22 мая в Ассоциации Российских Банков (АРБ) прошло заседание рабочей группы по вступающим в силу с 1 января 2010 года отдельным положениям соответствующего Федерального закона № 152-ФЗ. Как участник данной встречи хотел сначала подробно расписать, к чему пришли на этой встрече, а потом на сайте нашел пресс-релиз по ее результатам. Поэтому повторяться не буду.
Собственно в июне пройдет вторая встреча по данному направлению с приглашением регуляторов и обсуждением всех предложений в расширенном составе. А вот в июле планируется проведения конференции под эгидой АРБ и ЦБ по данной теме.
Из наиболее интересного хочу отметить, что планируется активно задействовать СТО БР ИББС-1.0 в качестве типовой модели угроз ПДн (возможно с некоторой доработкой) и набора защитных мероприятий. Если удастся данный отраслевой стандарт сделать «заменой» требованиям ФСТЭК по персданным для кредитных учреждений, а оценку соответствия данному стандарту приравнять к аттестации, то для банков ситуация сильно облегчится в части выполнения технических требований по защите ПДн. Остаются еще требования самого ФЗ, но и тут нас скоро ждут изменения. По крайней мере в Минкомсвязи сейчас готовится проект ФЗ о внесении изменений в ФЗ-152.
Надо заметить, что это не единственный пример такой консолидации сил. Помимо банковского сообщества, аналогичная работа ведется под эгидой инфокоммуникационного союза для операторов связи. Дело за малым — осталось привлечь Всеросийский союз страховщиков для страховых компаний и мы получим наиболее важные отрасли, чьи клиенты насчитывают десятки миллионов людей. Еще бы ЖКХ и социалку привлечь, но у них, имхо, нет ассоциации, объединяющей их интересы.
Мда, а остальным как быть? У нас своего отраслевого стандарта нету…
А кто вам мешает выходить с инициативой на Российский Союз страховщиков?
ВСС по сути полудохлый (ничего он лоббировать не будет), а остальные союзы (автостраховщиков, агростраховщиков, авиастраховщиков и тд) узкоспециальные, каждый своим видом занимается. Да и даже если бы ВСС взялся, сколько времени займет разработка и становление статуса отраслевого стандарта? Боюсь, годы.
Ну какие годы. Вон инфокоммуникационный союз для большой тройки в конце прошлого года начал такую работу. Скоро должен закончить 😉
Если проблема есть, то возглавьте ее сами 😉 Пригласите Ингострах, Росгострах и других крупных игроков.
По поводу работ в инфокоммуникационном союзе — «скоро сказка сказывается…» ;-(
Думается, что исход зависит от лоббистских возможностей. У банковской сферы они, очевидно, значительны. С другой стороны вряд ли удастся отмахнуться от применения сертифицированных СЗИ.
От сертификации точно не отмахнешься. Как и от аттестации. Пока ФСТЭК стоит на этих позиция мертво. С аттестацией есть «схемы» 😉
Что касается лобби, то оно есть почти у любой «ассоциации» или «союза». Без него она не могда бы существовать вообще 😉
Банкам без АБС, с их миллионами транзакций, никуда (и требования по непрерывности у них повышенные). У страховщиков ситуация несколько иная, от ИТ такой зависимости нет (договора все равно в материальном виде заключаются и существуют). Если привести ИС в соответствие будет слишком сложно, возможен и отказ от ИТ для обработки информации о страхователях. Вряд ли это вероятный сценарий, но вовсе не невозможный.
Ты от ИТ не можешь отказаться хотя бы по той причине, что печатать договора на машинке — слишком накладно по всем показателям. А от ФЗ-152 ты все равно не уйдешь — у тебя хранение договоров соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Так от ФЗ я и не пытаюсь, у меня ФСТЭК больший зуд вызывает;) Особенно как про К1 вспомню. А договора в основном типовые, поэтому задача сведется к заполнению формы. Ручкой. Как ОСАГО.
Кстати, есди вдуматься, идея не такая уж абсурдная, хоть «медицина» уберется…А вообще хреново, когда из-за невозможности выполнения закона всерьез думают об отказе от современных технологий. Если бы аналогичные по жесткости требования предъявили к транспортным средствам, то завтра предприятия общественного транспорта вывели бы на линии самокаты и велосипеды:)
> хреново, когда из-за невозможности
> выполнения закона всерьез думают
> об отказе от современных технологий
Смотря кому. Поскольку возможности утечки уподобляются стремительному домкрату, достижение цели, названной в статье 2, налицо.