Вы находитесь на странице: 1из 9

Круглый стол

Проблемы защиты персональных


данных в кредитно-финансовых
учреждениях

С момента принятия Закона «О персональных данных» (№ 152-ФЗ) прошло почти два года.
Нормативные подзаконные акты появились около года назад, начались практические шаги по
выполнению требований закона. Специфика бизнеса кредитно-финансовых учреждений и пре-
жде побуждала банковские структуры внимательно относиться к защите данных своих клиентов,
выполнять существующие законы и стандарты. Тем не менее, с целью снижения рисков приоста-
новления деятельности многие банки уже классифицировали свои информационные системы и
начали предпринимать шаги по дополнительной защите именно персональных данных (ПДн).
Прошли первые проверки со стороны регулирующих органов, и уже можно говорить о правопри-
менительной практике в отношении Закона № 152-ФЗ.
Вместе с тем, появились и первые разочарования, а главное – множество вопросов по практичес-
кому выполнению требований закона № 152-ФЗ. Искать ответы предстоит всем участникам про-
цесса – регуляторам, операторам ПДн, разработчикам и интеграторам информационных систем.
Ряд актуальных для профессионального сообщества вопросов были вынесены на обсуждение на
Круглом столе, проведенном журналом «Connect! Мир связи» 28 мая.
Поддержку проведению мероприятия оказали компании: Aflex Software, BCC, Cisco, INLINE
Technologies, «Инфосистемы Джет», КРОК, Лаборатория «Скат», «С-Терра СиЭсПи», «ЭЛВИС-
ПЛЮС».
Предлагаем вниманию читателей основные итоги, мнения и предложения, высказанные участни-
ками обсуждения.

Руководитель проекта Наталья Павлова

Круглый стол_ПД.indd 1 17.07.2009 13:00:47


Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!

КРУГЛЫЙ ­СТОЛ

Проблемы защиты персональных


данных в кредитно-финансовых
учреждениях
В круглом столе приняли участие:
Представители регулирующих и контролирующих органов

Гаврилов Виктор Евдокимович, Курило Андрей Петрович,


первый заместитель начальника Управления Центра защиты информации заместитель начальника Главного управления безопасности Банка России
и специальной связи ФСБ России
Харламов Валерий Павлович,
Назаров Игорь Григорьевич, начальник отдела Главного управления безопасности и защиты информации
начальник отдела Управления ФСТЭК России Банка России

Васильева Лариса Борисовна,


начальник Управления по защите прав субъектов персональных данных,
Роскомнадзор

Операторы персональных данных

Атаманов Владимир Петрович, Окулесский Василий Андреевич,


круглый стол

заместитель начальника Управления защиты информации МБРР начальник ОЗИ СБ, Банк Москвы

Бондарев Сергей Николаевич, Омельченко Александр Анатольевич,


начальник Управления информационной безопасности начальник управления информационной безопасности, Альфа-Банк
Департамента безопасности Сбербанка России
Плотников Вадим Евгеньевич,
Бычков Артем Романович, начальник Центра информационной защиты ОИБСС
главный специалист по ИБ, ОАО «ТрансКредитБанк»
Сумманен Карл Тайстович,
Грициенко Андрей Александрович, вице-президент, начальник управления банковских процессов и технологий,
начальник Службы информационной безопасности, ОАО «Банк ВТБ»
банк «Возрождение»
Сычев Артем Михайлович,
Егоркин Александр Викторович, начальник управления информационной безопасности, ОАО «Россельхозбанк»
начальник Управления защиты информации, ОАО «Газпромбанк»
Шубин Александр Сергеевич,
Емельянов Геннадий Васильевич, служба информационной безопасности, банк «Возрождение»
Председатель МОО «АЗИ»
Федорец Андрей Олегович,
Калайда Игорь Алексеевич директор департамента ИТ, ОАО Банк «Алемар»
вице-президент Ассоциации «ЕВРААС»
Янсон Иван Андреевич,
Котов Сергей Джавидович, заместитель руководителя Службы информационной безопасности,
начальник отдела информационной безопасности, ОАО «Собинбанк» «Промсвязьбанк»

Михеев Игорь Владимирович,


заместитель начальника Информационно-технического отдела МБРР

Поставщики решений и услуг

Александровская Надежда Александровна, Лукацкий Алексей Викторович,


советник генерального директора, менеджер по развитию бизнеса, Cisco
компания «Лаборатория «Скат»»
Ляпунов Игорь Валентинович,
БАЖИН Игорь Витальевич, директор Центра информационной безопасности,
ведущий инженер информационной безопасности, компания «Инфосистемы Джет»
департамент информационных технологий компании КРОК
Породин Дмитрий Александрович,
Вихорев Сергей Викторович, начальник отдела систем информационной безопасности, INLINE Technologies
заместитель Генерального директора по развитию,
компания «ЭЛВИС-ПЛЮС» Рябко Сергей Дмитриевич,
генеральный директор, компания «С-Терра СиЭсПи»
Гарканов Андрей Валерьевич,
директор по маркетингу, Aflex Software Сухин Андрей Петрович,
генеральный директор, компания «Лаборатория «Скат»»
Горьков Сергей Анатольевич,
руководитель центра информационной безопасности Хазов Артем Владимирович,
и мобильных решений, компания ВСС директор по продажам, Aflex Software

2 CONNECT | № 7, 2009  www.connect.ru

Круглый стол_ПД.indd 2 17.07.2009 13:00:47


Ведущие

Вершинский Сабанов Алексей Геннадьевич, Соколов Александр Васильевич,


Владимир Анатольевич, заместитель генерального директора вице-президент по стратегическому развитию,
издатель журнала «Connect! Мир связи» компании Aladdin компания «ЭЛВИС-ПЛЮС»

Практические вопросы: мест на каждом. Аттестация по программе, Алексей Лукацкий: Хотелось бы уточ-
которая была согласована со ФСТЭК Рос- нить: может ли лицензиат и разработать
аттестация, сертификация, сии, заняла примерно три месяца. модель угроз, и произвести затем аттес-
лицензирование Андрей Грициенко: Информационные тацию этого же заказчика? И каковы воз-
системы 55 своих филиалов банк «Воз- можные действия, если после аттестации
Вопросы первой части «круглого стола» рождение» аттестовал ровно год. Плюс при проведении надзорных мероприятий
адресовались, главным образом, представи- примерно год заняли подготовительные будут обнаружены какие-то отклонения от
телям регуляторов. работы – создание отдела, отбор и обучение позиции ФСТЭК?
специалистов, приобретение необходимой Как следовало из ответов И. Назарова
Кто может аттестовать рабочие техники и согласование программы испы- на эти вопросы, модель угроз может разра-
места на соответствие таний со ФСТЭК. ботать для оператора лицензиат ФСТЭК.
требованиям законодательства Он же может аттестовать ИСПДн заказ-
и нормативных документов Как убедиться, что модель чика, и поскольку он при этом реализует
в области персональных угроз, разработанная позицию ФСТЭК, возражений со стороны
данных? Каковы сроки для специальной системы, ведомства не будет.
проведения аттестации? не вызовет претензий Сергей Рябко: Напрашивается мысль,
со стороны надзорных что модели угроз и возможные типовые
Игорь Назаров: Аттестацию ИСПДн на органов? решения по их компенсации было бы це-
соответствие требованиям по безопасности лесообразно не разрабатывать с нуля ин-
информации имеют право проводить ли- Игорь Назаров: При желании оператор дивидуальный проект для каждого объекта,
цензиаты ФСТЭК, которые имеют лицен- ПДн может согласовать со ФСТЭК Рос- а типизировать. Есть ли движение в этом
зию на деятельность по технической защите сии разработанную им модель угроз, хотя направлении?
конфиденциальной информации. руководящие документы ФСТЭК России Игорь Назаров: По моей информации,
По поводу сроков проведения аттеста- этого не требуют. На согласование модели такие работы ведутся нашими лицензиата-
ции И. Назаров заметил, что, скорее всего, угроз у нас уходит, как правило, одна- ми, и мы их только приветствуем.
они будут зависеть от аттестуемой сис- две недели, максимум три, если модель Андрей Курило: Важен вопрос, будем
темы. В свою очередь, участники «круглого сложная. ли мы учитывать в модели угроз утечку ин-
стола» привели примеры сроков выполне- Мы будем проверять выполнение тех формации по техническим каналам или нет.
ния таких работ, исходя из собственного требований, которые оператор в соответс- От этого в значительной степени зависят
опыта. твии с моделью угроз определил для своей временные и материальные затраты банка.
Сергей Вихорев: От имени лицензиатов информационной системы, не вникая в со- Поэтому было бы хорошо определиться
хочу сказать, что сейчас назвать конкретные держание обрабатываемых персональных по этому вопросу. Банк России, проведя
сроки и цену проведения аттестационных данных – так определено законом. определенные исследования и применив
испытаний затруднительно. Все зависит от Разбирательство последует в том случае, методику оценки рисков нарушения инфор-
систем, объема работ и требуемой степени если субъект ПДн обратится с претензией мационной безопасности (которую можно
защиты. Но в свое время «ЭЛВИС-ПЛЮС» по поводу утечки его персональных данных найти на сайте Подкомитета № 3) еще раз
провел аттестационные испытания системы в Роскомнадзор либо ФСТЭК России (а убедился в том, что эти каналы не актуаль-
переписи населения – это 68 объектов по ФСТЭК России, соответственно, передаст ны. А значит, нужна более четкая модель,
всей территории РФ, от 200 до 30 рабочих обращение в Роскомнадзор). приближенная к практической жизни.

№ 7, 2009 3

Круглый стол_ПД.indd 3 17.07.2009 13:01:03


Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!

Гаврилов Назаров Васильева Курило


Виктор Евдокимович Игорь Григорьевич Лариса Борисовна Андрей Петрович

Признав, что меры по защите каналов полномочий, определенных либо дове- средств для защиты наиболее критичных
ПЭМИН и виброакустических каналов для ренностью, либо уставом. В связи с этим, категорий ПДн. Его обсуждение обернулось
многих организаций не являются актуаль- если филиал уполномочен проводить со- вопросами к регулятору.
ными, Игорь Назаров посоветовал банкам ответствующие мероприятия, он может
обосновать в своей модели угроз неактуаль- иметь копию лицензии в установленном Согласно ст. 5 Постановления
ность рисков утечек по этим каналам. порядке, если таковая есть у банка. Если Правительства РФ № 781
же филиал привлекает лицензиатов, ли- средства защиты информации,
Нужно ли операторам, цензия не нужна, а уведомление в Роском- применяемые
обрабатывающим надзор составляется единое, для банка в в информационных системах,
персональные данные целом.
в установленном порядке
в ИСПДн, получение лицензии
проходят процедуру оценки
круглый стол

на техническую защиту Какой класс присваивается


информационной системе, соответствия. Не получается ли
конфиденциальной
если в ней обрабатываются в этом случае,
информации?
данные, представляющие что применяемые
Игорь Назаров: В соответствии с до- различные виды тайн – на сегодняшний день
кументами ФСТЭК лицензия необходима коммерческую, банковскую, в информационных системах
операторам ПДн, которые самостоятельно персональные данные? персональных данных
проводят такие мероприятия по информа- средства защиты, которые уже
ционным системам 1, 2 класса и территори- Игорь Назаров: Если в одной и той
имеют сертификат, например,
ально распределенным системам 3 класса, же системе обрабатывается информация,
как правило, это большие государственные содержащая коммерческую, банковскую
по определенному классу
информационные системы. При этом для тайну и персональные данные, то оператор защиты от НСД или ТУ,
поликлиник, детских садов, аптек и т. п., информационной системы вправе самосто- не могут применяться для
имеющих ИСПДн 3 и 4 классов, получение ятельно выбрать в каком режиме защиты защиты именно персональных
таких лицензий не требуется. и по требованиям каких документов обес- данных в ИСПДн?
В соответствии с постановлением печивается защита информации. Уровень
Правительства Российской Федерации от требований по защите коммерческой тай- Игорь Назаров: Подготовленная
17  ноября 2007 г. № 781, если оператор ны организации определяют сами. Со сто- ФСТЭК России система документов по
ИСПДн заключает договор на проведение роны ФСТЭК России никаких требований вопросам защиты информации в ИСПДн
соответствующих мероприятий в части за- по этому поводу нет. обеспечивает полную преемственность со
щиты информации (ПДн) с уполномочен- Между тем, для специалистов-практи- всеми ранее разработанными требовани-
ным лицом – лицензиатом ФСТЭК России, ков по-прежнему остаются не вполне ясны- ями. Отдельная система сертификации
иметь лицензию ему не обязательно. ми различия между 2-й и 3-й категориями средств защиты персональных данных со-
Отдельный вопрос возник по лицензиро- персональных данных, определения которых здаваться не будет. Средства защиты ин-
ванию для территориально распределенных даны в совместном приказе ФСТЭК, ФСБ формации, сертифицированные ФСТЭК
систем, тем более что зачастую специа- и Мининформсвязи от 13.02.2008 – фор- России, могут использоваться в ИСПДн.
листы по информационной безопасности мулировка «позволяет получить допол- На сайте ФСТЭК в реестре сертификатов,
имеются только в головном офисе. нительную информацию» понимается не выданных на технические и программные
Сергей Вихорев: Разрешите, я отвечу, однозначно. средства защиты, имеются пометки, для
потому что у «ЭЛВИС-ПЛЮС» был такой Уже во второй части «круглого стола» какого класса информационных систем
опыт. Филиал не является юридическим перед представителями банков был пос- персональных данных каждое средство
лицом и выполняет функции в пределах тавлен вопрос о подборе ими технических можно применять.

4 CONNECT | № 7, 2009  www.connect.ru

Круглый стол_ПД.indd 4 17.07.2009 13:01:04


Харламов Бондарев Емельянов Калайда
Валерий Павлович Сергей Николаевич Геннадий Васильевич Игорь Алексеевич

Предположим, в банке документации ФСТЭК, так называемого Алексей Лукацкий: Будут ли требова-
установлен действующий «четверокнижия». В настоящее время эти ния по НДВ дифференцироваться по классу
межсетевой экран, который документы, которых теперь будет два, систем или они будут общими для всех
не прошел проверку а не четыре, готовятся для передачи на четырех классов? Ведь западной компании
регистрацию в Министерство юстиции. непросто представить исходные коды.
соответствия. Значит ли это,
Документы будут открытыми. Игорь Назаров: Требования по НДВ
что межсетевой экран нужно будут дифференцироваться в зависимости
отключить и отвести Какова степень от класса информационной системы.
к лицензиату для проведения преемственности между ФСБ России также готовит новые
проверки соответствия? первой и второй редакциями версии своих нормативно-методических
документов? Отменят ли новые документов.
Игорь Назаров: Такой межсетевой экран документы какие-либо
подлежит замене на сертифицированный. Возможна ли конкретизация
положения предыдущих?
Кроме того, мы рассматриваем комплект в нормативных документах ФСБ
технической документации по обеспече- Игорь Назаров: Принципиальных от- требований по проведению
нию безопасности персональных данных личий от предыдущей версии новые до- мероприятий по обнаружению
в конкретной информационной системе кументы не имеют. Были лишь устранены вторжений в ИСПДн?
в целом, в том числе и функциональные некоторые неточности и неоднозначности,
свойства указанного межсетевого экрана. которые существовали в прежних доку- Виктор Гаврилов: Федеральная служба
И пока не было прецедентов, чтобы кому-то ментах. В частности, более ясно говорится безопасности, как и ФСТЭК, готовит к
было дано отрицательное заключение. о снятии вопросов защиты таких каналов переизданию два свои нормативно-мето-
На вопрос, что делать, если у организации утечки, как ПЭМИН, если они действитель- дических документа, и в новой редакции,
множество филиалов, в каждом большое коли- но не актуальны. безусловно, этот вопрос будет учтен.
чество оборудования и везде обрабатывают- Модель угроз открытой не будет, с на- Здесь имела место некоторая межве-
ся персональные данные, был дан ответ, что шей точки этот документ должен иметь домственная нестыковка – ссылка на тре-
системы филиалов наверняка в той или иной ограничительную пометку «для служебного бование ФСБ к системе обнаружения ком-
степени типизированы. Поэтому для согла- пользования». пьютерных атак содержится в документах
сования достаточно представить типовое Но отменять какие-либо положения ФСТЭК, а не ФСБ. Но в новой версии мы
техническое задание, технический проект и, прежних документов новые документы не это учтем, и соответствующие рекоменда-
при желании подстраховаться, модель угроз. будут. До их выхода можно руководство- ции будут даны.
ваться прежними документами. К сожалению, классификация средств
Нормативно-методические Игорь Ляпунов: Уточняющий вопрос: обнаружения вторжений отличается от
будут ли в новых версиях документов классификации средств криптографичес-
документы: грядут изменения сняты ограничения или сделаны какие-то кой защиты, более того, сам подход к клас-
нововведения в части сертификации на сификации несколько иной. Тем не менее
Одно из грядущих (и скорых) измене- отсутствие НДВ? определенные рекомендации по выбору
ний – выход новой версии СТР-К, которая Игорь Назаров: В этих документах сертифицированных средств будут даны в
сейчас готовится ФСТЭК. Документ будет будет уточнено, что сертификация по наших документах.
проходить регистрацию в Министерстве контролю отсутствия НДВ касается фун- На уточняющий вопрос, верно ли, что
юстиции. Правда, сроки его выхода пока не кционала безопасности, именно средств для систем IDS и IPS необходим только
называются. защиты, а не всего программного обес- сертификат ФСБ, а сертификат ФСТЭК
К концу лета ожидается выпуск но- печения, которое используется в инфор- не требуется, последовал ответ: средства
вой редакции нормативно-методической мационной системе. должны быть сертифицированы ФСБ.

№ 7, 2009 5

Круглый стол_ПД.indd 5 17.07.2009 13:01:06


Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!

Окулесский Сумманен Сычев Шубин


Василий Андреевич Карл Тайстович Артем Михайлович Александр Сергеевич

Правоприменительная числе используемых банками библиотек отзыве согласия субъекта ПДн. В числе са-
КриптоПро и Сигнал-КОМ. Потому что мых распространенных нарушений – обра-
практика: подчас на базе готового сертифицированно- ботка персональных данных после достиже-
первые результаты го продукта СКЗИ производитель создает ния цели обработки и наличие в типовых
совершенно другое средство криптозащиты, формах договоров персональных данных
Практика применения Закона № 152-ФЗ вмешиваясь в реализацию криптографичес- третьих лиц (родственников клиента кре-
постепенно начинает складываться, и уже ких функций. дитного учреждения).
можно осмысливать ее первые результаты, Лариса Васильева: На сегодняшний день По итогам этих проверок были выписаны
делать некоторые выводы. в реестре операторов, осуществляющих об- предписания об устранении выявленных
работку персональных данных, зарегист- нарушений. Постепенно формируется и су-
Какие нарушения чаще всего рировано более 52 тыс. операторов, хотя дебная практика, в 2008 году судами было
круглый стол

выявляются в ходе проверок? по прогнозным оценкам это число должно вынесено два решения в пользу субъектов
Какие за них предусмотрены составлять от 5 до 7 млн операторов. персональных данных.
санкции? По состоянию на 25 мая 2009 г. в реес- Необходимо отметить, что сейчас в Госу-
тре операторов было зарегистрировано 173 дарственной Думе Российской Фендерации
Виктор Гаврилов: Контролирующее под- кредитные организации – практически все находится на рассмотрении законопроект
разделение ФСБ имеет два типичных за- ведущие банки. Вместе с тем большая часть ФЗ «О внесении изменений в некоторые
мечания по результатам проверки. Первое организаций считают, что они не обязаны законодательные акты Российской Федера-
– это использование средств криптозащиты, уведомлять уполномоченный орган по за- ции», который должен привести их в со-
отличающихся от эталонной сертифициро- щите прав субъектов персональных данных, ответствие с ФЗ «О персональных данных»
ванной версии. Разработчик системы вносит ссылаясь на ч. 2 ст. 22 ФЗ «О персональных и ФЗ «О ратификации Конвенции Совета
изменение в программный код СКЗИ и тем данных». Это заблуждение. Ссылка на то, Европы «О защите физических лиц при ав-
не менее заявляет, что используются серти- что организация работает в рамках трудо- томатизированной обработке персональных
фицированные средства. Второе, и пожалуй, вых отношений и договоров не убедительна, данных»». Законопроект предполагает вне-
более важное – это использование средств поскольку банки осуществляют работу с сение дополнений в законодательные акты
криптозащиты не в тех условиях, для ко- гражданами, не являющимися клиентами РФ в части установления правил обработки
торых оно было сертифицировано. Я  бы банка. персональных данных в различных сферах
напомнил, что надо внимательно читать В первом квартале этого года уже про- деятельности, а также ответственности за
документацию на средства криптозащиты, ведены первые плановые проверки кре- их нарушение.
изучать сертификат, обращать внимание дитных организаций. По итогам проверок Кроме того, Роскомнадзор готовит пред-
на объект криптографической защиты (ко- был выявлен ряд нарушений. Наиболее ложения в проект соглашения с Центробан-
торый мы с некоторых пор стали явным типичные – это в первую очередь обра- ком РФ в части контроля за деятельностью
образом прописывать в самом сертификате). ботка персональных данных без согласия кредитных организаций в области обработ-
И обращать внимание на то, что в случае субъекта персональных данных. Второе  – ки персональных данных.
использования этих средств для защиты не предоставление субъекту персональных
информации, подлежащей защите по закону, данных по его запросу информации, касаю- Что проверяет Роскомнадзор
необходимо проводить проверку коррект- щейся обработки его персональных данных в ходе планового мероприятия?
ности их встраивания силами лицензиата, кредитным учреждением. Были выявлены Возможно ли вообще избежать
что в реальности делается далеко не всегда. несоблюдение требований конфиденциаль- нарушений?
Отвечая на один из последующих вопро- ности при обработке персональных дан-
сов, Виктор Гаврилов еще раз подчеркнул, ных, неисполнение кредитным учреждением Лариса Васильева: Прежде всего, про-
что всегда необходимо проводить оценку требований по прекращению обработки и веряется достоверность тех сведений, ко-
корректности встраивания СКЗИ, в том уничтожению персональных данных при торые предоставляет оператор в своем

6 CONNECT | № 7, 2009  www.connect.ru

Круглый стол_ПД.indd 6 17.07.2009 13:01:07


Федорец Янсон Егоркин КОТОВ
Андрей Олегович Иван Андреевич Александр Викторович Сергей Джавидович

уведомлении об обработке персональных своих работников, которые могут быть этими рисками происходит исключительно
данных. Практически в 50% случаев эта ин- допущены к обработке персональных данных за счет проверочных мероприятий в отно-
формация не соответствует действительнос- этого лица. Более того, возникает опасение, шении заемщика – других механизмов нет.
ти. Как правило, нарушаются установленные что недобросовестные конкуренты получа- Информация, собираемая службами эко-
Федеральным законом «О персональных ют в свои руки инструмент, действующий номической безопасности, должна накап-
данных» сроки информирования Уполно- аналогично DDoS-атаке, когда массирован- ливаться и анализироваться. Возможности
моченного органа по защите прав субъек- ная подача запросов и жалоб способна фак- доступа к государственным базам данных,
тов персональных данных об изменении тически парализовать работу отделения где содержатся сведения о потенциальных
сведений, указанных в уведомлении. Поми- банка. заемщиках, включая сведения негативного
мо уведомления, проверяется деятельность Лариса Васильева: Уполномоченный характера, у банков практически нет, им от-
оператора по обработке персональных дан- орган не имеет функций по нормативно- казывают, в том числе, со ссылкой на Закон
ных на предмет соответствия требований правовому регулированию. Вместе с тем «О персональных данных». Выполняя закон,
законодательства Российской Федерации в Роскомнадзором выработаны предложения банки должны к 31 декабря всю накоплен-
области персональных данных. Это и нали- по внесению изменений в ФЗ «О персо- ную ими информацию уничтожить. С чем
чие согласия субъекта персональных данных нальных данных». Предложения вносятся мы войдем в 2010 год? Должны ли банки
на обработку его персональных данных, соб- через Министерство связи и массовых ком- начать раздавать кредиты без проверки за-
людение требований конфиденциальнос- муникаций Российской Федерации, которое емщиков? К тому же никто никогда не даст
ти, соблюдение требований при обработке поддерживает нас в этом вопросе. Если у вас согласия на передачу его дела в коллектор-
биометрических и специальных категорий есть конструктивные предложения по части ское агентство.
персональных данных и т. д. совершенствования федерального закона, Банки – это специфическая категория
Что касается вопроса о возможности мы готовы их выслушать. операторов ПДн, чья деятельность регу-
избежания нарушений, то единственный Мнение операторского сообщества отно- лируется Законом «О банках и банковс-
способ – это соблюдение оператором тре- сительно практики массового направления кой деятельности». Поэтому наше пред-
бований, установленных законодательством обращений с целью дестабилизации работы ложение  – ввести в этот закон отдельную
РФ. Безусловно, правоприменительная кредитной организации мы прекрасно по- статью об обработке персональных дан-
практика складывается постепенно и пока нимаем и стараемся рассматривать вопрос ных. Тогда мы получим возможность, с
вопросов остается больше чем ответов. Но объективно. Уполномоченный орган обязан одной стороны, учесть законные интере-
мы стремимся строить партнерский диалог защищать права субъектов персональных сы субъектов персональных данных, а с
с операторами, а не выискивать нарушения. данных, но, тем не менее, мы учитываем и другой – учесть и интересы банковского
И те проверки, которые были проведены, интересы операторов. Никто не запреща- сообщества. Мы внесли соответствующие
показывают, что кредитные организации ет кредитным организациям обрабатывать предложения в АРБ. Если бы регуляторы
исполняют закон. персональные данные, необходимо это осу- поддержали нас в этом вопросе, польза
Между тем, представители банковского ществлять в рамках правового поля. была бы для всех.
сообщества сходятся на том, что в пол- Возникает и масса других вопросов по
ной мере выполнить установленные законом поводу требований Закона «О персональных Закон предоставил
требования практически невозможно без данных», в том числе о возможности для уполномоченному органу право
ущерба для основного бизнеса. Например, кредитных учреждений собирать информа-
«направлять заявление в орган,
необходимость отвечать в письменном виде цию о заемщиках.
на запрос любого лица о том, как обрабаты- Сергей Бондарев: Кредитование  – это
осуществляющий
ваются его персональные данные, чревата для банков основной источник получения лицензирование деятельности
замедлением работы и созданием очередей. доходов и выплаты дивидендов вкладчи- оператора, для рассмотрения
При этом банк должен сообщить любому кам. Вместе с тем, кредитование сопряже- вопроса о принятии мер
обратившемуся лицу персональные данные но с рисками, и, фактически, управление по приостановлению действия

№ 7, 2009 7

Круглый стол_ПД.indd 7 17.07.2009 13:01:11


Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!
или аннулированию хороший уровень в части выполнения тре- недостатка специалистов по информаци-
соответствующей лицензии бований ФЗ «О персональных данных». онной безопасности в региональных филиа-
в установленном Вопрос в том, где начинаются рас- лах. В повышении квалификации зачастую
законодательством Российской хождения, и как потом банку завершить нуждаются и представители проверяющих
начатую работу. По результатам оценки инстанций. Да и сам подход надзорных служб
Федерации порядке, если
на соответствие требованиям стандарта, к контролю выполнения требований стан-
условием лицензии вероятно, должен появиться некий доку- дарта, с точки зрения ряда выступавших,
на осуществление такой мент, который признавался бы всеми ре- нуждается в изменении.
деятельности является запрет гуляторами. Эту тему мы сейчас пытаемся Сергей Бондарев: В настоящее время
на передачу персональных с регуляторами обсуждать. стандарт вполне достоин того, чтобы стать
данных третьим лицам Стандарт СТО БР ИББС является хоро- обязательным. Тем не менее, кое-что смуща-
без согласия в письменной шей платформой для выполнения любого ет в таком решении. Во-первых, если стан-
форме субъекта персональных стандарта безопасности, если выполнены дарт станет обязательным, это автоматичес-
данных». Что это означает его требования, выполнение требований ки поставит деятельность банка по обеспе-
других стандартов превращается в достаточ- чению информационной безопасности под
на практике?
но легкую и недорогую операцию. Поэтому контроль надзорных служб Банка России.
Лариса Васильева: Такие полномочия мы заинтересованы в том, чтобы этот стан- Подход надзорных служб достаточно жест-
Роскомнадзору даны, но на сегодняшний дарт реализовывался и со временем стал кий, любое несоответствие воспринимается
день ни одного случая их реализации не обязательным. как серьезное нарушение, достойное суро-
установлено. Но чтобы сделать стандарт обязатель- вого наказания. Международная практика
ным, необходима инициатива самих кредит- в этой сфере является более гибкой. Пост-
Если обрабатываются ПДн ных организаций. Они должны официально роение системы информационной безопас-
работников подрядных сформулировать свою позицию. ности воспринимается как непрерывный
организаций, является ли это Сергей Горьков: Существует ряд облас- процесс, требующий постоянного контроля
основанием для отправки тей (банковская сфера, страховые компании, и совершенствования. В рамках периоди-
уведомления в Роскомнадзор? телеком и т. д.), где вопросы обеспечения ческого аудита высказываются замечания,
информационной безопасности традицион- составляются планы их устранения, но су-
Лариса Васильева: Если персональные но стоят очень остро и где уже накоплен зна- ровые санкции не накладываются.
данные обрабатываются на основании за- чительный практический опыт внедрения Второй момент – ресурсы. Последние
ключенного договора между организацией и эксплуатации различных систем защиты версии стандарта требуют большого объ-
круглый стол

с подрядчиком, уведомление уполномочен- информации. Положения Стандарта Банка ема документирования – это оценка рисков
ного органа не требуется. Основание – ч. 2 России (СТО БР ИББС–1.0–2008) позво- на всех уровнях моделей информационных
ст. 22 ФЗ «О персональных данных». ляют систематизировать организационно- систем, составление планов по минимиза-
технические наработки в этой области и ции этих рисков, контроль, проверка, дове-
являются не только базовым документом, дение до руководства и т. д. Можно реализо-
Закон для создания единой политики обеспечения вать эти процессы, если в банке существует
«О персональных данных» безопасности информации в банковских небольшое количество систем (а лучше, если
бизнес-процессах, но и включают в себя одна). Но, например, в Сбербанке систем
и Стандарт Банка России различные нормативные требования, поз- очень много, ряд территориальных отделе-
воляющие привести работу банков в соот- ний используют собственные системы, и они
Стандарт Банка России по инфор- ветствие с нормами различных отраслевых не располагают необходимыми ресурсами и
мационной безопасности СТО БР ИББС требований, как-то: PCI DSS и ISO 27001. квалификацией, чтобы этим заниматься.
признается хорошей платформой для вы- Несмотря на то, что ФЗ-152 не привязан к Стоит учесть и экономическую ситуацию
полнения других стандартов, например, конкретной отрасли и призван защищать в целом. Для многих отечественных банков
PCI DSS или ISO 27001. Может ли этот права всех частных лиц (клиентов) на кон- речь сейчас идет фактически о выживании,
стандарт стать столь же эффективной фиденциальность их личной информации, и внедрение стандарта не является для них
платформой для выполнения требований для соответствия требованиям и федераль- приоритетной задачей. Поэтому я считаю,
Закона №  152-ФЗ? Какие дополнительные ного закона, и стандарта ЦБ, используются что стандарт должен со временем стать обя-
требования нужно для этого внести в СТО аналогичные методики, как-то: разработка зательным, но для этого должны быть соот-
БР ИББС? И целесообразно ли сделать этот модели угроз и модели нарушителя. Следо- ветствующие условия и возможности.
стандарт обязательным? Эти вопросы вательно, наиболее эффективным решением Андрей Курило: Стандарты ISO, на ко-
стали предметом обсуждения во второй является использование единых подходов к торых основаны стандарты Банка России,
части «круглого стола». защите информации различного характера строятся на вероятностной оценке рисков.
и идентичных технических средств, приме- Но многие документы, которые сейчас дейс-
Андрей Курило: Мы проводили анализ няемых при реализации защиты различных твуют в нашей стране, построены на при-
того, насколько требования СТО БР ИББС элементов информации. нципе детерминированных требований, и
соответствуют требованиям по защите пер- Бравшие слово участники обсуждения это влечет другой подход при контроле.
сональных данных. Должен сказать, что в принципе поддерживали идею сделать Однако постепенно риск-ориентированный
для 3-й и 4-й категорий типовых систем стандарт Банка России обязательным. Но подход проникает в практическую жизнь.
совпадение составляет около 90%, таким с определенными оговорками. В настоящее Что мешает банкам строить внутреннюю
образом выполнение требований СТО БР время возможность выполнения стандарта политику на новой философии? В  действи-
ИББС автоматически выводит банк на очень Банка России вызывает сомнение по причине тельности, внутренние аудиторы не готовы

8 CONNECT | № 7, 2009  www.connect.ru

Круглый стол_ПД.indd 8 17.07.2009 13:01:12


работать в соответствии с новым подходом, хочу поддержать идею о том, что нужно клиента. Из этого следует, что банкам
перейти от понятия «ревизия» к понятию не вводить карательные санкции, а прини- необходимо в первую очередь многократно
«аудит». Ревизия подразумевает анализ мать стимулирующие меры. Международ- объяснять клиентам, что безопасность
всего массива нормативных документов и ные стандарты ISO носят рекомендательный использования систем ДБО зависит от
контроль выполнения каждого требования, характер, тем не менее в мировой практике них. Помимо этого следует организовывать
а аудит – оценку рисков и постепенное воз- они соблюдаются, поскольку у организаций онлайн-проверку антивирусной защиты
действие на проблему. И нужно предприни- есть стимул выполнить требования стандар- клиентских рабочих станций перед сеан-
мать шаги для перехода к этой философии. та и пройти аудит. сом связи с банком, а также использовать
Карл Сумманен: Если сейчас сделать Дмитрий Породин: Как человек, имею- системы SMS-информирования, чтобы кли-
стандарт обязательным, большинство бан- щий более чем восьмилетний опыт рабо- ент мог своевременно получить информа-
ков наверняка его не выполнят. Предложе- ты в финансовых организациях, хотел бы цию о том, что по его счету производится
ние следующее: ввести минимальные требо- сделать два комментария. Стандарт нужно операция. И, конечно, нужно продуманно
вания, которые будут обязательными и вы- принимать в качестве обязательного, но де- составлять договоры на ДБО.
полнимыми для 80% банков. Все, что выше лать это нужно несколько позже. Во-первых, Карл Сумманен указал, что рассчиты-
этой планки, сделать рекомендательным. необходимо дать банкам время оправиться вать на то, что на клиентской стороне
Артем Сычев: Я полностью за то, чтобы от кризиса, поскольку им сейчас реально не все всегда будет делаться правильно с точки
стандарт был обязательным. Но для этого хватает финансов. Во-вторых, Центральному зрения безопасности, не приходится. Поэто-
у Главного управления безопасности Банка Банку надо подготовиться к внедрению это- му, например, банк ВТБ24 помимо использо-
России должна быть ясная договоренность го стандарта – подготовить ресурсы, прежде вания ЭЦП требует теперь еще и ввести
с надзорным блоком о том, каким обра- всего проверяющие кадры, подразделения переменный код.
зом надзор Банка России будут принимать инспектирования. Пока у людей просто нет Впрочем, беспечность пользователей мо-
результаты как самооценки банка, так и достаточно знаний для проверки выполне- жет свести на нет и такие меры. Как заме-
внешнего аудита на предмет соответствия ния стандарта. тил Сергей Горьков, масса клиентов ВТБ24
стандарту. Валерий Харламов: Помимо инспекции держат копии карт переменного кода в не-
Сергей Бондарев: Хотел бы предложить существует профессиональная группа орга- подходящих местах, например, в почте.
вендорам частично взять задачу оценки низаций, сообщество ABISS, которое про- Есть и другая проблема: некоторые про-
рисков на себя. Если банк приобретает ин- водит оценку соответствия стандарту. Если изводители систем ДБО подчас предлагают
формационную систему (например, интер- та или иная кредитная организация готова решения, которые не обеспечивают юриди-
нет-банкинга) и при этом получает полный внедрять стандарт, то есть организация, ко- чески значимого документооборота и пред-
комплект документации, необходимый для торая проведет внешний аудит. полагают использование не сертифициро-
проведения ее аудита на соответствие тре- ванных электронных средств ЭЦП. Это ав-
бования Стандарта Банка России по инфор- томатически выводит систему ДБО из-под
мационной безопасности, включая оценку
Защита персональных действия Закона «Об электронной цифровой
рисков на всех уровнях, задача банка сильно данных в системах подписи», что влечет невозможность дока-
упрощается. Если вендоры пойдут на это, зательства банком своей правоты в суде.
мне кажется, это будет самым коротким и
дистанционного В связи с этим некоторые участники
результативным путем к принятию стандар- банковского обслуживания обсуждения отметили, что в Законе «О пер-
та Банка России как обязательного. сональных данных», который весьма строг в
Александр Омельченко: Я за обязатель- В ходе «круглого стола» было уделено отношении операторов персональных дан-
ность стандарта, но вынужден примкнуть внимание рискам утечки персональной ных, следовало бы прописать также ответс-
к лагерю тех, кто опасается, что это приве- информации пользователей систем ДБО. твенность производителей информацион-
дет к проверкам, по результатам которых Как отметил Андрей Грициенко, с 2007 г. ных систем для операторов ПДн.
нужно будет устранять несоответствия – в эта проблема нарастает в геометричес- Хотя не все участники были согласны
обязательном порядке, в ограниченные сро- кой прогрессии. Вместе с тем, абсолютное с тем, что всегда обязательно использо-
ки и независимо от наличия материальной большинство инцидентов связано с беспеч- вать сертифицированные криптографи-
возможности. ным отношением самих пользователей к ческие средства в системах ДБО – должен
Василий Окулесский: Предлагаю ком- своим данным. В основном утечки связаны существовать разумный компромисс между
промиссную точку зрения: сертификация с воровством ключей, зачастую – с непра- строгостью мер безопасности и удобством
не обязательна, но результаты соответствия вильным применением или отсутствием клиента. В этом случае банк принимает на
стандарту ЦБ РФ должны учитываться, средств антивирусной защиты на стороне себя сопутствующие риски.
например, при отчислении обязательных
резервов банка. Это будет гораздо более Разумеется, в рамках «круглого стола» была затронута лишь малая часть вопросов,
эффективный механизм, чем введение встающих перед кредитно-финансовыми организациями в свете вступления в силу Зако-
требования обязательной сертификации. на «О персональных данных». Тем не менее, участники отметили большую пользу мероп-
Стандарт не вполне отвечает потребностям риятия. Как минимум, оно показало, что конструктивный диалог сторон возможен.
малых банков, для них его выполнение су- Как отметил, в частности, Геннадий Емельянов, многие обсуждавшиеся вопросы
щественно труднее, чем для крупных. Но касаются не только банков, но и всех прочих операторов персональных данных. По-
при наличии такого механизма появится этому следует по итогам мероприятия выработать официальный документ и донести
возможность соотносить расходы на ИБ с его до сведения в первую очередь законодателей, а также всех заинтересованных орга-
реальной экономической выгодой. низаций. Консолидированное мнение профессионального сообщества не может быть
Виктор Гаврилов: Не будучи специа- не услышано.
листом в банковском деле, тем не менее,

№ 7, 2009 9

Круглый стол_ПД.indd 9 17.07.2009 13:01:12

Оценить