Rambler's Top100
Английский язык
Клиентов хватит на всех, или Пожелания конкурентам
Александр Сибиряков, «Диджитек»: «Я бы пожелал своим конкурентам «мочить» друг друга на электронных торгах с таким же энтузиазмом, как в прошедшем году. Глядишь, через год конкурентов не останется…»
Виртуальных операторов станет вдвое больше
Компания «Плюс Один» собирается в течение года запустить в России шесть виртуальных операторов. Сейчас в нашей стране активно работают не более шести MVNO.
IT-эксперт | IT-рынок | продукты и решения | события | блоги | IT-новости
форум| pda| rss
Михаил Сенаторов: о 152-ФЗ и гражданском обществе.(часть 2-я)
Автор: Зеленков Александр
Опубликовано 12 января 2010 года

English version

Итоги года, дискуссия вокруг закона о персональных данных, проблемы информатизации госсектора – главные темы интервью заместителя Председателя Банка России Михаила Сенаторова нашему порталу. Сегодня мы публикуем вторую часть интервью. Первая часть доступна здесь.

- Ушедший 2009 год прошёл под знаком дискуссии вокруг 152-ФЗ «О персональных данных». Как Вы оцениваете эту дискуссию?

Дискуссия о законе о персональных данных ведётся давно. Если взять полемику, которая была год назад, то она была очень хаотичная и рыхлая. В 2009-м году дискуссия носила совсем иной характер. Она была выстроенной. Было понятно, какие моменты для нас являются действительно важными.

Мы, как представители банковского сообщества, предлагали определённые шаги, определённые подходы...  Поэтому я считаю, что совместная работа профессионалов в области информатизации в банковской сфере принесла очень интересные результаты. Просто очень интересные.

Хотя задача остаётся. Она не решена. Она просто отодвинута на год.

Есть закон. Мы говорим, что понимаем дух закона, понимаем его направленность. Мы этот закон поддерживаем, считаем, что закон правильный, и он должен работать. Но его надо скорректировать так, чтобы можно было этот нормативный акт нормально реализовывать. А для того, чтобы скорректировать закон, нужны веские основания. Пока же у нас только, увы,  устная речь. Мы говорим о том, что выполнить требования этого закона и подзаконных актов будет сложно, это потребует больших средств, это может привести к разного рода нарушениям. Говорим о том, что в законе присутствует элемент коррупциогенности.

Да, закон недостаточно четко прописан. Регламенты, которые выставили регуляторы, очень сложные. Но всё это только устная полемика. Даже рекомендации парламентских слушаний – тоже фигуры устной речи.

 Это происходит потому, что до сих пор ни у кого нет практического опыта работы с использованием выдвинутых регуляторами рекомендаций. А пока нет фактического наработанного материала, нельзя с уверенностью сказать:  выполнимы эти требования или нет. Поэтому следующий, 2010-й год не будет простым с точки зрения доказательной базы. Те же самые регуляторы скажут: ну вы сделайте хоть что-нибудь, тогда мы посмотрим! Но пока никто, похоже, не собирается предпринимать в этом отношении ничего серьезного.

- И что Вы намерены делать?

Наш подход, - я думаю, что в 2010 году мы вряд ли от него отойдем, - это не спорить с регулятором и говорить, что вот тут правильно, а вот тут не правильно. Мы, банковское сообщество, должны выработать свои отраслевые стандарты и нормы. И на базе этих норм договориться с регулятором о том, как мы будем исполнять этот закон, и как регулятор будет проверять соблюдение тех норм и обязательств, которые банковское сообщество само на себя берёт.

Мы полагаем, что такой отраслевой стандарт защиты персональных данных можно было бы создать на основе тех норм, которые сейчас у себя вырабатывает Центральный банк.

- Движение идёт в направлении распространения механизмов защиты банковской тайны на персональные данные?

Не везде нужно распространять нормы защиты банковской тайны на защиту персональных данных. Информация в разных информационных системах по-разному используется, по-разному идентифицирует персону. В данном случае – персона может быть как физическим лицом, так и юридическим. Поэтому, выстраивая средства защиты, мы должны понимать, от кого мы защищаемся. У нас должна быть угроза. Нельзя построить защиту просто так. Нельзя сказать: мы должны защищать персональные данные вообще. Как защищать? От кого?

У нас в Банке есть модель угроз, которая распространяется, в том числе, и на персональные данные. Персональные данные классифицированы в разных системах. Есть персональные данные, которые надоочень серьёзно защищать и закрывать. Например, персональные данные в медицинских учреждениях, обслуживающих сотрудников ЦБ. Естественно, никто не заинтересован в том, чтобы сведения о его проблемах, о его болезнях были доступны для третьих лиц, кроме профессиональных врачей. Поэтому такие данные должны быть защищены особым образом.

Но есть информация, которая в принципе может и не защищаться, потому что вряд ли кто будет за ней охотиться.

Это два крайних случая. Между ними есть еще очень много промежуточных ситуаций. Поэтому наша политика безопасности предусматривает несколько категорий защиты персональных данных. Мы сами классифицируем эти данные. И мы их защищаем в соответствии с нашей классификацией. И мы, банк, несем за всю ответственность за защиту этих данных, поскольку это является нормативным документом банка.

- Это нормативный документ, который работает в Банке России. А что в других банках?

Это документ Центробанка. Он не является даже рекомендательным для других банков. Но, как и стандарт безопасности, это нормативный документ Банка России. Банковское сообщество сказало: да, этот стандарт безопасности интересен. И почему бы и нам этому стандарту не следовать? В результате была создана саморегулируемая организация ОБИС, которая объединила пользователей стандарта информационной безопасности Банка России. Все они самостоятельно и добровольно взяли на себя обязательства придерживаться положений этого стандарта, который с юридической точки зрения обязателен только для Центрального банка.

Мы считаем, что путь, проложенный с помощью организации ОБИС, вполне продуктивен. И точно такой же подход был выбран к реализации требований 152-ФЗ и связанных с ним подзаконных актов. Это создание некоей организации банковского сообщества, которая примет свой стандарт защиты персональных данных. Этот стандарт, естественно, должен опираться на какие-то документы. В качестве таких документов мы предлагаем документы Банка России по защите персональных данных, которые сейчас уже разработаны. Мы предлагаем взять их за основу и с ними дальше работать, применять их в банковской деятельности с учетом особенностей каждого банка.

На самом деле, это может и должно стать еще одним шагом к созданию саморегулируемого банковского сообщества, о чём неоднократно говорил президент АРБ Гарегин Тосунян. У нас есть шанс в будущем году существенно продвинуться в направлении перехода банковского сообщества к саморегулируемому режиму. Дискуссия вокруг 152-ФЗ обеспечила широкое осознание необходимости таких шагов, необходимости более осмысленного и целенаправленного движения именно к этой цели. В этом - немалая заслуга людей, которые в банковском сообществе занимаются защитой информации, которые объединились и активно участвовали в полемике и выработке этих подходов.

- Отраслевые стандарты – это документы общественных организаций. Существуют ли возможности их узаконить?

Когда мы создадим эту организацию, когда подобные саморегулируемые организации создадут другие сообщества – страховщики, медики, сотовые операторы и так далее, - когда всё это станет реальностью, вот тогда можно будет обратиться к законодателю. Тогда можно будет сказать: смотрите, вот как можно дух закона дополнить буквой.

Ещё раз говорю: активная полемика вокруг закона о персональных данных, которая была в этом году, опиралась на некие предварительные суждения, некую аналитику, но не опиралась на конкретные внедрения и на конкретные результаты внедрений.

Поэтому когда будут сделаны отраслевые стандарты, только тогда мы сможем выйти с этими стандартами к законодателю и сказать: банковское, страховое, медицинское сообщество, сотовые операторы добровольно приняли на себя обязательства строго соблюдать такие-то стандарты. И следить за их соблюдением всеми участниками рынка. Уже есть конкретная практика, есть результаты. Почему бы это не узаконить?

Но это вопрос не только к законодателю. Этот диалог надо будет вести и с регулятором. Ведь проблема в том, что у нас вопросами безопасности занимаются организации, которые не имеют опыта защиты информации в гражданском обществе. Потому что у ФСБ вполне конкретная основная задача, которую она выполняет – это защита государственной тайны. Защита гостайны связана с определенными процедурами, не всегда подходящими для гражданского общества, которое не связано с государственными секретами, и этими секретами не пользуется.

Государственный аппарат – да, он пользуется. И ФСБ защищает секреты госаппарата. Определенные секреты гражданского общества ФСБ тоже защищает. В своей сфере ФСБ всё делает очень профессионально. Но эксперты этой организации не очень хорошо себе представляют, как должна строиться защита персональной информации за пределами знакомой им специфики. Потому что сам характер организации другой.

То же самое и ФСТЭК. Ведь эта организация была создана для противодействия утечке информации по техническим каналам. То есть для противодействия иностранным техническим разведкам. И эта организация всегда была связана с военными секретами. Как закрыть от вражеских технических разведок тактико-технические данные новых образцов российского вооружения - это была ее основная задача. И она так и остаётся основной. Задача не изменилась.

Во ФСТЭК, в основном, работают офицеры и генералы, которые всю жизнь прослужили в вооруженных силах. Для них тематика банковской тайны или тематика банковской деятельности понятна где-то на уровне общих рассуждений. Деталей они не знают, не понимают систем, которые в банках уже выстроены. У них иной подход. Я не говорю, плох он или хорош. Он – другой. Это подход, который выработан для их систем. А других регуляторов нет.

- А Роскомнадзор?

Задача Роскомнадзора – надзор за соблюдением требований и правил. А устанавливают эти правила ФСБ и ФСТЭК. Поэтому гражданской организации-регулятора сегодня нет. Есть некий вакуум, который должен быть чем-то заполнен. Этот вакуум могут заполнить как раз Саморегулируемые (СРО) организации, возможно, ассоциация таких организаций. Эти СРО, я надеюсь, будут создаваться различными структурами, работающими в тех или иных областях использования информации. Такими, как сотовые операторы, медики, страховщики. Эти группы могут создавать свои отраслевые требования, объединяться в некие структуры. По существу, речь идёт об одном из этапов построения гражданского общества, построения системы защиты информации, которая циркулирует в гражданском обществе, от неправильного использования.

Я считаю, что это серьезная общественная задача, которая не может быть решена двумя регуляторами, которые были созданы для решения других задач. Та полемика, которая в этом году проходила, как раз и выявила этот конфликт интересов. И в этом плане она была очень полезной. Потому что законодатель понял, что не может быть одного универсального закона. Закон может быть общего плана. Но под него необходимы документы, определяющие особенности тех или иных рынков, необходимы отраслевые стандарты.

- Есть шанс успеть провести эту серьёзную организационную работу всего за год?

Не знаю. Но отодвигать еще дальше действие закона будет очень трудно. Поэтому в течение будущего года необходимо будет предпринять самые активные усилия по формированию саморегулируемых организаций и по созданию отраслевых стандартов защиты персональных данных. Мы должны активно двигаться в этом направлении. Другого пути просто нет!

ПОСЛЕДНИЕ КОММЕНТАРИИ
 
ТАКЖЕ В РАЗДЕЛЕ
21 декабря 2010 года
Galileo: третий - не лишний 
 
/  бумажный номер
Тема номера: Bombardier
Читайте на сайте тему номера "Bombardier" и другие статьи из журнала "CIO" от 15 мая 2010 года
  Архив номеров журнала

14:38 / Intel: большая игра
Гость: игрушки bright startsфотоэпилятор philips отзывы
/  предыдущий номер
Тема номера: Mattel
Читайте на сайте тему номера "Mattel" и другие статьи из журнала "CIO" от 15 декабря 2009 года
  Архив номеров журнала
Работает на системе управления
<Битрикс: Управление сайтом>

Сайт работает на сервере DEPO Computers
О проекте | О журнале | Рассылки сайта | Подписка | Контакты | КПК-версия | RSS
© ООО "Компьютерра-онлайн", 1997-2012
При цитировании и использовании любых материалов
ссылка на портал Компьютерра онлайн обязательна
(для Интернет-изданий - гиперссылка: http://www.computerra.ru/)
Редакция сайта: site@computerra.ru
Техподдержка сайта: websupport@computerra.ru
Редакция журнала: inform@computerra.ru
Отдел рекламы: reklama@computerra.ru
Телефон: (495) 232-22-61, (495) 232-22-63
TopList Rambler's Top100