Круглый стол

Проблемы защиты персональных

данных в кредитно-финансовых
учреждениях

С момента принятия Закона «О персональных данных» (№ 152-ФЗ) прошло почти два года.
Нормативные подзаконные акты появились около года назад, начались практические шаги по
выполнению требований закона. Специфика бизнеса кредитно-финансовых учреждений и пре-
жде побуждала банковские структуры внимательно относиться к защите данных своих клиентов,
выполнять существующие законы и стандарты. Тем не менее, с целью снижения рисков приоста-
новления деятельности многие банки уже классифицировали свои информационные системы и
начали предпринимать шаги по дополнительной защите именно персональных данных (ПДн).
Прошли первые проверки со стороны регулирующих органов, и уже можно говорить о правопри-
менительной практике в отношении Закона № 152-ФЗ.
Вместе с тем, появились и первые разочарования, а главное – множество вопросов по практичес-
кому выполнению требований закона № 152-ФЗ. Искать ответы предстоит всем участникам про-
цесса – регуляторам, операторам ПДн, разработчикам и интеграторам информационных систем.
Ряд актуальных для профессионального сообщества вопросов были вынесены на обсуждение на
Круглом столе, проведенном журналом «Connect! Мир связи» 28 мая.
Поддержку проведению мероприятия оказали компании: Aflex Software, BCC, Cisco, INLINE
Technologies, «Инфосистемы Джет», КРОК, Лаборатория «Скат», «С-Терра СиЭсПи», «ЭЛВИС-
ПЛЮС».
Предлагаем вниманию читателей основные итоги, мнения и предложения, высказанные участни-
ками обсуждения.

Руководитель проекта Наталья Павлова

Круглый стол_ПД.indd 1 17.07.2009 13:00:47

 Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!

КРУГЛЫЙ ­СТОЛ

Проблемы защиты персональных

данных в кредитно-финансовых
учреждениях
В круглом столе приняли участие:
Представители регулирующих и контролирующих органов

Гаврилов Виктор Евдокимович, Курило Андрей Петрович,

первый заместитель начальника Управления Центра защиты информации
и специальной связи ФСБ России
Назаров Игорь Григорьевич,
начальник отдела Управления ФСТЭК России
заместитель начальника Главного управления безопасности Банка России
Харламов Валерий Павлович,
начальник отдела Главного управления безопасности и защиты информации
Банка России

Васильева Лариса Борисовна,

начальник Управления по защите прав субъектов персональных данных,
Роскомнадзор

Операторы персональных данных

Атаманов Владимир Петрович, Окулесский Василий Андреевич,

круглый стол

заместитель начальника Управления защиты информации МБРР начальник ОЗИ СБ, Банк Москвы

Бондарев Сергей Николаевич, Омельченко Александр Анатольевич,

начальник Управления информационной безопасности начальник управления информационной безопасности, Альфа-Банк
Департамента безопасности Сбербанка России
Плотников Вадим Евгеньевич,
Бычков Артем Романович, начальник Центра информационной защиты ОИБСС
главный специалист по ИБ, ОАО «ТрансКредитБанк»
Сумманен Карл Тайстович,
Грициенко Андрей Александрович, вице-президент, начальник управления банковских процессов и технологий,
начальник Службы информационной безопасности, ОАО «Банк ВТБ»
банк «Возрождение»
Сычев Артем Михайлович,
Егоркин Александр Викторович, начальник управления информационной безопасности, ОАО «Россельхозбанк»
начальник Управления защиты информации, ОАО «Газпромбанк»
Шубин Александр Сергеевич,
Емельянов Геннадий Васильевич, служба информационной безопасности, банк «Возрождение»
Председатель МОО «АЗИ»
Федорец Андрей Олегович,
Калайда Игорь Алексеевич директор департамента ИТ, ОАО Банк «Алемар»
вице-президент Ассоциации «ЕВРААС»
Янсон Иван Андреевич,
Котов Сергей Джавидович, заместитель руководителя Службы информационной безопасности,
начальник отдела информационной безопасности, ОАО «Собинбанк» «Промсвязьбанк»

Михеев Игорь Владимирович,

заместитель начальника Информационно-технического отдела МБРР

Поставщики решений и услуг

Александровская Надежда Александровна, Лукацкий Алексей Викторович,

советник генерального директора, менеджер по развитию бизнеса, Cisco
компания «Лаборатория «Скат»»
Ляпунов Игорь Валентинович,
БАЖИН Игорь Витальевич, директор Центра информационной безопасности,
ведущий инженер информационной безопасности, компания «Инфосистемы Джет»
департамент информационных технологий компании КРОК
Породин Дмитрий Александрович,
Вихорев Сергей Викторович, начальник отдела систем информационной безопасности, INLINE Technologies
заместитель Генерального директора по развитию,
компания «ЭЛВИС-ПЛЮС» Рябко Сергей Дмитриевич,
генеральный директор, компания «С-Терра СиЭсПи»
Гарканов Андрей Валерьевич,
директор по маркетингу, Aflex Software Сухин Андрей Петрович,
генеральный директор, компания «Лаборатория «Скат»»
Горьков Сергей Анатольевич,
руководитель центра информационной безопасности Хазов Артем Владимирович,
и мобильных решений, компания ВСС директор по продажам, Aflex Software

2 CONNECT | № 7, 2009  www.connect.ru

Круглый стол_ПД.indd 2 17.07.2009 13:00:47

 Ведущие
Вершинский Сабанов Алексей Геннадьевич,
Владимир Анатольевич,
издатель журнала «Connect! Мир связи»
Практические вопросы:
аттестация, сертификация,
лицензирование
Вопросы первой части «круглого стола»
адресовались, главным образом, представи-
телям регуляторов.
Кто может аттестовать рабочие
места на соответствие
требованиям законодательства
и нормативных документов Как убедиться, что модель
в области персональных
данных? Каковы сроки
проведения аттестации?
Игорь Назаров: Аттестацию ИСПДн на
соответствие требованиям по безопасности
информации имеют право проводить ли-
цензиаты ФСТЭК, которые имеют лицен-
зию на деятельность по технической защите
конфиденциальной информации.
По поводу сроков проведения аттеста-
ции И. Назаров заметил, что, скорее всего,
они будут зависеть от аттестуемой сис-
темы. В свою очередь, участники «круглого
стола» привели примеры сроков выполне-
ния таких работ, исходя из собственного
опыта.
Сергей Вихорев: От имени лицензиатов
хочу сказать, что сейчас назвать конкретные
сроки и цену проведения аттестационных
испытаний затруднительно. Все зависит от
систем, объема работ и требуемой степени
защиты. Но в свое время «ЭЛВИС-ПЛЮС»
провел аттестационные испытания системы
переписи населения – это 68 объектов по
всей территории РФ, от 200 до 30 рабочих
Круглый стол_ПД.indd 3
заместитель генерального директора
компании Aladdin
мест на каждом. Аттестация по программе,
которая была согласована со ФСТЭК Рос-
сии, заняла примерно три месяца.
Андрей Грициенко: Информационные
системы 55 своих филиалов банк «Воз-
рождение» аттестовал ровно год. Плюс
примерно год заняли подготовительные
работы – создание отдела, отбор и обучение
специалистов, приобретение необходимой
техники и согласование программы испы-
таний со ФСТЭК.
угроз, разработанная позицию ФСТЭК, возражений со стороны
для специальной системы, ведомства не будет.
не вызовет претензий Сергей Рябко: Напрашивается мысль,
со стороны надзорных
органов?
Игорь Назаров: При желании оператор
ПДн может согласовать со ФСТЭК Рос-
сии разработанную им модель угроз, хотя
руководящие документы ФСТЭК России
этого не требуют. На согласование модели
угроз у нас уходит, как правило, одна-
две недели, максимум три, если модель
сложная.
Мы будем проверять выполнение тех
требований, которые оператор в соответс-
твии с моделью угроз определил для своей
информационной системы, не вникая в со-
держание обрабатываемых персональных
данных – так определено законом.
Разбирательство последует в том случае,
если субъект ПДн обратится с претензией
по поводу утечки его персональных данных
в Роскомнадзор либо ФСТЭК России (а
ФСТЭК России, соответственно, передаст
обращение в Роскомнадзор).
Соколов Александр Васильевич,
вице-президент по стратегическому развитию,
компания «ЭЛВИС-ПЛЮС»
Алексей Лукацкий: Хотелось бы уточ-
нить: может ли лицензиат и разработать
модель угроз, и произвести затем аттес-
тацию этого же заказчика? И каковы воз-
можные действия, если после аттестации
при проведении надзорных мероприятий
будут обнаружены какие-то отклонения от
позиции ФСТЭК?
Как следовало из ответов И. Назарова
на эти вопросы, модель угроз может разра-
ботать для оператора лицензиат ФСТЭК.
Он же может аттестовать ИСПДн заказ-
чика, и поскольку он при этом реализует
что модели угроз и возможные типовые
решения по их компенсации было бы це-
лесообразно не разрабатывать с нуля ин-
дивидуальный проект для каждого объекта,
а типизировать. Есть ли движение в этом
направлении?
Игорь Назаров: По моей информации,
такие работы ведутся нашими лицензиата-
ми, и мы их только приветствуем.
Андрей Курило: Важен вопрос, будем
ли мы учитывать в модели угроз утечку ин-
формации по техническим каналам или нет.
От этого в значительной степени зависят
временные и материальные затраты банка.
Поэтому было бы хорошо определиться
по этому вопросу. Банк России, проведя
определенные исследования и применив
методику оценки рисков нарушения инфор-
мационной безопасности (которую можно
найти на сайте Подкомитета № 3) еще раз
убедился в том, что эти каналы не актуаль-
ны. А значит, нужна более четкая модель,
приближенная к практической жизни.
№ 7, 2009 3
17.07.2009 13:01:03
 Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!
Гаврилов Назаров Васильева Курило
Виктор Евдокимович Игорь Григорьевич
Признав, что меры по защите каналов
ПЭМИН и виброакустических каналов для
многих организаций не являются актуаль-
ными, Игорь Назаров посоветовал банкам
обосновать в своей модели угроз неактуаль-
ность рисков утечек по этим каналам.
Нужно ли операторам,
обрабатывающим
персональные данные целом.
в ИСПДн, получение лицензии
круглый стол
на техническую защиту
конфиденциальной
информации?
Игорь Назаров: В соответствии с до-
кументами ФСТЭК лицензия необходима
операторам ПДн, которые самостоятельно
проводят такие мероприятия по информа-
ционным системам 1, 2 класса и территори-
ально распределенным системам 3 класса,
как правило, это большие государственные
информационные системы. При этом для
поликлиник, детских садов, аптек и т. п.,
имеющих ИСПДн 3 и 4 классов, получение
таких лицензий не требуется.
В соответствии с постановлением
Правительства Российской Федерации от
17  ноября 2007 г. № 781, если оператор
ИСПДн заключает договор на проведение
соответствующих мероприятий в части за-
щиты информации (ПДн) с уполномочен-
ным лицом – лицензиатом ФСТЭК России,
иметь лицензию ему не обязательно.
Отдельный вопрос возник по лицензиро-
ванию для территориально распределенных
систем, тем более что зачастую специа-
листы по информационной безопасности
имеются только в головном офисе.
Сергей Вихорев: Разрешите, я отвечу,
потому что у «ЭЛВИС-ПЛЮС» был такой
опыт. Филиал не является юридическим
лицом и выполняет функции в пределах
4 CONNECT | № 7, 2009
Круглый стол_ПД.indd 4
Лариса Борисовна
полномочий, определенных либо дове-
ренностью, либо уставом. В связи с этим,
если филиал уполномочен проводить со-
ответствующие мероприятия, он может
иметь копию лицензии в установленном
порядке, если таковая есть у банка. Если
же филиал привлекает лицензиатов, ли-
цензия не нужна, а уведомление в Роском-
надзор составляется единое, для банка в
Какой класс присваивается
информационной системе,
если в ней обрабатываются
данные, представляющие
различные виды тайн –
коммерческую, банковскую,
персональные данные?
Игорь Назаров: Если в одной и той
же системе обрабатывается информация,
содержащая коммерческую, банковскую
тайну и персональные данные, то оператор
информационной системы вправе самосто-
ятельно выбрать в каком режиме защиты
и по требованиям каких документов обес-
печивается защита информации. Уровень
требований по защите коммерческой тай-
ны организации определяют сами. Со сто-
роны ФСТЭК России никаких требований
по этому поводу нет.
Между тем, для специалистов-практи-
ков по-прежнему остаются не вполне ясны-
ми различия между 2-й и 3-й категориями
персональных данных, определения которых
даны в совместном приказе ФСТЭК, ФСБ
и Мининформсвязи от 13.02.2008 – фор-
мулировка «позволяет получить допол-
нительную информацию» понимается не
однозначно.
Уже во второй части «круглого стола»
перед представителями банков был пос-
тавлен вопрос о подборе ими технических
Андрей Петрович
средств для защиты наиболее критичных
категорий ПДн. Его обсуждение обернулось
вопросами к регулятору.
Согласно ст. 5 Постановления
Правительства РФ № 781
средства защиты информации,
применяемые
в информационных системах,
в установленном порядке
проходят процедуру оценки
соответствия. Не получается ли
в этом случае,
что применяемые
на сегодняшний день
в информационных системах
персональных данных
средства защиты, которые уже
имеют сертификат, например,
по определенному классу
защиты от НСД или ТУ,
не могут применяться для
защиты именно персональных
данных в ИСПДн?
Игорь Назаров: Подготовленная
ФСТЭК России система документов по
вопросам защиты информации в ИСПДн
обеспечивает полную преемственность со
всеми ранее разработанными требовани-
ями. Отдельная система сертификации
средств защиты персональных данных со-
здаваться не будет. Средства защиты ин-
формации, сертифицированные ФСТЭК
России, могут использоваться в ИСПДн.
На сайте ФСТЭК в реестре сертификатов,
выданных на технические и программные
средства защиты, имеются пометки, для
какого класса информационных систем
персональных данных каждое средство
можно применять.
 www.connect.ru
17.07.2009 13:01:04
 Харламов Бондарев Емельянов Калайда
Валерий Павлович Сергей Николаевич
Предположим, в банке
установлен действующий
межсетевой экран, который документы, которых теперь будет два,
не прошел проверку
соответствия. Значит ли это,
что межсетевой экран нужно
отключить и отвести Какова степень
к лицензиату для проведения
проверки соответствия?
Игорь Назаров: Такой межсетевой экран
подлежит замене на сертифицированный.
Кроме того, мы рассматриваем комплект
технической документации по обеспече-
нию безопасности персональных данных
в конкретной информационной системе
в целом, в том числе и функциональные
свойства указанного межсетевого экрана.
И пока не было прецедентов, чтобы кому-то
было дано отрицательное заключение.
На вопрос, что делать, если у организации
множество филиалов, в каждом большое коли-
чество оборудования и везде обрабатывают-
ся персональные данные, был дан ответ, что
системы филиалов наверняка в той или иной
степени типизированы. Поэтому для согла-
сования достаточно представить типовое
техническое задание, технический проект и,
при желании подстраховаться, модель угроз.
Нормативно-методические
документы: грядут изменения
Одно из грядущих (и скорых) измене-
ний – выход новой версии СТР-К, которая
сейчас готовится ФСТЭК. Документ будет
проходить регистрацию в Министерстве
юстиции. Правда, сроки его выхода пока не
называются.
К концу лета ожидается выпуск но-
вой редакции нормативно-методической
Круглый стол_ПД.indd 5
Геннадий Васильевич
документации ФСТЭК, так называемого
«четверокнижия». В настоящее время эти
а не четыре, готовятся для передачи на
регистрацию в Министерство юстиции.
Документы будут открытыми.
преемственности между
первой и второй редакциями
документов? Отменят ли новые
документы какие-либо
положения предыдущих?
Игорь Назаров: Принципиальных от-
личий от предыдущей версии новые до-
кументы не имеют. Были лишь устранены
некоторые неточности и неоднозначности,
которые существовали в прежних доку-
ментах. В частности, более ясно говорится
о снятии вопросов защиты таких каналов
утечки, как ПЭМИН, если они действитель-
но не актуальны.
Модель угроз открытой не будет, с на-
шей точки этот документ должен иметь
ограничительную пометку «для служебного
пользования».
Но отменять какие-либо положения
прежних документов новые документы не
будут. До их выхода можно руководство-
ваться прежними документами.
Игорь Ляпунов: Уточняющий вопрос:
будут ли в новых версиях документов
сняты ограничения или сделаны какие-то
нововведения в части сертификации на
отсутствие НДВ?
Игорь Назаров: В этих документах
будет уточнено, что сертификация по
контролю отсутствия НДВ касается фун-
кционала безопасности, именно средств
защиты, а не всего программного обес-
печения, которое используется в инфор-
мационной системе.
Игорь Алексеевич
Алексей Лукацкий: Будут ли требова-
ния по НДВ дифференцироваться по классу
систем или они будут общими для всех
четырех классов? Ведь западной компании
непросто представить исходные коды.
Игорь Назаров: Требования по НДВ
будут дифференцироваться в зависимости
от класса информационной системы.
ФСБ России также готовит новые
версии своих нормативно-методических
документов.
Возможна ли конкретизация
в нормативных документах ФСБ
требований по проведению
мероприятий по обнаружению
вторжений в ИСПДн?
Виктор Гаврилов: Федеральная служба
безопасности, как и ФСТЭК, готовит к
переизданию два свои нормативно-мето-
дических документа, и в новой редакции,
безусловно, этот вопрос будет учтен.
Здесь имела место некоторая межве-
домственная нестыковка – ссылка на тре-
бование ФСБ к системе обнаружения ком-
пьютерных атак содержится в документах
ФСТЭК, а не ФСБ. Но в новой версии мы
это учтем, и соответствующие рекоменда-
ции будут даны.
К сожалению, классификация средств
обнаружения вторжений отличается от
классификации средств криптографичес-
кой защиты, более того, сам подход к клас-
сификации несколько иной. Тем не менее
определенные рекомендации по выбору
сертифицированных средств будут даны в
наших документах.
На уточняющий вопрос, верно ли, что
для систем IDS и IPS необходим только
сертификат ФСБ, а сертификат ФСТЭК
не требуется, последовал ответ: средства
должны быть сертифицированы ФСБ.
№ 7, 2009 5
17.07.2009 13:01:06
 Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!
Окулесский Сумманен Сычев Шубин
Василий Андреевич Карл Тайстович
Правоприменительная
практика:
первые результаты
Практика применения Закона № 152-ФЗ
постепенно начинает складываться, и уже
можно осмысливать ее первые результаты,
делать некоторые выводы.
Какие нарушения чаще всего
круглый стол
выявляются в ходе проверок?
Какие за них предусмотрены
санкции?
Виктор Гаврилов: Контролирующее под-
разделение ФСБ имеет два типичных за-
мечания по результатам проверки. Первое
– это использование средств криптозащиты,
отличающихся от эталонной сертифициро-
ванной версии. Разработчик системы вносит
изменение в программный код СКЗИ и тем
не менее заявляет, что используются серти-
фицированные средства. Второе, и пожалуй,
более важное – это использование средств
криптозащиты не в тех условиях, для ко-
торых оно было сертифицировано. Я  бы
напомнил, что надо внимательно читать
документацию на средства криптозащиты,
изучать сертификат, обращать внимание
на объект криптографической защиты (ко-
торый мы с некоторых пор стали явным
образом прописывать в самом сертификате).
И обращать внимание на то, что в случае
использования этих средств для защиты
информации, подлежащей защите по закону,
необходимо проводить проверку коррект-
ности их встраивания силами лицензиата,
что в реальности делается далеко не всегда.
Отвечая на один из последующих вопро-
сов, Виктор Гаврилов еще раз подчеркнул,
что всегда необходимо проводить оценку
корректности встраивания СКЗИ, в том
6 CONNECT | № 7, 2009
Круглый стол_ПД.indd 6
Артем Михайлович
числе используемых банками библиотек
КриптоПро и Сигнал-КОМ. Потому что
подчас на базе готового сертифицированно-
го продукта СКЗИ производитель создает
совершенно другое средство криптозащиты,
вмешиваясь в реализацию криптографичес-
ких функций.
Лариса Васильева: На сегодняшний день
в реестре операторов, осуществляющих об-
работку персональных данных, зарегист-
рировано более 52 тыс. операторов, хотя
по прогнозным оценкам это число должно
составлять от 5 до 7 млн операторов.
По состоянию на 25 мая 2009 г. в реес-
тре операторов было зарегистрировано 173
кредитные организации – практически все
ведущие банки. Вместе с тем большая часть
организаций считают, что они не обязаны
уведомлять уполномоченный орган по за-
щите прав субъектов персональных данных,
ссылаясь на ч. 2 ст. 22 ФЗ «О персональных
данных». Это заблуждение. Ссылка на то,
что организация работает в рамках трудо-
вых отношений и договоров не убедительна,
поскольку банки осуществляют работу с
гражданами, не являющимися клиентами
банка.
В первом квартале этого года уже про-
ведены первые плановые проверки кре-
дитных организаций. По итогам проверок
был выявлен ряд нарушений. Наиболее
типичные – это в первую очередь обра-
ботка персональных данных без согласия
субъекта персональных данных. Второе  –
не предоставление субъекту персональных
данных по его запросу информации, касаю-
щейся обработки его персональных данных
кредитным учреждением. Были выявлены
несоблюдение требований конфиденциаль-
ности при обработке персональных дан-
ных, неисполнение кредитным учреждением
требований по прекращению обработки и
уничтожению персональных данных при
Александр Сергеевич
отзыве согласия субъекта ПДн. В числе са-
мых распространенных нарушений – обра-
ботка персональных данных после достиже-
ния цели обработки и наличие в типовых
формах договоров персональных данных
третьих лиц (родственников клиента кре-
дитного учреждения).
По итогам этих проверок были выписаны
предписания об устранении выявленных
нарушений. Постепенно формируется и су-
дебная практика, в 2008 году судами было
вынесено два решения в пользу субъектов
персональных данных.
Необходимо отметить, что сейчас в Госу-
дарственной Думе Российской Фендерации
находится на рассмотрении законопроект
ФЗ «О внесении изменений в некоторые
законодательные акты Российской Федера-
ции», который должен привести их в со-
ответствие с ФЗ «О персональных данных»
и ФЗ «О ратификации Конвенции Совета
Европы «О защите физических лиц при ав-
томатизированной обработке персональных
данных»». Законопроект предполагает вне-
сение дополнений в законодательные акты
РФ в части установления правил обработки
персональных данных в различных сферах
деятельности, а также ответственности за
их нарушение.
Кроме того, Роскомнадзор готовит пред-
ложения в проект соглашения с Центробан-
ком РФ в части контроля за деятельностью
кредитных организаций в области обработ-
ки персональных данных.
Что проверяет Роскомнадзор
в ходе планового мероприятия?
Возможно ли вообще избежать
нарушений?
Лариса Васильева: Прежде всего, про-
веряется достоверность тех сведений, ко-
торые предоставляет оператор в своем
 www.connect.ru
17.07.2009 13:01:07
 Федорец Янсон Егоркин КОТОВ
Андрей Олегович Иван Андреевич
уведомлении об обработке персональных
данных. Практически в 50% случаев эта ин-
формация не соответствует действительнос-
ти. Как правило, нарушаются установленные
Федеральным законом «О персональных
данных» сроки информирования Уполно-
моченного органа по защите прав субъек-
тов персональных данных об изменении
сведений, указанных в уведомлении. Поми-
мо уведомления, проверяется деятельность
оператора по обработке персональных дан-
ных на предмет соответствия требований
законодательства Российской Федерации в
области персональных данных. Это и нали-
чие согласия субъекта персональных данных
на обработку его персональных данных, соб-
людение требований конфиденциальнос-
ти, соблюдение требований при обработке
биометрических и специальных категорий
персональных данных и т. д.
Что касается вопроса о возможности
избежания нарушений, то единственный
способ – это соблюдение оператором тре-
бований, установленных законодательством
РФ. Безусловно, правоприменительная
практика складывается постепенно и пока
вопросов остается больше чем ответов. Но
мы стремимся строить партнерский диалог
с операторами, а не выискивать нарушения.
И те проверки, которые были проведены,
показывают, что кредитные организации
исполняют закон.
Между тем, представители банковского
сообщества сходятся на том, что в пол-
ной мере выполнить установленные законом
требования практически невозможно без
ущерба для основного бизнеса. Например,
необходимость отвечать в письменном виде
на запрос любого лица о том, как обрабаты-
ваются его персональные данные, чревата
замедлением работы и созданием очередей.
При этом банк должен сообщить любому
обратившемуся лицу персональные данные
Круглый стол_ПД.indd 7
Александр Викторович
своих работников, которые могут быть
допущены к обработке персональных данных
этого лица. Более того, возникает опасение,
что недобросовестные конкуренты получа-
ют в свои руки инструмент, действующий
аналогично DDoS-атаке, когда массирован-
ная подача запросов и жалоб способна фак-
тически парализовать работу отделения
банка.
Лариса Васильева: Уполномоченный
орган не имеет функций по нормативно-
правовому регулированию. Вместе с тем
Роскомнадзором выработаны предложения
по внесению изменений в ФЗ «О персо-
нальных данных». Предложения вносятся
через Министерство связи и массовых ком-
муникаций Российской Федерации, которое
поддерживает нас в этом вопросе. Если у вас
есть конструктивные предложения по части
совершенствования федерального закона,
мы готовы их выслушать.
Мнение операторского сообщества отно-
сительно практики массового направления
обращений с целью дестабилизации работы
кредитной организации мы прекрасно по-
нимаем и стараемся рассматривать вопрос
объективно. Уполномоченный орган обязан
защищать права субъектов персональных
данных, но, тем не менее, мы учитываем и
интересы операторов. Никто не запреща-
ет кредитным организациям обрабатывать
персональные данные, необходимо это осу-
ществлять в рамках правового поля.
Возникает и масса других вопросов по
поводу требований Закона «О персональных
данных», в том числе о возможности для
кредитных учреждений собирать информа-
цию о заемщиках.
Сергей Бондарев: Кредитование  – это
для банков основной источник получения
доходов и выплаты дивидендов вкладчи-
кам. Вместе с тем, кредитование сопряже-
но с рисками, и, фактически, управление
Сергей Джавидович
этими рисками происходит исключительно
за счет проверочных мероприятий в отно-
шении заемщика – других механизмов нет.
Информация, собираемая службами эко-
номической безопасности, должна накап-
ливаться и анализироваться. Возможности
доступа к государственным базам данных,
где содержатся сведения о потенциальных
заемщиках, включая сведения негативного
характера, у банков практически нет, им от-
казывают, в том числе, со ссылкой на Закон
«О персональных данных». Выполняя закон,
банки должны к 31 декабря всю накоплен-
ную ими информацию уничтожить. С чем
мы войдем в 2010 год? Должны ли банки
начать раздавать кредиты без проверки за-
емщиков? К тому же никто никогда не даст
согласия на передачу его дела в коллектор-
ское агентство.
Банки – это специфическая категория
операторов ПДн, чья деятельность регу-
лируется Законом «О банках и банковс-
кой деятельности». Поэтому наше пред-
ложение  – ввести в этот закон отдельную
статью об обработке персональных дан-
ных. Тогда мы получим возможность, с
одной стороны, учесть законные интере-
сы субъектов персональных данных, а с
другой – учесть и интересы банковского
сообщества. Мы внесли соответствующие
предложения в АРБ. Если бы регуляторы
поддержали нас в этом вопросе, польза
была бы для всех.
Закон предоставил
уполномоченному органу право
«направлять заявление в орган,
осуществляющий
лицензирование деятельности
оператора, для рассмотрения
вопроса о принятии мер
по приостановлению действия
№ 7, 2009 7
17.07.2009 13:01:11
 Проблемы защиты персональных данных
в кредитно-финансовых учреждениях
CONNECT!
или аннулированию хороший уровень в части выполнения тре-
соответствующей лицензии бований ФЗ «О персональных данных».
в установленном Вопрос в том, где начинаются рас-
законодательством Российской хождения, и как потом банку завершить
начатую работу. По результатам оценки
Федерации порядке, если
на соответствие требованиям стандарта,
условием лицензии вероятно, должен появиться некий доку-
на осуществление такой мент, который признавался бы всеми ре-
деятельности является запрет гуляторами. Эту тему мы сейчас пытаемся
на передачу персональных с регуляторами обсуждать.
данных третьим лицам Стандарт СТО БР ИББС является хоро-
без согласия в письменной шей платформой для выполнения любого
форме субъекта персональных стандарта безопасности, если выполнены
данных». Что это означает его требования, выполнение требований
других стандартов превращается в достаточ-
на практике?
но легкую и недорогую операцию. Поэтому
Лариса Васильева: Такие полномочия мы заинтересованы в том, чтобы этот стан-
Роскомнадзору даны, но на сегодняшний дарт реализовывался и со временем стал
день ни одного случая их реализации не обязательным.
установлено. Но чтобы сделать стандарт обязатель-
ным, необходима инициатива самих кредит-
Если обрабатываются ПДн ных организаций. Они должны официально
работников подрядных сформулировать свою позицию.
организаций, является ли это Сергей Горьков: Существует ряд облас-
основанием для отправки тей (банковская сфера, страховые компании,
уведомления в Роскомнадзор? телеком и т. д.), где вопросы обеспечения
информационной безопасности традицион-
Лариса Васильева: Если персональные но стоят очень остро и где уже накоплен зна-
данные обрабатываются на основании за- чительный практический опыт внедрения
ключенного договора между организацией и эксплуатации различных систем защиты
круглый стол
с подрядчиком, уведомление уполномочен- информации. Положения Стандарта Банка
ного органа не требуется. Основание – ч. 2 России (СТО БР ИББС–1.0–2008) позво-
ст. 22 ФЗ «О персональных данных». ляют систематизировать организационно-
технические наработки в этой области и
являются не только базовым документом,
Закон для создания единой политики обеспечения
«О персональных данных» безопасности информации в банковских
бизнес-процессах, но и включают в себя
и Стандарт Банка России различные нормативные требования, поз-
воляющие привести работу банков в соот-
Стандарт Банка России по инфор- ветствие с нормами различных отраслевых
мационной безопасности СТО БР ИББС требований, как-то: PCI DSS и ISO 27001.
признается хорошей платформой для вы- Несмотря на то, что ФЗ-152 не привязан к
полнения других стандартов, например, конкретной отрасли и призван защищать
PCI DSS или ISO 27001. Может ли этот права всех частных лиц (клиентов) на кон-
стандарт стать столь же эффективной фиденциальность их личной информации,
платформой для выполнения требований для соответствия требованиям и федераль-
Закона №  152-ФЗ? Какие дополнительные ного закона, и стандарта ЦБ, используются
требования нужно для этого внести в СТО аналогичные методики, как-то: разработка
БР ИББС? И целесообразно ли сделать этот модели угроз и модели нарушителя. Следо-
стандарт обязательным? Эти вопросы вательно, наиболее эффективным решением
стали предметом обсуждения во второй является использование единых подходов к
части «круглого стола». защите информации различного характера
и идентичных технических средств, приме-
Андрей Курило: Мы проводили анализ няемых при реализации защиты различных
того, насколько требования СТО БР ИББС элементов информации.
соответствуют требованиям по защите пер- Бравшие слово участники обсуждения
сональных данных. Должен сказать, что в принципе поддерживали идею сделать
для 3-й и 4-й категорий типовых систем стандарт Банка России обязательным. Но
совпадение составляет около 90%, таким с определенными оговорками. В настоящее
образом выполнение требований СТО БР время возможность выполнения стандарта
ИББС автоматически выводит банк на очень Банка России вызывает сомнение по причине
8 CONNECT | № 7, 2009
Круглый стол_ПД.indd 8
недостатка специалистов по информаци-
онной безопасности в региональных филиа-
лах. В повышении квалификации зачастую
нуждаются и представители проверяющих
инстанций. Да и сам подход надзорных служб
к контролю выполнения требований стан-
дарта, с точки зрения ряда выступавших,
нуждается в изменении.
Сергей Бондарев: В настоящее время
стандарт вполне достоин того, чтобы стать
обязательным. Тем не менее, кое-что смуща-
ет в таком решении. Во-первых, если стан-
дарт станет обязательным, это автоматичес-
ки поставит деятельность банка по обеспе-
чению информационной безопасности под
контроль надзорных служб Банка России.
Подход надзорных служб достаточно жест-
кий, любое несоответствие воспринимается
как серьезное нарушение, достойное суро-
вого наказания. Международная практика
в этой сфере является более гибкой. Пост-
роение системы информационной безопас-
ности воспринимается как непрерывный
процесс, требующий постоянного контроля
и совершенствования. В рамках периоди-
ческого аудита высказываются замечания,
составляются планы их устранения, но су-
ровые санкции не накладываются.
Второй момент – ресурсы. Последние
версии стандарта требуют большого объ-
ема документирования – это оценка рисков
на всех уровнях моделей информационных
систем, составление планов по минимиза-
ции этих рисков, контроль, проверка, дове-
дение до руководства и т. д. Можно реализо-
вать эти процессы, если в банке существует
небольшое количество систем (а лучше, если
одна). Но, например, в Сбербанке систем
очень много, ряд территориальных отделе-
ний используют собственные системы, и они
не располагают необходимыми ресурсами и
квалификацией, чтобы этим заниматься.
Стоит учесть и экономическую ситуацию
в целом. Для многих отечественных банков
речь сейчас идет фактически о выживании,
и внедрение стандарта не является для них
приоритетной задачей. Поэтому я считаю,
что стандарт должен со временем стать обя-
зательным, но для этого должны быть соот-
ветствующие условия и возможности.
Андрей Курило: Стандарты ISO, на ко-
торых основаны стандарты Банка России,
строятся на вероятностной оценке рисков.
Но многие документы, которые сейчас дейс-
твуют в нашей стране, построены на при-
нципе детерминированных требований, и
это влечет другой подход при контроле.
Однако постепенно риск-ориентированный
подход проникает в практическую жизнь.
Что мешает банкам строить внутреннюю
политику на новой философии? В  действи-
тельности, внутренние аудиторы не готовы
 www.connect.ru
17.07.2009 13:01:12
 работать в соответствии с новым подходом,
перейти от понятия «ревизия» к понятию
«аудит». Ревизия подразумевает анализ
всего массива нормативных документов и
контроль выполнения каждого требования,
а аудит – оценку рисков и постепенное воз-
действие на проблему. И нужно предприни-
мать шаги для перехода к этой философии.
Карл Сумманен: Если сейчас сделать
стандарт обязательным, большинство бан-
ков наверняка его не выполнят. Предложе-
ние следующее: ввести минимальные требо-
вания, которые будут обязательными и вы-
полнимыми для 80% банков. Все, что выше
этой планки, сделать рекомендательным.
Артем Сычев: Я полностью за то, чтобы
стандарт был обязательным. Но для этого
у Главного управления безопасности Банка
России должна быть ясная договоренность
с надзорным блоком о том, каким обра-
зом надзор Банка России будут принимать
результаты как самооценки банка, так и
внешнего аудита на предмет соответствия
стандарту.
Сергей Бондарев: Хотел бы предложить
вендорам частично взять задачу оценки
рисков на себя. Если банк приобретает ин-
формационную систему (например, интер-
нет-банкинга) и при этом получает полный
комплект документации, необходимый для
проведения ее аудита на соответствие тре-
бования Стандарта Банка России по инфор-
мационной безопасности, включая оценку
рисков на всех уровнях, задача банка сильно
упрощается. Если вендоры пойдут на это,
мне кажется, это будет самым коротким и
результативным путем к принятию стандар-
та Банка России как обязательного.
Александр Омельченко: Я за обязатель-
ность стандарта, но вынужден примкнуть
к лагерю тех, кто опасается, что это приве-
дет к проверкам, по результатам которых
нужно будет устранять несоответствия – в
обязательном порядке, в ограниченные сро-
ки и независимо от наличия материальной
возможности.
Василий Окулесский: Предлагаю ком-
промиссную точку зрения: сертификация
не обязательна, но результаты соответствия
стандарту ЦБ РФ должны учитываться,
например, при отчислении обязательных
резервов банка. Это будет гораздо более
эффективный механизм, чем введение
требования обязательной сертификации.
Стандарт не вполне отвечает потребностям
малых банков, для них его выполнение су-
щественно труднее, чем для крупных. Но
при наличии такого механизма появится
возможность соотносить расходы на ИБ с
реальной экономической выгодой.
Виктор Гаврилов: Не будучи специа-
листом в банковском деле, тем не менее,
Круглый стол_ПД.indd 9
хочу поддержать идею о том, что нужно клиента. Из этого следует, что банкам
не вводить карательные санкции, а прини- необходимо в первую очередь многократно
мать стимулирующие меры. Международ- объяснять клиентам, что безопасность
ные стандарты ISO носят рекомендательный использования систем ДБО зависит от
характер, тем не менее в мировой практике них. Помимо этого следует организовывать
они соблюдаются, поскольку у организаций онлайн-проверку антивирусной защиты
есть стимул выполнить требования стандар- клиентских рабочих станций перед сеан-
та и пройти аудит. сом связи с банком, а также использовать
Дмитрий Породин: Как человек, имею- системы SMS-информирования, чтобы кли-
щий более чем восьмилетний опыт рабо- ент мог своевременно получить информа-
ты в финансовых организациях, хотел бы цию о том, что по его счету производится
сделать два комментария. Стандарт нужно операция. И, конечно, нужно продуманно
принимать в качестве обязательного, но де- составлять договоры на ДБО.
лать это нужно несколько позже. Во-первых, Карл Сумманен указал, что рассчиты-
необходимо дать банкам время оправиться вать на то, что на клиентской стороне
от кризиса, поскольку им сейчас реально не все всегда будет делаться правильно с точки
хватает финансов. Во-вторых, Центральному зрения безопасности, не приходится. Поэто-
Банку надо подготовиться к внедрению это- му, например, банк ВТБ24 помимо использо-
го стандарта – подготовить ресурсы, прежде вания ЭЦП требует теперь еще и ввести
всего проверяющие кадры, подразделения переменный код.
инспектирования. Пока у людей просто нет Впрочем, беспечность пользователей мо-
достаточно знаний для проверки выполне- жет свести на нет и такие меры. Как заме-
ния стандарта. тил Сергей Горьков, масса клиентов ВТБ24
Валерий Харламов: Помимо инспекции держат копии карт переменного кода в не-
существует профессиональная группа орга- подходящих местах, например, в почте.
низаций, сообщество ABISS, которое про- Есть и другая проблема: некоторые про-
водит оценку соответствия стандарту. Если изводители систем ДБО подчас предлагают
та или иная кредитная организация готова решения, которые не обеспечивают юриди-
внедрять стандарт, то есть организация, ко- чески значимого документооборота и пред-
торая проведет внешний аудит. полагают использование не сертифициро-
ванных электронных средств ЭЦП. Это ав-
томатически выводит систему ДБО из-под
Защита персональных действия Закона «Об электронной цифровой
данных в системах подписи», что влечет невозможность дока-
зательства банком своей правоты в суде.
дистанционного В связи с этим некоторые участники
банковского обслуживания обсуждения отметили, что в Законе «О пер-
сональных данных», который весьма строг в
В ходе «круглого стола» было уделено отношении операторов персональных дан-
внимание рискам утечки персональной ных, следовало бы прописать также ответс-
информации пользователей систем ДБО. твенность производителей информацион-
Как отметил Андрей Грициенко, с 2007 г. ных систем для операторов ПДн.
эта проблема нарастает в геометричес- Хотя не все участники были согласны
кой прогрессии. Вместе с тем, абсолютное с тем, что всегда обязательно использо-
большинство инцидентов связано с беспеч- вать сертифицированные криптографи-
ным отношением самих пользователей к ческие средства в системах ДБО – должен
своим данным. В основном утечки связаны существовать разумный компромисс между
с воровством ключей, зачастую – с непра- строгостью мер безопасности и удобством
вильным применением или отсутствием клиента. В этом случае банк принимает на
средств антивирусной защиты на стороне себя сопутствующие риски.
Разумеется, в рамках «круглого стола» была затронута лишь малая часть вопросов,
встающих перед кредитно-финансовыми организациями в свете вступления в силу Зако-
на «О персональных данных». Тем не менее, участники отметили большую пользу мероп-
риятия. Как минимум, оно показало, что конструктивный диалог сторон возможен.
Как отметил, в частности, Геннадий Емельянов, многие обсуждавшиеся вопросы
касаются не только банков, но и всех прочих операторов персональных данных. По-
этому следует по итогам мероприятия выработать официальный документ и донести
его до сведения в первую очередь законодателей, а также всех заинтересованных орга-
низаций. Консолидированное мнение профессионального сообщества не может быть
не услышано.
№ 7, 2009 9
17.07.2009 13:01:12