Девять месяцев

ИСПДн должны быть приведены в соответствие с ФЗ о ПД и документами ФСТЭК не позднее 1 января 2010 года.

Это значит, что нужно создать строго регламентированный перечень ОРД, разработать соответствующие внутрибанковские нормативные документы, регламентирующие обработку ПД, подготовить и обеспечить внедрение требований законодательства и РСК, оформить правовое основание обработки ПД, создать систему защиты ИСПДн, внести изменения в ИКДП и так далее. Но ввиду недавнего выхода нового СТО БР ИББС-1.0-2008 есть смысл начать с самого верха, с политики ИБ.

Правда, еще не все документы ФСТЭК открыты. А летом обещают новый документ ФСБ на эту тему. Что, страшно стало?

Ладно, для чайников (вроде меня) дальше пишу по-русски. Речь идет о Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

С уведомлением об обработке персональных данных мы (вернее, многие из нас) уже пролетели. А теперь неотвратимо надвигается новая угроза: на приведение в соответствие с Законом имеющихся в банках информационных систем осталось всего девять месяцев.

Больше всего, конечно, повезло тем банкам, чьи специалисты по информационной безопасности в курсе происходящего и уже начали эту работу. Эти незаурядные люди точно знают, что такое ФСТЭК, ПМВ, РСОК и еще пара сотен подобных заклинаний.

Они уже разработали «Примерный перечень и порядок выполнения работ по организации обработки и защиты персональных данных» и «Памятку о порядке выполнения требований законодательства РФ при обработке персональных данных». Их всегда можно встретить на Форуме «Информационная безопасность», где они непринужденно общаются на своем секретном языке, не боясь вторжения посторонних, где чужие не ходят, а случайно заглянувший методолог, как та графиня, изменившимся лицом бежит пруду…

Но как же быть тем банкам, которым не повезло заиметь такого специалиста? Ведь таких, надо думать, не так уж мало.

И проснемся мы в середине дня (а то и ближе к вечеру) 1 января 2010 года, даже не зная, что информационные системы персональных данных родного банка уже должны соответствовать требованиям Федерального закона № 152-ФЗ, а лица, виновные в нарушении этого закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Время, конечно, еще есть.

Гурцкая Ковалев — 9 месяцев


Но не так много, как кажется. Поэтому лучше уже начать: назначить ответственного за разработку и осуществление мероприятий по выполнению требований закона № 152-ФЗ.

Можно и рабочую группу по этому поводу создать, но лучше пусть ответственный будет один, в идеале — освобожденный от прочих обязанностей (вспоминаю, как я составляла в первый раз отчетность по МСФО — два месяца сидела, не поднимая головы, игнорируя окружающих и отключив телефон. Коллеги, кажется, к концу второго месяца уже скидывались на хорошего специалиста по лечению больных аутизмом; но тут, наконец, все таблички «сошлись на уголок», я снова обрела дар речи и вернулась в коллектив).

Если же вы тот самый счастливчик, которого назначили ответственным, идите прямиком на Форум. Там просто кладезь полезной информации, ссылок, файлов и идей.

Например, все, что написано в анонсе и трех первых абзацах этой колонки, позаимствовано именно оттуда (вы же не думаете, что все это я сама сочинила, и вообще понимаю, о чем речь?) И даже если поначалу будет совсем ничего не понятно, не отчаивайтесь: количество информации рано или поздно перейдет в качество. И вообще, самое главное — правильно составить план мероприятий, указать в нем сроки и назначить по каждому пункту отдельных ответственных лиц.

Впрочем, существует еще вероятность перенесения сроков приведения информационных систем в соответствие с законодательством. С такой идеей выступил депутат Госдумы Анатолий Аксаков, предложивший Роскомнадзору отсрочить на два года указанные требования и продолжить работу по совершенствованию законодательной базы в области защиты прав субъектов персональных данных.

В настоящее же время некоторые нормы Закона № 152-ФЗ противоречат другим действующим законам (например, о противодействии легализации преступных доходов), подзаконные акты —  неоднозначны, а специалистов, способных осуществлять такую работу, крайне мало. Да и финансовое положение большинства банков не способствует выделению дополнительных, причем немалых, средств на реорганизацию системы информационной безопасности.

Как ни странно, вероятность эта не так уж мала. Ведь «завернул» же Совет Федерации закон, согласно которому все банкоматы должны быть оснащены контрольно-кассовой техникой, практически на финишной прямой (правда, пока так и непонятно, чем там дело кончится).

И мораторий на применение санкций к банкам, нарушающим отдельные требования законодательства о ПОД/ФТ, Банк России продлевал уже три раза. Может быть, и в этом случае нам повезет?

Наиболее подходящая Вам статья…

Понравилась статья? Поделиться с друзьями: