Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:
Personal Data In Russia And Other Countries
View more documents from lukatsky .
Конференция была разделена на три части:
общее введение в проблемурассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требованияпрезентация рекомендаций для банков. В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.
ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн. Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверкахорганизационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн. ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.