|
Авг 12
|
Редко попадаются интересные телерепортажи, но этот, на мой взгляд, исключение
5095 . 1920
|
июля 28
|
Сегодня на CNews вышла статья «Защита персональных данных: пригодится ли нам британский опыт?», которую мы писали совместно с Алексеем Волковым.
Статья получилась более фундаментальной, чем обычно. В ней сравниваем международные законы и стандарты. Приходим к выводу, что они не применимы для российской действительности. Вернее смыла применять международные наработки в области персональных данных, просто нет. Слишком уж российский подход и нормативная база отличается от международного понимания этого вопроса.
Основным идейным вдохновителем был Алексей, за что ему большое спасибо. Отдельное спасибо за эту прикольную фотку, которую он сделал в последней командировке))).
P.S. Перед публикацией статью заметно порезали, так что если кому-то интересна полная версия, то ее можно скачать отсюда. По понятным причинам полная версия мне нравится больше 
.
6574 . 2087
Другие записи
|
июня 09
|
Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.
Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.
На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.
Теперь у кредитно-финансовых учреждений есть выбор:
1) Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).
2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.
На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.
10008 . 2934
Другие записи
|
мая 19
|
Все забываю сделать ссылку на свою статью в журнале IT Manager (если долго скачивается можно посмотреть тут). Здесь в свободной манере мы с Александром Саниным пишем об основных изменениях, которые произошли в связи с принятием Приказа ФСТЭК №58 и отменой 2-х документов из «Четверокнижия». Статья полностью актуальна, хоть и вышла несколько недель назад. Занятно, что предположение о возможных изменениях рынка, которые мы делали несколько недель назад, на сегодняшний день полностью подтверждаются:
Проекты станут дешевле, однако их количество может увеличиться в разы, и в целом рынок защиты персональных данных должен увеличиться. К тому же, «смягчение» требований по использованию сертифицированных СЗИ позволит операторам подойти к их выбору с точки зрения повышения уровня информационной безопасности в целом, а не с позиции наличия/отсутствия сертификата. Теперь стало значительно проще выполнять требования по защите персональных данных в рамках комплексного проекта по повышению уровня информационной безопасности (будь то проекты по СТО БР ИББС, PCI DSS или построение СУИБ). Связано это с исчезновением противоречивых требований и дорогостоящих работ, которые создавали препятствия при выполнении требований других стандартов.
8816 . 3060
Другие записи
|
Апр 15
|
Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.
Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.
Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:
- Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
- По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
- В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
- Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.
Вот так.
В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.
Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.
По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.
Ну вырвали они комментарий из контекста, так это ж не со зла 
:
Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.
19131 . 6071
Последние комментарии