Собственно в июне пройдет вторая встреча по данному направлению с приглашением регуляторов и обсуждением всех предложений в расширенном составе. А вот в июле планируется проведения конференции под эгидой АРБ и ЦБ по данной теме.
Из наиболее интересного хочу отметить, что планируется активно задействовать СТО БР ИББС-1.0 в качестве типовой модели угроз ПДн (возможно с некоторой доработкой) и набора защитных мероприятий. Если удастся данный отраслевой стандарт сделать "заменой" требованиям ФСТЭК по персданным для кредитных учреждений, а оценку соответствия данному стандарту приравнять к аттестации, то для банков ситуация сильно облегчится в части выполнения технических требований по защите ПДн. Остаются еще требования самого ФЗ, но и тут нас скоро ждут изменения. По крайней мере в Минкомсвязи сейчас готовится проект ФЗ о внесении изменений в ФЗ-152.
Надо заметить, что это не единственный пример такой консолидации сил. Помимо банковского сообщества, аналогичная работа ведется под эгидой инфокоммуникационного союза для операторов связи. Дело за малым - осталось привлечь Всеросийский союз страховщиков для страховых компаний и мы получим наиболее важные отрасли, чьи клиенты насчитывают десятки миллионов людей. Еще бы ЖКХ и социалку привлечь, но у них, имхо, нет ассоциации, объединяющей их интересы.
13 коммент.:
Мда, а остальным как быть? У нас своего отраслевого стандарта нету...
А кто вам мешает выходить с инициативой на Российский Союз страховщиков?
ВСС по сути полудохлый (ничего он лоббировать не будет), а остальные союзы (автостраховщиков, агростраховщиков, авиастраховщиков и тд) узкоспециальные, каждый своим видом занимается. Да и даже если бы ВСС взялся, сколько времени займет разработка и становление статуса отраслевого стандарта? Боюсь, годы.
Ну какие годы. Вон инфокоммуникационный союз для большой тройки в конце прошлого года начал такую работу. Скоро должен закончить ;-)
Если проблема есть, то возглавьте ее сами ;-) Пригласите Ингострах, Росгострах и других крупных игроков.
По поводу работ в инфокоммуникационном союзе - "скоро сказка сказывается..." ;-(
Думается, что исход зависит от лоббистских возможностей. У банковской сферы они, очевидно, значительны. С другой стороны вряд ли удастся отмахнуться от применения сертифицированных СЗИ.
От сертификации точно не отмахнешься. Как и от аттестации. Пока ФСТЭК стоит на этих позиция мертво. С аттестацией есть "схемы" ;-)
Что касается лобби, то оно есть почти у любой "ассоциации" или "союза". Без него она не могда бы существовать вообще ;-)
Банкам без АБС, с их миллионами транзакций, никуда (и требования по непрерывности у них повышенные). У страховщиков ситуация несколько иная, от ИТ такой зависимости нет (договора все равно в материальном виде заключаются и существуют). Если привести ИС в соответствие будет слишком сложно, возможен и отказ от ИТ для обработки информации о страхователях. Вряд ли это вероятный сценарий, но вовсе не невозможный.
Ты от ИТ не можешь отказаться хотя бы по той причине, что печатать договора на машинке - слишком накладно по всем показателям. А от ФЗ-152 ты все равно не уйдешь - у тебя хранение договоров соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Так от ФЗ я и не пытаюсь, у меня ФСТЭК больший зуд вызывает;) Особенно как про К1 вспомню. А договора в основном типовые, поэтому задача сведется к заполнению формы. Ручкой. Как ОСАГО.
Кстати, есди вдуматься, идея не такая уж абсурдная, хоть "медицина" уберется...А вообще хреново, когда из-за невозможности выполнения закона всерьез думают об отказе от современных технологий. Если бы аналогичные по жесткости требования предъявили к транспортным средствам, то завтра предприятия общественного транспорта вывели бы на линии самокаты и велосипеды:)
> хреново, когда из-за невозможности
> выполнения закона всерьез думают
> об отказе от современных технологий
Смотря кому. Поскольку возможности утечки уподобляются стремительному домкрату, достижение цели, названной в статье 2, налицо.
Отправить комментарий