12.11.2009

О банковском эгоизме

Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:


Конференция была разделена на три части:
  • общее введение в проблему
  • рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
  • презентация рекомендаций для банков.

В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
  • ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
  • лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.

ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
  • четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
  • ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.

 Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
  • практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
  • организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.

ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.

21 коммент.:

Ригель комментирует...

Отраслевые и районные документы по защите ПДн - это национальный позор, вообще говоря. Это как всем торжественно расписаться, что "консерватория" недееспособна.

Роман комментирует...

Алексей, а где можно найти сам текст Рекомендаций?

Quiet Zone комментирует...

А мне идея отраслевых стандартов нравится. Только не по защите исключительно ПДн, разумеется (это как стоматолог только по коренным), а по соблюдению требований ИБ в целом. Есть же PCI DCC и стандарты ITU, и они приносят пользу, так почему не быть другим, дифференциированным, например, по видам деятельности? Главное не довести до абсурда и не изобретать отдельных стандартов на каждый незначительный чих рынка и государства.

Анонимный комментирует...

Автору +100500,
за сравнение наших и западных теоретических основ законодательства о ПД в презентации.

AndrewZ комментирует...

Еще телеком отмажут чуть попозже. В этом нет сомнений.
А стричь будут остальных.

Евгений Родыгин комментирует...

Ригелю ++
Очередной показ - кто жирнее/сильнее/активнее - тот и прав!
Это не в упрек АРБ или ОСС - они как раз молодцы... С одной стороны горько, с другой - а по другому никак... Только вот лунопарк уже не причем получается... цель ФЗ все дальше и дальше...

P.S. "Yeah, well, I'm gonna go build my own theme park, with blackjack and hookers. In fact, forget the park!" (с) Бэндер.

Vladimir комментирует...
Этот комментарий был удален автором.
Vladimir комментирует...

Алексей,
Относительно этого:
"•лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна"

Речь идет об "осуществлении деятельности по техническому обслуживанию шифровальных (криптографических) средств"?

Т.е. заказчику теперь нет необходимости получать лицензию или заключать договор на обслуживание с лицензиатом?

Алексей Лукацкий комментирует...

Vladimir: Да.

Ригелю: Ты не прав. Отраслевые документы - это нормально. Ты либо пишешь в общем, либо конкретизируешь. Но тогда нужна отраслевая специфика.

Евгений Родыгин комментирует...

2 Алексей
Отраслевая специфика все к тому и шло... но тут появляется особенность и вопрос...

Особенность:в связи с тем, что любой готов доказывать что у него своя специфика становится жаль тех, кто не может ее "продавить"

Вопрос: Теперь необходимо остановить процесс и поставить отраслям задачу - за 3 месяца выпустить и согласовать тех. требования для своих отраслей?

Опять же избранные выкрутятся...
Идет борьба между Регуляторами и операторами а субъект затих и ушел в тень...

Анонимный комментирует...

Не стерпел. Что означает "сам для себя"?
Задача:
1. Есть главный офис и его филиал, не являющийся отдельным юр. лицом.
2. Между ними с использованием СКЗИ передается коммерческая тайна, принадлежащая этой организации.
3. Между ними с использованием СКЗИ передаются ПДн граждан, принадлежащие им самим, а не организации.
Вопросы:
1. В каком случае 1 или 2 не надо получать лицензию на предоставление услуг по СКЗИ?
2. (предвосхищая ответ) Если ни в каком, то вообще в каком случае применяется лицензирование по предоставлению услуг по СКЗИ??? Зачем вся документация ФСБ по этим вопросам? Зачем поэкземплярный учет проданных СКЗИ? Кто в организации будет выполнять требования, если можно ничего не делать???? Особенно в гос. органах. Если так, то об УЦ в том виде как оно есть можно забыть. И про ЭЦП забыть. Дорога в пропасть.
ZZubra

Алексей Лукацкий комментирует...

Вот когда ты оказываешь предпринимательские услуги со СКЗИ, то тогда нужны лицензии. За клиент-банк, например.

Анонимный комментирует...

Алексей, без получения лицензии ФСБ, к примеру, вам не дадут ввезти (приобрести) модули безопасности для международных платежных систем.

Анонимный комментирует...

Я и говорю. Рынок услуги ЭЦП, УЦ убивается фразой не нужна лицензия для себя. Для себя не вкладывая особых усилий, бесконтрольно можно применять СКЗИ везде, зачем тратиться на услугу?
ZZubra

Ригель комментирует...

> Ты не прав. Отраслевые
> документы - это нормально.

В каком случае? Когда учитывают интересы не всех тех сторон, чьи затрагивают - совершенно не нормально.
Завтра ассоциация продавцов сельхозпродукции правила санитарно-эпидемиологического контроля скорректирует, послезавтра ассоциация автоперевозчиков пешеходные переходы отменит - хорошо живем!

Алексей Лукацкий комментирует...

Они ничего не корректируют и не отменяют - они предлагают адекватные правила, учитывающие специфику своей отрасли.

Ригель комментирует...

Адекватные чьим целям - их собственным, не так ли?

Анонимный комментирует...

В общем это "лицензия для себя не нужна" убивает весь институт лицензирования. Не только в крипто, ТЗКИ, но и в строительстве, медицине, образовании и во всех других областях.

Мне тут вариант трактовки этого термина предложили:
У ФСБшника (ФСТЭКовца)спрашивают: "Лицензия для себя нужна?"
Он переспрашивает:" Для себя?"
Ответ: "Да"
Ответ ФСБ/ФСТЭК: "Нет, для себя не нужна"
Проверка.
ФСБ/ФСТЭК: "Где лицензия?"
Проверяемый: "Вы же сказали что для себя не нужна!!!"
ФСБ/ФСТЭК: "Ну да. Для себя (для ФСБ/ФСТЭК) не нужна. А Ваша лицензия где?"

ZZubra

Евгений Родыгин комментирует...

2 ZZubra

повеселило..

Анонимный комментирует...

Работать и разговаривать с клиентом в условиях неопределенности не весело (((
Я уж про аутсортинг УЦ не говорю. Огромный объем работ, который может оказаться не нужным, но сейчас его на всякий случай делать надо.
ZZubra

Игорь К. комментирует...

С сайта ФСТЭК исчезло упоминание четверокнижия. Вместо этого появилось два документа:
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

С очень любопытной пометкой "(Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)"

См. вот здесь - http://www.fstec.ru/_spravs/_spec.htm