Тимур Аитов, вице-президент , Ассоциации региональных банков России, к.ф.-м.наук,

реклама
Круглый стол "Защита персональных данных на финансовом и
пенсионном рынках"
Тимур Аитов, вице-президент ,
Ассоциации региональных банков России,
к.ф.-м.наук, timur@asros.ru
Закон 152-ФЗ - ключевая тема рынка ИБ
Закон вызывает нарекания - в
части формулировок и трудной
реализуемости требований в
целом.
Впервые обратил внимание на
проблемы Анатолий Аксаков - в
письме в Роскомнадзор о
неадекватности сроков ст. 25 п.3.
Полученная отсрочка дает
возможность внести в закон ряд
важных поправок.
Итоги подведены на
парламентских слушаниях 20
октября 2009 года …
Меры реагирования Роскомнадзора
"…операторов привлекают к
административной
ответственности за
непредставление уведомлений об
обработке персональных
данных…" (Р.Шередин)
Операторы в регионах
сталкиваются
с различными трактовками
положений закона,
с недостатком разъяснений,
с избирательным применением
закона…
Банки хотят честно выполнять 152-ФЗ
но закон не должен останавливать
и, тем более, ломать бизнес,
Операции
закон должен давать выполнимые
и понятные требования. ..
Некоторые банковские операции
становятся незаконными
Изменение
Бизнеспроцесс
Оптимизация
Поддержка
Об удалении ПД
уничтожение ПД - нештатная
ручная операция, по регламенту
надо оставлять резервную копию
на случай сбоя,
Создание резервной копии
когда аккаунт клиента
уничтожается, то прошлые
транзакции могут стать
неопределенными,
ситуация по удалению
становится особенно неприятной,
когда группа клиентов использует
свое право отказаться от
обработки своих ПД…
Неопределенные транзакции
Отказ от обработки ПД группой
Антивирусная защита ПД
необходимо регулярное
обновление антивирусной базы,
надежность
еще - защита не должна
нарушать логику работы
остальных приложений.
масштабируемость
Что скачивают владельцы
антивирусного ПО с серверов
обновлений?..
Надо разъяснить, что и у кого
скачивать, и кто в ответе за
возможный сбой.
Само скачиваемое обновление
может являться вирусом (трояном)
совместимость
Защита и стоимость банковских услуг
Механизмы исполнения
требований регуляторов ведут к
удорожанию банковского
обслуживания и нужен
компромисс.
Банки понимают, компрометация
клиентской базы приводит к
прямым юридическим рискам,
потере доли на рынке,
снижению эффективности
бизнеса.
Совмеcтное письмо -обращение
трех Ассоциаций к И.ШУВАЛОВУ
и риск-ориентированные модели
Некоторые операции становятся
незаконными
непонятно, как получать согласие
третьих лиц на обработку их
данных, не переложив эту
обязанность на субъектов
(«перевод без открытия
банковского счета»)
письменное согласие на обработку
– атрибут прошлого века
«…закон явно перегружен
требованиями по защите субъекта
персональных данных, несмотря на
то, что аналогичные европейские
нормы дают более мягкую
трактовку. ..»
(из письма Ассоциации «Россия» в
профильные комитеты Госдумы)
Платежные системы - небанковские
Различные системы электронных
денег, они собрали паспорта у
наших граждан, но не имеют ни
средств для защиты данных, ни
желания этого делать.
Кроме 152-ФЗ, вообще непонятно,
как они работают, так как до сих
пор у них нет регулятора.
Социальный web
Социальные сети, тоже никем не
контролируемые, и тоже собрали
гигантские объемы личной
информации о гражданах.
на Западе оформился и новый вид
преступления – кража личности –
Identity theft, скоро эти
преступления докатятся и до
нас...
Особенно опасна сексуальная
эксплуатация детей в Интернет.
Инвенторные системы
Инвенторные системы содержат
не только персональные данные
граждан в виде PNR (Passenger
Name Record), но и детальную
информацию обо всех
перемещениях по стране и миру.
Граждане, когда будут писать
мемуары, чтобы не напутать с
датами, могут обратиться в
компании Амадеус или Сайбор и
уточнить там маршруты своих
перемещений – PNR записи там
как раз не уничтожают.
Основные проблемы-2010
приведение банка в
соответствие с законом «О
персональных данных»,
приведение самого закона в
соответствие с реалиями
банковского бизнеса.
Основная угроза – взаимное
недопонимание участников
процесса
Скачать