20.02.2012

Магнитогорские впечатления (часть 1)

Недельное отсутствие в блоге буду возмещать рассказом о посещении уральского форума по информационной безопасности банков, на котором прозвучало немало интересного, как с точки зрения практических вопросов обеспечения ИБ в банках, так и с точки зрения регуляторики. Для тех, кто следил за моими твитами, ничего нового, скорее всего, не будет. Я просто аккумулирую все в более удобном для чтения виде и добавлю свои комментарии к тем или иным фактам и заявлениям.

Но начну с общего впечатления - оно более чем позитивное. И деловая, и культурная, и спортивная программа были на высоте. Каждый мог найти то, что ему было по душе. Деловая программа была, например, поделена на 4 больших блока - по одному дню на каждый - национальная платежная система, СТО БР ИББС, ДБО и мобильный доступ + облака. Доклады тоже достаточно четко делились на 3 категории - регуляторы, банки и спонсоры. Первые говорили о тенденциях и статистике, вторые - о практике решения наболевших вопросов, третьи - втюхивали (как сказал один из споноров) свои продукты и услуги. Кто втюхивал что-то новое, кто-то вещал о том же, что и год-три назад.

Регуляторика

Началось все с Тосуняна, который сделал вводное выступление, поделился статистикой и наметил некоторые общие вопросы, которые предстояло решать в течение 4-х дней. За ним выступал первый зампред ЦБ Конторович. Он заявил, что на днях у Игнатьева (председатель ЦБ) было совещание всего руководства ЦБ по поводу воровства денег со счетов клиентов, а это значит, что ЦБ наконец обратился к этой теме и будет стараться ее решать в той или иной степени. Основная проблема, которая сейчас стоит перед отраслевым регулятором, по словам Конторовича, на кого переложить затраты на решение проблемы хищений средств. ФЗ-161 (об НПС) позволяет возложить эту задачу, в зависимости от трактовки, как на банки (но тогда могут возрасти ставки по кредитам, а их объем может снизиться), так и на клиентов (тогда клиенты меньше будут пользоваться банковскими услугами). В целом непростая задача...

После Конторовича выступал Шередин из Роскомнадзора. Очень достойное выступление. Сначала он вкратце коснулся изменений в июльском ФЗ о персданных, а потом сделал ряд интересных заявлений. Во-первых, с целью интенсификации проверок в условиях нехватки собственных ресурсов РКН начал привлекать сторонних экспертов. В реестре таких компании уже 4 компании - все из Москвы. Надо заметить, что появились и первые вопросы к данной инициативе РКН. Прошла всего неделя с момента ее анонса, поэтому пока рано делать выводы о том, как она будет работать, но пока выглядит все это не очень понятно. Лично меня смущает, что в списке экспертов числится топ-менеджмент одного из интеграторов по ИБ - что-то я не очень верю, что они будут ездить на проверки. Ну да ладно, посмотрим...

Во-вторых, Шередин повторил тезис о том, что они ЗА принятие СТО банками, но... по словам представителя РКН банки зачастую завышают уровень своей самооценки. При этом 72 банка, присоединившихся к СТО, уведомление в РКН не посылало - это недопустимо, по мнению РКН. Из наиболее популярных нарушений банков (в этом году Шередин имен не называл) - несоблюдение конфиденциальности ПДн, отсутствие списка лиц, допущенных к обработке ПДн, рассылка рекламы в нарушении ст.15 ФЗ-152.

Очень интересным мне показалось мнение РКН о том, что при привлечении рекламных компаний для рассылки рекламы от имени банка, именно на банк возлагается ответственность за проверку источника получения рекламщиками базы для рассылки. на мой взгляд - это в корне неверная позиция. Банк не может нести ответственность за действия своих контрагентов. Если у РКН есть претензии к рекламным компаниям, то пусть инициируют проверки - закон и административный регламент им сейчас это позволяют. Требовать же держать ответ от банка нелепо.

3 банка отказались предоставлять сведения РКН во время проверки, ссылаясь на банковскую тайну, что не помешало РКН выписать предписание об устранении нарушений и направить материалы в прокуратуру. Также Шередин высказал хдравую мысль, что получать унифицированное и общее согласие клиента банка на обработку его ПДн некорректно, т.к. нарушает принцип целеполагания. По мнение РКН согласие должно быть дифференцированным. Берет клиент кредит - согласие должно быть на обработку ПДн в целях получения кредита, а не, например, рассылку рекламы. Сослался Шередин и на 115-ФЗ, как хороший пример, когда ПДн можно обрабатывать без согласия (в ряде случаев). Дальше была вообще революция - РКН не имеет претензий к банкам, передающим ПДн коллекторам в рамках цессии. Но только в рамках именно этой формы общения с коллекторскими агентствами. Если же речь идет об агентском договоре, то будьте добры получить согласие. В целом мне выступление Шередина понравилось - четко и по делу.

Потом выступал Куц из ФСТЭК. Зачитал приветствие от Селина, а потом пару слов сказал о персданных. Новые Постановления Правительства по ПДн будут готовы в мае. От себя добавлю, что таких Постановлений будет 3 и за их разработку ответственным назначена ФСБ, а не ФСТЭК. Корольков (ФСБ) отделался общими словами. Заявленный БСТМ так, к сожалению, и не приехал. Видимо готовятся к реорганизации - 10 февраля Медведев на коллегии МВД высказал идею о том, что полиции надо расширять свое присутствие в сфере высоких технологий и активнее бороться с киберпреступлениями, для чего на базу Управлений "К" будут создаваться новые подразделения.

На этом пока все. Завтра продолжу про НПС и СТО.

ЗЫ. Кстати, участников было в этом году больше, чем в прошлом. Правда и интеграторов тоже стало больше. Одного заказанного чартерного самолета на 210 мест на всех не хватило.

ЗЗЫ. Презентации будут выложены в обозримом будущем на сайте конференции.

2 коммент.:

Сергей комментирует...

Алексей, поднимался ли вопрос об обязательности лицензии на ТЗКИ?
И как быть с передачей ПДн коллекторам по агентскому договору и без согласия с целью "осуществления прав и законных интересов оператора"?

Алексей Лукацкий комментирует...

Про первое - завтра
Про второе - получать согласие. Эта проблема известна уже давно. В частности, я на курсах рассматриваю три варианта передачи данных коллекторам и только по цессии согласия не нужно. В остальных двух нужно, как ни крути.