27.05.2009

АРБ консолидировала усилия банков по линии персданных

22 мая в Ассоциации Российских Банков (АРБ) прошло заседание рабочей группы по вступающим в силу с 1 января 2010 года отдельным положениям соответствующего Федерального закона № 152-ФЗ. Как участник данной встречи хотел сначала подробно расписать, к чему пришли на этой встрече, а потом на сайте нашел пресс-релиз по ее результатам. Поэтому повторяться не буду.



Собственно в июне пройдет вторая встреча по данному направлению с приглашением регуляторов и обсуждением всех предложений в расширенном составе. А вот в июле планируется проведения конференции под эгидой АРБ и ЦБ по данной теме.

Из наиболее интересного хочу отметить, что планируется активно задействовать СТО БР ИББС-1.0 в качестве типовой модели угроз ПДн (возможно с некоторой доработкой) и набора защитных мероприятий. Если удастся данный отраслевой стандарт сделать "заменой" требованиям ФСТЭК по персданным для кредитных учреждений, а оценку соответствия данному стандарту приравнять к аттестации, то для банков ситуация сильно облегчится в части выполнения технических требований по защите ПДн. Остаются еще требования самого ФЗ, но и тут нас скоро ждут изменения. По крайней мере в Минкомсвязи сейчас готовится проект ФЗ о внесении изменений в ФЗ-152.

Надо заметить, что это не единственный пример такой консолидации сил. Помимо банковского сообщества, аналогичная работа ведется под эгидой инфокоммуникационного союза для операторов связи. Дело за малым - осталось привлечь Всеросийский союз страховщиков для страховых компаний и мы получим наиболее важные отрасли, чьи клиенты насчитывают десятки миллионов людей. Еще бы ЖКХ и социалку привлечь, но у них, имхо, нет ассоциации, объединяющей их интересы.

13 коммент.:

Quiet Zone комментирует...

Мда, а остальным как быть? У нас своего отраслевого стандарта нету...

Алексей Лукацкий комментирует...

А кто вам мешает выходить с инициативой на Российский Союз страховщиков?

Quiet Zone комментирует...

ВСС по сути полудохлый (ничего он лоббировать не будет), а остальные союзы (автостраховщиков, агростраховщиков, авиастраховщиков и тд) узкоспециальные, каждый своим видом занимается. Да и даже если бы ВСС взялся, сколько времени займет разработка и становление статуса отраслевого стандарта? Боюсь, годы.

Алексей Лукацкий комментирует...

Ну какие годы. Вон инфокоммуникационный союз для большой тройки в конце прошлого года начал такую работу. Скоро должен закончить ;-)

Алексей Лукацкий комментирует...

Если проблема есть, то возглавьте ее сами ;-) Пригласите Ингострах, Росгострах и других крупных игроков.

Анонимный комментирует...

По поводу работ в инфокоммуникационном союзе - "скоро сказка сказывается..." ;-(

AndrewZ комментирует...

Думается, что исход зависит от лоббистских возможностей. У банковской сферы они, очевидно, значительны. С другой стороны вряд ли удастся отмахнуться от применения сертифицированных СЗИ.

Алексей Лукацкий комментирует...

От сертификации точно не отмахнешься. Как и от аттестации. Пока ФСТЭК стоит на этих позиция мертво. С аттестацией есть "схемы" ;-)

Что касается лобби, то оно есть почти у любой "ассоциации" или "союза". Без него она не могда бы существовать вообще ;-)

Quiet Zone комментирует...

Банкам без АБС, с их миллионами транзакций, никуда (и требования по непрерывности у них повышенные). У страховщиков ситуация несколько иная, от ИТ такой зависимости нет (договора все равно в материальном виде заключаются и существуют). Если привести ИС в соответствие будет слишком сложно, возможен и отказ от ИТ для обработки информации о страхователях. Вряд ли это вероятный сценарий, но вовсе не невозможный.

Алексей Лукацкий комментирует...

Ты от ИТ не можешь отказаться хотя бы по той причине, что печатать договора на машинке - слишком накладно по всем показателям. А от ФЗ-152 ты все равно не уйдешь - у тебя хранение договоров соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Quiet Zone комментирует...

Так от ФЗ я и не пытаюсь, у меня ФСТЭК больший зуд вызывает;) Особенно как про К1 вспомню. А договора в основном типовые, поэтому задача сведется к заполнению формы. Ручкой. Как ОСАГО.

Quiet Zone комментирует...

Кстати, есди вдуматься, идея не такая уж абсурдная, хоть "медицина" уберется...А вообще хреново, когда из-за невозможности выполнения закона всерьез думают об отказе от современных технологий. Если бы аналогичные по жесткости требования предъявили к транспортным средствам, то завтра предприятия общественного транспорта вывели бы на линии самокаты и велосипеды:)

Ригель комментирует...

> хреново, когда из-за невозможности
> выполнения закона всерьез думают
> об отказе от современных технологий

Смотря кому. Поскольку возможности утечки уподобляются стремительному домкрату, достижение цели, названной в статье 2, налицо.