Тимур Аитов, вице-президент ,

Ассоциации региональных банков России,

к.ф.-м.наук, timur@asros.ru

Круглый стол "Защита персональных данных на финансовом и пенсионном рынках"

Закон 152-ФЗ - ключевая тема рынка ИБ

Закон вызывает нарекания - в части формулировок и трудной реализуемости требований в целом.

Впервые обратил внимание на проблемы Анатолий Аксаков - в письме в Роскомнадзор о неадекватности сроков ст. 25 п.3.

Полученная отсрочка дает возможность внести в закон ряд важных поправок.

Итоги подведены на парламентских слушаниях 20 октября 2009 года …

Меры реагирования Роскомнадзора

"…операторов привлекают к административной ответственности за непредставление уведомлений об обработке персональных данных…" (Р.Шередин)

Операторы в регионах сталкиваются

с различными трактовками положений закона,

с недостатком разъяснений,

с избирательным применением закона…

Банки хотят честно выполнять 152-ФЗ

но закон не должен останавливать

и, тем более, ломать бизнес,

закон должен давать выполнимые

и понятные требования. ..

Некоторые банковские операции

становятся незаконными

Бизнес-процесс

Операции

Поддержка

Оптимизация

Изменение

Об удалении ПД

уничтожение ПД - нештатная ручная операция, по регламенту надо оставлять резервную копию на случай сбоя,

когда аккаунт клиента уничтожается, то прошлые транзакции могут стать неопределенными,

ситуация по удалению становится особенно неприятной, когда группа клиентов использует свое право отказаться от обработки своих ПД…

Создание резервной копии

Неопределенные транзакции

Отказ от обработки ПД группой

Антивирусная защита ПД

необходимо регулярное обновление антивирусной базы,

еще - защита не должна нарушать логику работы остальных приложений.

Что скачивают владельцы антивирусного ПО с серверов обновлений?..

Надо разъяснить, что и у когоскачивать, и кто в ответе за возможный сбой.

Само скачиваемое обновление может являться вирусом (трояном)

надежность

совместимость

масштабируемость

Защита и стоимость банковских услуг

Механизмы исполнения требований регуляторов ведут к удорожанию банковского обслуживания и нужен компромисс.

Банки понимают, компрометация клиентской базы приводит к

прямым юридическим рискам,

потере доли на рынке,

снижению эффективности бизнеса.

Совмеcтное письмо -обращение трех Ассоциаций к И.ШУВАЛОВУ и риск-ориентированные модели

Некоторые операции становятся незаконными непонятно, как получать согласие третьих лиц на обработку их данных, не переложив эту обязанность на субъектов («перевод без открытия банковского счета»)

письменное согласие на обработку – атрибут прошлого века

«…закон явно перегружен требованиями по защите субъекта персональных данных, несмотря на то, что аналогичные европейские нормы дают более мягкую трактовку. ..»

(из письма Ассоциации «Россия» в профильные комитеты Госдумы)

Платежные системы - небанковские

Различные системы электронных

денег, они собрали паспорта у

наших граждан, но не имеют ни

средств для защиты данных, ни

желания этого делать.

Кроме 152-ФЗ, вообще непонятно,

как они работают, так как до сих

пор у них нет регулятора.

Социальный web

Социальные сети, тоже никем не

контролируемые, и тоже собрали

гигантские объемы личной

информации о гражданах.

на Западе оформился и новый вид

преступления – кража личности –

Identity theft, скоро эти

преступления докатятся и до

нас...

Особенно опасна сексуальная

эксплуатация детей в Интернет.

Инвенторные системы

Инвенторные системы содержат не только персональные данные граждан в виде PNR (Passenger Name Record), но и детальную информацию обо всех перемещениях по стране и миру.

Граждане, когда будут писать мемуары, чтобы не напутать с датами, могут обратиться в компании Амадеус или Сайбор и уточнить там маршруты своих перемещений – PNR записи там как раз не уничтожают.

Основные проблемы-2010

приведение банка в соответствие с законом «О персональных данных»,

приведение самого закона в соответствие с реалиями банковского бизнеса.

Основанная угроза – взаимное недопонимание участников процесса