"Вполне возможно, что в результате у нас будет практиковаться перевод баз данных коммерческими организациями за рубеж, в т.н. информационные оффшоры. Правильно, что акцент в РФ постепенно переносится с технических на организационные вопросы, но дополнительно к этому, необходимо унифицировать и сократить состав ПДн на госуровне, перейти к отраслевому саморегулированиию, провести дальнейшую гармонизацию с международными стандартами и прочее", – поделился своим мнением г-н Сундеев и привел длинный список вопросов, на которые многие компании пока не знают четкого ответа: "Остается ли оператор, сдавший документы в архив, по-прежнему оператором, должен ли он выполнять требования 152-ФЗ к оператору ПДн во всем объеме? Являются ли резервные копии БД архивными или нет? В каком порядке уведомлять субъекта о передаче ПДн третьим лицам, в случае, если их число велико и, вдобавок, изменяется с течением времени? Как на практике провести четкую границу между ИСПДн и, например, абонентским устройством? Как быть в случае сложных схем оказания услуг с участием нескольких операторов? Нужно ли шифровать в каналах связи те ПДн, которые, - согласно Закону о связи, - специальным образом предназначены для передачи в открытом виде? Таких вопросов можно задать много, ответов же на них пока нет, причем наиболее актуальны они - для крупных операторов. Часто приходится фантазировать и изобретать самим. Что скажет на это проверяющий - заранее неизвестно", - считает г-н Сундеев.

"Вымпелком" сократил число защищаемых систем с 50 до 5, задействовав возможности ИСПДн-ЦОД", – сообщил менеджер по управлению операционными рисками "Вымпелкома" Александр Асмоловский. "Мы заключили договор с компанией–лицензиатом ФСТЭК и ФСБ, сопровождающей нас при проверках регуляторов. Был проделан длинный путь по всем нашим ИСПДн - от оценки рисков до разработки профилей защиты, получения заключений о соответствии, прошли более 100 проверок" – поделился г-н Асмоловский опытом крупного телеком-оператора.

"Мы не хотим, чтобы на свет рождались законодательные документы, строгость которых, компенсируется необязательностью их исполнения, над которыми все будут смеяться и которые нельзя выполнить" – постулировал спикер, подчеркнув, что выработка требований явно нуждается в согласовании со стороны всех задействованных в деле защиты ПДн органов (таких как ФСБ, ФСТЭК, РКН), а также экспертов из ключевых отраслей экономики.

Сработает ли закон?

"Если сравнивать 152-ФЗ с законодательными актами, которые приняты в ЕС и США, то сразу видно различие в подходах. Там во главе угла стоит принцип сбалансированности интересов субъекта, бизнеса и государства, видно стремление создать максимальный уровень безопасности при минимальных затратах, а законодательные акты носят скорее рекомендательный характер, чем характер жесткого описания того, что должен делать оператор. У нас же законодательно жестко прописана обработка ПДн и ответственность за соблюдение формальных требований. В связи с этим, 152-ФЗ в его нынешнем виде не сработает в полной мере на территории РФ, по крайней мере, в ближайшие 5 лет" – считает начальник отдела ИБ "Проминвестбанка" Кирилл Сенчугов.

Сомнений в необходимости участия ИТ-специалистов в разработке законодательства по ПДн, пожалуй, не осталось после доклада старшего вице-президента компании Kraftway Рината Юсупова. "От средств разработки и модификации BIOS не помогает смена ОС, а в ряде случаев даже смена самой BIOS. Большинство современных BIOS строятся по одной и той же, стандартной схеме, сервисы, запущенные BIOS, остаются работать в ОС. Это и многое другое упрощает жизнь вирусописателям. Производители, в свою очередь, могут вносить такие изменения в код BIOS, после которых машина становится практически беззащитной, а исследование даже двух мегабайт двоичного кода BIOS занимает около четырех месяцев. Действенные способы защиты от угроз нового поколения можно найти в доверенной технологической фазе производства, а также во встраивании ПО, - в качестве оболочки безопасности, - на уровне BIOS. Мы уже начали такую работу, но не хотим быть единственными на этом рынке. Если за нами пойдут другие разработчики, то сложившаяся сегодня на нем ситуация поменяется" – сообщил г-н Юсупов.

---

Презентации участников конференции

	Гребнев Егор, аналитик CNews Analytics, Эволюция ФЗ-152: ждать ли дальнейших перемен?
	Голованова Елена, генеральный директор ИнфоТехноПроект, член Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных, Управление персональными данными - новый бизнес-процесс оператора
	Поихало Владимир, начальник отдела информационной безопасности, Федеральный фонд обязательного медицинского страхования, Защита персональных данных: модернизация закона 152-ФЗ и сфера обязательного медицинского страхования
	Гатиятуллина Эльмира, начальник отдела информационной безопасности, ГУП "Центр информационных технологий", Персональные данные в информационных системах органов власти Республики Татарстан
	Асмоловский Александр, менеджер по управлению операционными рисками, ВымпелКом, 152-ФЗ и оператор ПДн: Стратегия защиты или Стратегия развития?
	Сундеев Павел, член консультативного совета при уполномоченном органе по защите прав субъектов ПДн, аналитик МТС, В каких направлениях необходимо модернизировать ФЗ <О персональных данных>
	Столбов Андрей, заместитель директора Медицинский информационно-аналитический центр РАМН, Новые требования к автоматизированной обработке персональных данных в здравоохранении
	Нечаев Дмитрий, специалист по информационной безопасности, Независимая лаборатория ИНВИТРО, Защита персональных данных в сетевой медицинской компании
	Сенчугов Кирилл, начальник отдела информационной безопасности, ПРОМИНВЕСТБАНК, Направления модернизации требований 152-ФЗ
	Ковалева Надежда, начальник отдела ЗЭДО, Смолтелеком, Методы организации работы по защите персональных данных, реализованные в Смолтелеком
Скачать все презентации (архив)