Круглый стол "Защита персональных данных на финансовом и пенсионном рынках" Тимур Аитов, вице-президент , Ассоциации региональных банков России, к.ф.-м.наук, timur@asros.ru Закон 152-ФЗ - ключевая тема рынка ИБ Закон вызывает нарекания - в части формулировок и трудной реализуемости требований в целом. Впервые обратил внимание на проблемы Анатолий Аксаков - в письме в Роскомнадзор о неадекватности сроков ст. 25 п.3. Полученная отсрочка дает возможность внести в закон ряд важных поправок. Итоги подведены на парламентских слушаниях 20 октября 2009 года … Меры реагирования Роскомнадзора "…операторов привлекают к административной ответственности за непредставление уведомлений об обработке персональных данных…" (Р.Шередин) Операторы в регионах сталкиваются с различными трактовками положений закона, с недостатком разъяснений, с избирательным применением закона… Банки хотят честно выполнять 152-ФЗ но закон не должен останавливать и, тем более, ломать бизнес, Операции закон должен давать выполнимые и понятные требования. .. Некоторые банковские операции становятся незаконными Изменение Бизнеспроцесс Оптимизация Поддержка Об удалении ПД уничтожение ПД - нештатная ручная операция, по регламенту надо оставлять резервную копию на случай сбоя, Создание резервной копии когда аккаунт клиента уничтожается, то прошлые транзакции могут стать неопределенными, ситуация по удалению становится особенно неприятной, когда группа клиентов использует свое право отказаться от обработки своих ПД… Неопределенные транзакции Отказ от обработки ПД группой Антивирусная защита ПД необходимо регулярное обновление антивирусной базы, надежность еще - защита не должна нарушать логику работы остальных приложений. масштабируемость Что скачивают владельцы антивирусного ПО с серверов обновлений?.. Надо разъяснить, что и у кого скачивать, и кто в ответе за возможный сбой. Само скачиваемое обновление может являться вирусом (трояном) совместимость Защита и стоимость банковских услуг Механизмы исполнения требований регуляторов ведут к удорожанию банковского обслуживания и нужен компромисс. Банки понимают, компрометация клиентской базы приводит к прямым юридическим рискам, потере доли на рынке, снижению эффективности бизнеса. Совмеcтное письмо -обращение трех Ассоциаций к И.ШУВАЛОВУ и риск-ориентированные модели Некоторые операции становятся незаконными непонятно, как получать согласие третьих лиц на обработку их данных, не переложив эту обязанность на субъектов («перевод без открытия банковского счета») письменное согласие на обработку – атрибут прошлого века «…закон явно перегружен требованиями по защите субъекта персональных данных, несмотря на то, что аналогичные европейские нормы дают более мягкую трактовку. ..» (из письма Ассоциации «Россия» в профильные комитеты Госдумы) Платежные системы - небанковские Различные системы электронных денег, они собрали паспорта у наших граждан, но не имеют ни средств для защиты данных, ни желания этого делать. Кроме 152-ФЗ, вообще непонятно, как они работают, так как до сих пор у них нет регулятора. Социальный web Социальные сети, тоже никем не контролируемые, и тоже собрали гигантские объемы личной информации о гражданах. на Западе оформился и новый вид преступления – кража личности – Identity theft, скоро эти преступления докатятся и до нас... Особенно опасна сексуальная эксплуатация детей в Интернет. Инвенторные системы Инвенторные системы содержат не только персональные данные граждан в виде PNR (Passenger Name Record), но и детальную информацию обо всех перемещениях по стране и миру. Граждане, когда будут писать мемуары, чтобы не напутать с датами, могут обратиться в компании Амадеус или Сайбор и уточнить там маршруты своих перемещений – PNR записи там как раз не уничтожают. Основные проблемы-2010 приведение банка в соответствие с законом «О персональных данных», приведение самого закона в соответствие с реалиями банковского бизнеса. Основная угроза – взаимное недопонимание участников процесса