представители финансовых организаций честно пытались обсуждать все вопросы IT-безопасности. Здесь были затронуты темы и мошенничества в финансовой сфере, и противодействия DDoS-атакам, и реального опыта построения систем управления информационной безопасностью. Но настоящая дискуссия началась только после того, как была затронута тема персональных данных.

Зачинщиком спора стала страховая компания "Росно", поделившаяся с участниками мероприятия своим опытом честного выполнения требований закона № 152. Тем самым был показан первый из путей, которым могут последовать банки при решении проблемы ПДн, правда, частичном. Дело в том, что как бы хорошо ни были выполнены требования закона, никуда не исчезает другая проблема, связанная с отсутствием регламента проведения аттестации систем на соответствие требованиям все того же закона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не смогла назвать какие-либо сроки. Отсюда следует, что даже если банк построит СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно.

Второй путь решения проблемы ПДн, рассмотренный в рамках конференции на конкретном примере, заключается в выводе СЗПДн банка из-под юрисдикции закона "О персональных данных" — полной или частичной. В первом случае финансовому учреждению необходимо воспользоваться отраслевым стандартом в области информационной безопасности. Речь идет о комплексе документов БР ИББС — Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Этот стандарт имеет более широкий охват, чем закон "О персональных данных". С другой стороны, он в чем-то имеет более строгие требования по сравнению с законом 152. Зато в нем нет проблемы с отсутствием регламента проведения аттестации информационных систем. Стоит отметить, что этот стандарт ЦБ носит рекомендательный характер. Поэтому, как выяснилось на конференции, большинство банков пока выжидают и смотрят на первопроходцев — "а как у них все получится".

Также стоит отметить, что банки, по совету консультантов, стали расценивать стандарт ЦБ в качестве "спасательного круга" и "последнего шанса". То есть если до конца года не случится нового переноса сроков вступления в силу всех положений закона, а также не появится внятный регламент аттестации СЗПДн, то банки, едва ли не в последний момент, могут внутренним приказом принять стандарт ЦБ и начать работы по выполнению этих требований. В таком случае, отмечают консультанты, ФСТЭК в общем-то не будет иметь претензий к тому, что в той или иной финансовой организации до сих пор не создана СЗПДн.

Второй способ ухода из под закона № 152 продемонстрировал начальник отдела департамента безопасности "Россельхозбанка" Александр Беликов. Для начала он заметил, что многие не очень внимательно читают документы — ухватываются за первые попавшиеся положения, а на остальное не обращают внимания. То же самое, по его словам, произошло с законом "О персональных данных", когда участники рынка стали определять классность своих информационных систем, выполнять требования закона и т. п. В то же время, по его словам, в законе есть строчки о специальных системах, к которым предъявляет требования только ФСБ РФ — речь идет о требовании обрабатывать информацию в специальных системах только с помощью сертифицированных средств криптографической защиты информации.

Беликов отметил, что "Россельхозбанк" смог перевести все 70 своих ИС в разряд специальных. И это при наличии соответствующих лицензий решило все вопросы — у ФСТЭК их в итоге не оказалось.

Наконец, третий путь решения проблем ПДн был указан экспертом — советником председателя правления по информационной безопасности инвестбанка "Открытие" и директора по методологии компании "Инфосекьюрити Сервис" Михаилом Левашовым. Он предложил банкам нанимать для решения названной проблемы аутсорсеров — людей или компании, которые умеют правильно разговаривать с регулятором и решать возникающие трудности.

Стоит отметить, что при слове аутсорсеры представители банков поскучнели. Поэтому Левашову пришлось напомнить "банкирам", что если они опасаются передавать критически важную и конфиденциальную информацию сторонним подрядчикам, то у них есть другая возможность — нанимать и брать в штат банка соответствующих экспертов. Хотя это и дорого.

Источник:
BFM.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"