К 1 января 2010 г. информационные системы всех компаний, в которых происходит обработка персональных данных, должны быть приведены в соответствие с требованиями Федерального закона «О персональных данных». О ситуации на банковском рынке в связи с приближением этого срока и взгляде компании КРОК на эту проблему рассказывает руководитель направления информационной безопасности компании КРОК Михаил Башлыков.
Каков опыт компании КРОК в области защиты персональных данных? Когда вы начали работать в этом направлении?
Михаил Башлыков: Вопросами защиты конфиденциальной информации, и в том числе персональных данных, мы занимаемся несколько лет, направление информационной безопасности в компании действует уже более семи лет. Поэтому с ситуацией в области защиты персональных данных знакомы достаточно хорошо. Однако лишь некоторое время назад появились требования регулирующих организаций, позволяющие перейти к практическим шагам в реализации Закона. С этого момента участники рынка начали составлять планы по приведению своих информационных систем в соответствие с положениями Закона и выполнению ряда задач по этой тематике.
Есть мнение, что большинство банковских организаций не успеют привести свои системы в соответствие с требованиями Закона до 1 января 2010 г., а именно этот срок определен в Законе.
М. Б.: Я бы не стал драматизировать ситуацию. Так исторически сложилось, что именно в банках уделяли серьезное внимание вопросам информационной безопасности, в том числе и защите персональных данных. И ранее, и сейчас действует ряд отраслевых стандартов, определяющих обязанности банка в области информационной безопасности. Да, в Законе о защите персональных данных содержится много новых требований, многое потребуется доработать. Но при этом в большинстве банков уже существуют соответствующие системы, нужно просто привести все в порядок, разработать специальные инструменты, внедрить новые бизнес-процессы и т. д.
Сложность заключается в том, что систем, в которых обрабатываются персональные данные, в банках довольно много. Мы рекомендуем в первую очередь сфокусироваться на тех, которые обрабатывают максимальный объем персональных данных. Также имеет смысл заниматься системами, которые возможно привести в соответствие с требованиями в максимально короткие сроки.
В первую очередь необходимо обратить внимание на организационную и юридическую составляющую процесса: изучить заключенные с клиентами и контрагентами договора на предмет наличия конфиденциальной информации и разрешений на обработку тех или иных персональных данных. Нужно выстроить процессы, связанные с уведомлениями, которые могут направлять клиенты. Определить, кто чем занимается в компании, в какие сроки и какую информацию может предоставить. Прежде всего это относится к региональным банкам или региональным отделениям крупных банков, где этим вопросам традиционно уделялось меньше внимания. Организация информационной безопасности, безусловно, серьезная задача, но и построение процессов – также очень важная задача, потому что обращений граждан становится все больше и больше, и несоблюдение требований Закона может привести к негативным для компании последствиям.
Значит ли это, что проблема для банков в связи со вступлением в действие Закона о защите персональных данных скорее организационная, а не технологическая?
М. Б.: Это комплексная задача. В ней есть и организационные, и юридические, и технические аспекты. Другое дело, что техническая составляющая в большинстве банков, как правило, находится на достаточно высоком уровне. Большинство средств, перечисленных в требованиях Закона, в банках уже внедрены. Нужно только построить правильную структуру, провести инвентаризацию и классификацию своих информационных систем, разработать модель угроз и определить, какие дополнительные средства необходимо внедрить, и провести аттестацию (если потребуется).
Что касается юридических и организационных вопросов, тут банки готовы в гораздо меньшей степени. На них нужно обратить особое внимание, разработать соответствующие процессы, подготовить необходимые документы. Собственно говоря, без решения организационных и юридических вопросов решать технические вопросы невозможно.
Что бы вы порекомендовали банкам делать сейчас, когда до срока приведения систем в соответствие с требованиями Закона осталось полгода, а большинство банков заявляют, что не готовы работать по новым правилам?
М. Б.: Мы общаемся с регуляторами и видим с их стороны понимание, что не всем хватит времени, чтобы привести свои системы в полное соответствие с Законом. Нужно здраво подойти к общим вопросам информационной безопасности. Провести классификацию и инвентаризацию систем обработки персональных данных, понять, где эти данные обрабатываются. Затем – внедрить организационные меры защиты, прежде всего четко определить порядок доступа к соответствующим информационным системам: кто имеет доступ, к какой информации, на каких основаниях и т. п. Параллельно можно внедрять технические средства защиты этой информации, сертифицированные в соответствии с требованиями Закона.
Эти работы банк может выполнить своими силами или необходимо привлекать стороннего исполнителя?
М. Б.: Да, особенно первый этап – инвентаризация и классификация систем вполне может быть проведен силами работников банка. Многое зависит также от размеров организации. Если банк небольшой и в нем достаточно специалистов соответствующей квалификации, то ничего сложного в этом нет. Если же собственных сил или квалификации не хватает, можно привлечь консультантов или компанию-интегратора для внедрения каких-либо технических решений.
Кто должен быть руководителем такого проекта со стороны банка? Глава подразделения по безопасности, директор по IT (CIO) или кто-то еще?
М. Б.: Желательно, чтобы это был кто-то из заместителей председателя правления, человек, имеющий большие полномочия. CIO должен участвовать в проекте как один из помощников руководителя, потому что именно он обладает информацией о том, какие системы внедрялись в банке, каков статус этих систем, какую информацию они обрабатывают. Конечно, специалисты по безопасности также должны принимать активное участие. Но, на наш взгляд, наиболее продуктивной будет работа, если проект возглавит один из зампредов правления. Лучше всего, если это будет тот, кто курирует направление с наибольшим количеством систем, которые затрагивает Закон о защите персональных данных. Например, зампред по финансам или схожего направления.
Знакомы ли вы с зарубежным опытом? Есть ли за рубежом подобные требования, как они реализованы?
М. Б.: Да, мы изучали зарубежный опыт, то, как там решаются эти вопросы. Подобные законодательные требования там появились гораздо раньше, чем у нас, и у участников рынка было больше времени, чтобы к ним подготовиться. Кроме того, нужно отметить, что в ряде стран действуют стандарты для финансовых компаний, которые изначально включают такие требования. Если сравнивать сами законодательные требования, то нужно признать, что на Западе более четко определен объект защиты. Там защищаются не абстрактные персональные данные, а конкретная информация, которая важна для субъекта. Есть четкие и жесткие определения, что должно быть защищено. В нашем законодательстве пока даже до конца не определено, какая именно информация включается в те персональные данные, которые необходимо защищать.
Каков опыт работы компании КРОК в области защиты персональных данных?
М. Б.: Наша компания сейчас ведет несколько проектов с рядом государственных структур, которым приходится обрабатывать большое количество персональных данных. В финансовом секторе мы в настоящее время также ведем работу с рядом компаний. Мы помогаем им с первым этапом подготовки – проведением классификации и инвентаризации имеющихся систем, классификации персональных данных, с разработкой модели угроз и плана мероприятий по совершенствованию системы информационной безопасности. Работа ведется с рядом крупных российских банков и с несколькими страховыми компаниями. К сожалению, по условиям сотрудничества мы не можем разглашать названия компаний.
В этих проектах ваша компания оказывает консалтинговые услуги или занимается внедрением у заказчика каких-то систем?
М. Б.: Мы можем оказывать комплексные услуги. Для некоторых заказчиков мы выступаем даже в качестве уполномоченного лица по защите персональных данных. Закон предусматривает такую форму сотрудничества. У нас есть собственный центр обработки данных, часть мощностей которого мы сдаем в аренду сторонним организациям. Таким образом, если заказчик передает на обработку в наш ЦОД какие-то персональные данные, мы выступаем уполномоченным лицом по их защите. Наша компания обеспечивает не только технологическую безопасность, но и информационную безопасность, а также прочие виды защиты. В упомянутых проектах мы выступаем и как консультанты, и как специалисты по внедрению и имплементации тех или иных технических средств. У нас есть специалисты, которые могут оказать услуги юридического и управленческого консалтинга в этой сфере. Это действительно сложная тема, особенно для банков. Банки в своей деятельности руководствуются разными нормативными актами. Это законы о банках и банковской деятельности, о защите банковской тайны, различные нормативные письма ЦБ РФ. И нужно признать, что не всегда эти акты полностью коррелируют между собой. Закон о защите персональных данных вносит еще один аспект в эту систему, и правильно подготовить документацию, разработать внутренние положения и договоры с клиентами так, чтобы они не противоречили законодательной базе, – нетривиальная задача. У нас есть достаточно большой юридический отдел, специалисты которого занимаются в том числе и вопросами защиты персональных данных.
Многие представители банковского сообщества сейчас призывают к тому, чтобы перенести сроки начала реализации Закона о защите персональных данных, мотивируя это тем, что большинство банков не успеют привести свои системы в соответствие с требованиями Закона к 1 января 2010 г. Как вы относитесь к этой инициативе?
М. Б.: Я не вижу большого смысла в этом переносе. Если сейчас принять решение об отсрочке, скорее всего, все успокоятся и перенесут работы по приведению в соответствие с требованиями Закона на более поздний срок. А потом, за полгода до наступления нового срока ситуация повторится.
Какой вы видите ситуацию на банковском рынке после 1 января 2010 г.? Что изменится?
М. Б.: Я думаю, в общем ничего не изменится. Нужно понимать, что у проверяющих органов не хватит сил, чтобы проверить сразу несколько сотен тысяч заявок. Мы поддерживаем связь с представителями Роскомнадзора, на который возложена функция проверок на соответствие предприятий требованиям Закона о защите персональных данных. Их точка зрения такова, что если в компании не будет явных утечек информации и информационная безопасность обеспечивается на достаточно высоком уровне, больших проблем для такого предприятия возникнуть не должно. У Роскомнадзора есть план проверок на предстоящий период, который должен быть опубликован на сайте ведомства. Заинтересованные компании могут посмотреть, находятся ли они в этом списке, и соответствующим образом подготовиться.
В любом случае компаниям нужно выстроить организационные процессы и здраво подходить к вопросу обеспечения информационной безопасности. Мы рекомендуем не откладывать решение этих вопросов. Ведь согласно требованиям Закона ряд технических средств, обрабатывающих персональные данные, должен быть сертифицирован в аккредитованных организациях, и, скорее всего, в конце года в этих сертификационных лабораториях выстроятся огромные очереди из желающих получить сертификаты. Могут возникнуть сложности.
В целом, я хочу сказать, что проблема, безусловно, есть. Однако не стоит ее преувеличивать. Если предпринимать соответствующие шаги, выполнять определенные требования, то ничего страшного не случится. Если говорить не о том, почему этого сделать нельзя, а как это сделать можно, для всех вопросов найдется решение.
