Регуляторы ужасаются очевидной неготовности банковской системы к выполнению закона «О персональных данных». Банки же считают его требования трудно реализуемыми
В России закон «О персональных данных» вступил в силу в начале 2007 года. Правда, учреждениям, оперирующим ПД, в том числе и финансово-кредитным организациям, дали отсрочку. Не по доброте душевной, а с тем, чтобы банки привели ранее созданные информационные системы персональных данных в соответствие с требованиями закона.
День «X» - 1 января 2010 года - неуклонно приближается. И по мере этого обостряется беспокойство по поводу неготовности подавляющего большинства банков к реализации требований регулятора. По словам замначальника управления ФСТЭК России Александра Бажанова, есть только два вида информации, которые в нашей стране подлежат ведению государства, - это гостайна и персональные данные, и если коммерческую тайну организации могут защищать как считают нужным, то в случае с ПД необходимо следовать предписаниям регуляторов. Нравится это или нет, дорого это или нет. Точка отсчета обозначена, время пошло.
Главная проблема, с которой сталкиваются банки, как выяснилось в недавнем исследовании АРБ, такова: в законе нет четкого перечня персональных данных. К ПД относятся «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Неудивительно, что 76% респондентов считают, что должен быть
составлен четкий перечень. А 50% уверены: он должен разрабатываться в каждом конкретном банке самостоятельно. Правда, успели это сделать только 23% организаций. Второй важный момент: половина опрошенных банков не находит, что рассматривать защиту персональных данных целесообразно как самостоятельный защитный режим. Резоны есть: к примеру - ПД защищаются в том числе и в режиме банковской тайны. Непонятно, какие требования соблюдать «при пересечении» нескольких режимов.
Регуляторы признают, что требования закона технически очень сложные, для их реализации нужны высокая квалификация сотрудников, специальные знания, глубокое понимание средств защиты информации, необходимых для нейтрализации актуальных угроз. Без опытных грамотных специалистов по ИБ не обойтись. «Соответствовать закону можно, но трудно соответствовать набору технических требований по защите, - объясняет замначальника ГУБЗИ Банка России Андрей Курило. - Иногда они тяжело выполнимые и достаточно экзотические, как, к примеру, требование по защите от акустических сигналов».
Еще один «тормозящий» момент -юридическая сторона вопроса. До начала будущего года финансово-кредитные структуры обязаны переоформить все старые договора с клиентами, при этом субъект персональных данных должен дать согласие на их обработку. «Возьмем Сбербанк - это 24 млн счетов,
24 млн сберкнижек. Можно прикинуть, что 20% клиентов уже умерли, 20% переехали, 30% поменяли фамилию и т.д. Вопрос замены или корректировки договоров - тяжелейшая задача, которую предстоит решать десятки лет», - добавляет Андрей Курило.
Другой принципиальный момент -какие риски несут кредитные организации. «Полномочия контролера очень большие: если он найдет, что вы плохо защищаете персональные данные, он приостановит вашу деятельность до устранения нарушений. Так что все очень серьезно. Успеют ли банки за оставшееся время привести себя в порядок - это им лучше решать. Центральный банк успеет», - резюмирует г-н Курило.
кстати...
Центробанк со ссылкой на Федеральную торговую комиссию США приводит любопытную статистику. Число заявлений американских граждан о хищении их персональных данных в 2000 году составляло 30 тыс, в 2002-м - уже более 161 тыс, причем 67% случаев имели отношение к банковским махинациям. Финансовые убытки в этой сфере в США оцениваются примерно в $0,5 млрд в год. Интересные данные появились в ходе недавнего исследования компании Perimetrix об инсайдерской угрозе в России: оказалось, что 68% опрошенных организаций относят ПД к наиболее опасной и подверженной рискам информации.
Начать дискуссию