Банки оказались на персональном распутье
Лента новостей
Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Поэтому нет ничего удивительного, что после летнего затишья вновь заговорили о построении систем защиты персональных данных
Осталось меньше трех месяцев до 1 января, когда в полную силу заработает федеральный закон № 152 «О персональных данных». Поэтому нет ничего удивительного в том, что после летнего затишья вновь начались дискуссии вокруг построения в компаниях и организациях систем защиты персональных данных (СЗПДн). И в первую очередь такие дискуссии возобновились в группах риска. В частности, в финансовом секторе. Так, например, произошло на конференции «IT-безопасность в финансовом секторе», организованной компанией AHConferences. И хотя дискуссия еще далека от завершения, уже можно выделить три пути, по которым банки могут двигаться в деле решения проблемы ПДн
Стоит отметить, что на названной конференции для начала представители финансовых организаций честно пытались обсуждать все вопросы IT-безопасности. Здесь были затронуты темы и мошенничества в финансовой сфере, и противодействия DDoS-атакам, и реального опыта построения систем управления информационной безопасностью. Но настоящая дискуссия началась только после того, как была затронута тема персональных данных.
Зачинщиком спора стала страховая компания «Росно», поделившаяся с участниками мероприятия своим опытом честного выполнения требований закона № 152. Тем самым был показан первый из путей, которым могут последовать банки при решении проблемы ПДн, правда, частичном. Дело в том, что как бы хорошо ни были выполнены требования закона, никуда не исчезает другая проблема, связанная с отсутствием регламента проведения аттестации систем на соответствие требованиям все того же закона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не смогла назвать какие-либо сроки. Отсюда следует, что даже если банк построит СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно.
Второй путь решения проблемы ПДн, рассмотренный в рамках конференции на конкретном примере, заключается в выводе СЗПДн банка из-под юрисдикции закона «О персональных данных» — полной или частичной. В первом случае финансовому учреждению необходимо воспользоваться отраслевым стандартом в области информационной безопасности. Речь идет о комплексе документов БР ИББС — Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Этот стандарт имеет более широкий охват, чем закон «О персональных данных». С другой стороны, он в чем-то имеет более строгие требования по сравнению с законом 152. Зато в нем нет проблемы с отсутствием регламента проведения аттестации информационных систем. Стоит отметить, что этот стандарт ЦБ носит рекомендательный характер. Поэтому, как выяснилось на конференции, большинство банков пока выжидают и смотрят на первопроходцев — «а как у них все получится».
Также стоит отметить, что банки, по совету консультантов, стали расценивать стандарт ЦБ в качестве «спасательного круга» и «последнего шанса». То есть если до конца года не случится нового переноса сроков вступления в силу всех положений закона, а также не появится внятный регламент аттестации СЗПДн, то банки, едва ли не в последний момент, могут внутренним приказом принять стандарт ЦБ и начать работы по выполнению этих требований. В таком случае, отмечают консультанты, ФСТЭК в общем-то не будет иметь претензий к тому, что в той или иной финансовой организации до сих пор не создана СЗПДн.
Второй способ ухода из под закона № 152 продемонстрировал начальник отдела департамента безопасности «Россельхозбанка» Александр Беликов. Для начала он заметил, что многие не очень внимательно читают документы — ухватываются за первые попавшиеся положения, а на остальное не обращают внимания. То же самое, по его словам, произошло с законом «О персональных данных», когда участники рынка стали определять классность своих информационных систем, выполнять требования закона и т. п. В то же время, по его словам, в законе есть строчки о специальных системах, к которым предъявляет требования только ФСБ РФ — речь идет о требовании обрабатывать информацию в специальных системах только с помощью сертифицированных средств криптографической защиты информации.
Беликов отметил, что «Россельхозбанк» смог перевести все 70 своих ИС в разряд специальных. И это при наличии соответствующих лицензий решило все вопросы — у ФСТЭК их в итоге не оказалось.
Наконец, третий путь решения проблем ПДн был указан экспертом — советником председателя правления по информационной безопасности инвестбанка «Открытие» и директора по методологии компании «Инфосекьюрити Сервис» Михаилом Левашовым. Он предложил банкам нанимать для решения названной проблемы аутсорсеров — людей или компании, которые умеют правильно разговаривать с регулятором и решать возникающие трудности.
Стоит отметить, что при слове аутсорсеры представители банков поскучнели. Поэтому Левашову пришлось напомнить «банкирам», что если они опасаются передавать критически важную и конфиденциальную информацию сторонним подрядчикам, то у них есть другая возможность — нанимать и брать в штат банка соответствующих экспертов. Хотя это и дорого.