Г-н Страхов остановился на технических и юридических аспектах этой проблематики. По его словам, существуют требования к ИБ-системам, но отсутствуют к приложениям, например к CRM, которые по своей сути работают с персональными данными. Для обеспечения реальной защиты одной проверки на НДВ недостаточно: должно быть определено и зафиксировано, что приложение может делать, а что нет. Например, сегодня многие ИС позволяют копировать данные на компьютер пользователя, это очевидная брешь в безопасности.
Алексей Страхов, руководитель направления ИБ компании , привлек внимание к другому аспекту проблемы персональных данных. Формальное соблюдение требований законодательства в области ПДн и желание отчитаться перед регулятором не должны заслонять истинной цели обеспечения реальной защиты.
Защита или просто формальность?
Тему защиты ПДн в банках продолжил Алексей Бабенко, старший аудитор компании . Он подробно остановился на том, что выполнение требований стандарта по информационной безопасности банковских систем ( ) может также обеспечить соблюдение норм . Этот стандарт основан на стандарте и предъявляет к информационной безопасности даже более жесткие требования, чем , особенно в части документирования политик и процедур, реализуя процессный подход, основанный на лучших практиках.
Поскольку не во всех банках есть свои специалисты по информационной безопасности, выступила инициатором создания консультационного центра, который помогает мелким и средним банкам обеспечить выполнение требований закона о персональных данных.
Банковское сообщество предлагает закрепить в качестве универсальной модели регулирования отраслевые стандарты по обеспечению защиты ПДн, утверждаемые отраслевыми регуляторами или по согласованию с ними; и также закрепить положение, в соответствии с которым ПДн, на которые распространяются режим налоговой, банковской, коммерческой или иной тайны, защищаются в рамках этого режима и не требуют дополнительных мер защиты.
В банковской сфере к защите тайны вкладов и операций своих клиентов по традиции относятся очень серьезно. Поэтому требования банкиров не пугают в чем-то они даже мягче, чем требования "своего" регулятора . Об этом и о практическом опыте реализации положений говорил Олег Казакевич, советник президента по безопасности.
Банковские противоречия.
При этом именно социальные сети практически всегда оказываются в центре всех громких скандалов, связанных с утечкой и криминальным использованием персональных данных, таких как дело с похищением Ивана Касперского.
Социальные сети это вообще отдельная тема. На сегодня это самые большие хранилища персональных данных, причем люди передают их туда совершенно добровольно. Многие из них, , и др. вообще находятся вне российской юрисдикции. Другие, например, и , хоть и размещаются в России, не являются операторами ПДн, пользователи размещают информацию о себе добровольно.
Глобализация еще больше осложняет ситуацию с персональными данными. Это касается вопросов трансграничной передачи данных, что актуально для международных компаний, ведущих свою деятельность в России, а также и для провайдеров облачных услуг, дата-центры которых могут располагаться и за рубежом.
С другой стороны, ответственность за несоблюдение норм такова, что некоторые организации придерживаются позиции, что дешевле будет платить штрафы, чем реализовать весь комплекс мер по защите ПДн согласно закону.
Вторая проблема запутанность регулирования во области ПДн. В это вовлечено много ведомств, включая , , , , для банков еще и , которые часто предъявляют противоречивые требования.
По мнению аналитиков, основная проблема в области защиты персональных данных (ПДн) это большое количество операторов ПДн, их общее число порядка 5-7 млн., а на сегодняшний день в реестре зарегистрировано всего 190 тыс.
Сложностей слишком много.
Никому не хочется, чтобы его персональные данные были доступны любому. В современном мире такие риски слишком высоки, чтобы можно было их игнорировать, они варьируются от просто получения нежелательной рекламы до криминальных ситуаций.
История с развивается по классическому сценарию: "строгость законов Российской Империи компенсируется необязательностью их выполнения". В первой редакции требования по защите персональных данных по своей строгости были сопоставимы с защитой гостайны. По мнению экспертов, их реализация в масштабах всей страны могла составить до нескольких процентов ВВП, что было бы явно чрезмерно. С другой стороны, важность этого закона очевидна.
Федеральный закон "О персональных данных" 152-ФЗ от 27 июля 2006 года действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается на сей раз до 1 июля 2011 года. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки", организованного CNews Analytics совместно с CNews Conferences.
Защита персональных данных: как рынку вырваться из противоречий?
Защита персональных данных: как рынку вырваться из противоречий?
Комментариев нет:
Отправить комментарий