О банковском эгоизме

Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:

Конференция была разделена на три части:

  • общее введение в проблему
  • рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
  • презентация рекомендаций для банков.

В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн 😉 Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:

  • ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
  • лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.

ФСТЭК тоже выступал, но из интересного только два момента запомнилось:

  • четверокнижие — это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
  • ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.

 Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):

  • практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
  • организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.

ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Отраслевые и районные документы по защите ПДн — это национальный позор, вообще говоря. Это как всем торжественно расписаться, что "консерватория" недееспособна.

    Ответить
  2. Роман

    Алексей, а где можно найти сам текст Рекомендаций?

    Ответить
  3. Quiet Zone

    А мне идея отраслевых стандартов нравится. Только не по защите исключительно ПДн, разумеется (это как стоматолог только по коренным), а по соблюдению требований ИБ в целом. Есть же PCI DCC и стандарты ITU, и они приносят пользу, так почему не быть другим, дифференциированным, например, по видам деятельности? Главное не довести до абсурда и не изобретать отдельных стандартов на каждый незначительный чих рынка и государства.

    Ответить
  4. Анонимный

    Автору +100500,
    за сравнение наших и западных теоретических основ законодательства о ПД в презентации.

    Ответить
  5. AndrewZ

    Еще телеком отмажут чуть попозже. В этом нет сомнений.
    А стричь будут остальных.

    Ответить
  6. Анонимный

    Ригелю ++
    Очередной показ — кто жирнее/сильнее/активнее — тот и прав!
    Это не в упрек АРБ или ОСС — они как раз молодцы… С одной стороны горько, с другой — а по другому никак… Только вот лунопарк уже не причем получается… цель ФЗ все дальше и дальше…

    P.S. "Yeah, well, I'm gonna go build my own theme park, with blackjack and hookers. In fact, forget the park!" (с) Бэндер.

    Ответить
  7. Unknown

    Этот комментарий был удален автором.

    Ответить
  8. Unknown

    Алексей,
    Относительно этого:
    "•лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна"

    Речь идет об "осуществлении деятельности по техническому обслуживанию шифровальных (криптографических) средств"?

    Т.е. заказчику теперь нет необходимости получать лицензию или заключать договор на обслуживание с лицензиатом?

    Ответить
  9. Алексей Лукацкий

    Vladimir: Да.

    Ригелю: Ты не прав. Отраслевые документы — это нормально. Ты либо пишешь в общем, либо конкретизируешь. Но тогда нужна отраслевая специфика.

    Ответить
  10. Анонимный

    2 Алексей
    Отраслевая специфика все к тому и шло… но тут появляется особенность и вопрос…

    Особенность:в связи с тем, что любой готов доказывать что у него своя специфика становится жаль тех, кто не может ее "продавить"

    Вопрос: Теперь необходимо остановить процесс и поставить отраслям задачу — за 3 месяца выпустить и согласовать тех. требования для своих отраслей?

    Опять же избранные выкрутятся…
    Идет борьба между Регуляторами и операторами а субъект затих и ушел в тень…

    Ответить
  11. Анонимный

    Не стерпел. Что означает "сам для себя"?
    Задача:
    1. Есть главный офис и его филиал, не являющийся отдельным юр. лицом.
    2. Между ними с использованием СКЗИ передается коммерческая тайна, принадлежащая этой организации.
    3. Между ними с использованием СКЗИ передаются ПДн граждан, принадлежащие им самим, а не организации.
    Вопросы:
    1. В каком случае 1 или 2 не надо получать лицензию на предоставление услуг по СКЗИ?
    2. (предвосхищая ответ) Если ни в каком, то вообще в каком случае применяется лицензирование по предоставлению услуг по СКЗИ??? Зачем вся документация ФСБ по этим вопросам? Зачем поэкземплярный учет проданных СКЗИ? Кто в организации будет выполнять требования, если можно ничего не делать???? Особенно в гос. органах. Если так, то об УЦ в том виде как оно есть можно забыть. И про ЭЦП забыть. Дорога в пропасть.
    ZZubra

    Ответить
  12. Алексей Лукацкий

    Вот когда ты оказываешь предпринимательские услуги со СКЗИ, то тогда нужны лицензии. За клиент-банк, например.

    Ответить
  13. Анонимный

    Алексей, без получения лицензии ФСБ, к примеру, вам не дадут ввезти (приобрести) модули безопасности для международных платежных систем.

    Ответить
  14. Анонимный

    Я и говорю. Рынок услуги ЭЦП, УЦ убивается фразой не нужна лицензия для себя. Для себя не вкладывая особых усилий, бесконтрольно можно применять СКЗИ везде, зачем тратиться на услугу?
    ZZubra

    Ответить
  15. Ригель

    > Ты не прав. Отраслевые
    > документы — это нормально.

    В каком случае? Когда учитывают интересы не всех тех сторон, чьи затрагивают — совершенно не нормально.
    Завтра ассоциация продавцов сельхозпродукции правила санитарно-эпидемиологического контроля скорректирует, послезавтра ассоциация автоперевозчиков пешеходные переходы отменит — хорошо живем!

    Ответить
  16. Алексей Лукацкий

    Они ничего не корректируют и не отменяют — они предлагают адекватные правила, учитывающие специфику своей отрасли.

    Ответить
  17. Ригель

    Адекватные чьим целям — их собственным, не так ли?

    Ответить
  18. Анонимный

    В общем это "лицензия для себя не нужна" убивает весь институт лицензирования. Не только в крипто, ТЗКИ, но и в строительстве, медицине, образовании и во всех других областях.

    Мне тут вариант трактовки этого термина предложили:
    У ФСБшника (ФСТЭКовца)спрашивают: "Лицензия для себя нужна?"
    Он переспрашивает:" Для себя?"
    Ответ: "Да"
    Ответ ФСБ/ФСТЭК: "Нет, для себя не нужна"
    Проверка.
    ФСБ/ФСТЭК: "Где лицензия?"
    Проверяемый: "Вы же сказали что для себя не нужна!!!"
    ФСБ/ФСТЭК: "Ну да. Для себя (для ФСБ/ФСТЭК) не нужна. А Ваша лицензия где?"

    ZZubra

    Ответить
  19. Анонимный

    2 ZZubra

    повеселило..

    Ответить
  20. Анонимный

    Работать и разговаривать с клиентом в условиях неопределенности не весело (((
    Я уж про аутсортинг УЦ не говорю. Огромный объем работ, который может оказаться не нужным, но сейчас его на всякий случай делать надо.
    ZZubra

    Ответить
  21. Игорь К.

    С сайта ФСТЭК исчезло упоминание четверокнижия. Вместо этого появилось два документа:
    — Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
    — Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

    С очень любопытной пометкой "(Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)"

    См. вот здесь — http://www.fstec.ru/_spravs/_spec.htm

    Ответить