Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Операторы персональных данных бьют тревогу. В соответствии с законом № 152-ФЗ «О персональных данных» с 1 января 2010 года регуляторы получат право проверять информационные системы и привлекать юрлиц к ответственности — начиная от штрафов и заканчивая отзывом лицензии. Но ведомства до сих пор не подготовили адекватных технических требований. Банковское сообщество во главе с ЦБ ищет пути срочного решения проблемы.

Закон «О персональных данных» был принят летом 2006 года. Кажется, что у всех заинтересованных организаций было время на подготовку. Однако, как показали проверки регуляторов, анкетирование членов банковских, страховых и других отраслевых ассоциаций, а также состоявшиеся 20 октября 2009 года парламентские слушания, ни один оператор как в госсекторе, так и среди коммерческих организаций не готов к исполнению закона на 100%. Между тем информационные системы персональных данных должны быть приведены в соответствие с требованиями № 152-ФЗ до 1 января 2010 года.
По словам Андрея Грициенко, начальника службы информационной безопасности банка «Возрождение», если внимательно изучить документы регуляторов — ФСБ, ФСТЭК и Роскомнадзора — получается, что за оставшееся до начала 2010 года время весь комплекс информационных систем бизнеса и госсектора должен каким-то волшебным образом поднять степень защищенности на несколько порядков, причем всем организациям придется поломать голову, где взять столько средств.
Более 60% всех операторов — учреждения социальной сферы, здравоохранения, образования, ЖКХ. Во многих госструктурах — операторах персональных данных, по выражению сотрудника 8-го центра ФСБ Александра Бодрова, «даже такого понятия, как IT, не знают». У них нет ни средств на внедрение современных информационных систем, ни специалистов по информационной безопасности. В государственном бюджете 2009 и 2010 годов не предусмотрено соответствующих статей расходов.
Коммерческие организации в ментальном плане готовы лучше, но не могут добиться от регуляторов четких технических требований, которые нужно соблюдать. Та подзаконная база, которая имелась в распоряжении банков в ноябре, создает затратный и противоречивый механизм. Не учитываются отраслевые особенности. Кроме того, регуляторы готовят нормативные документы по отдельности, не согласовывая их между собой.
Перед банками стоит задача соответствовать сразу многим стандартам и в то же время сохранить нормальную бизнес-деятельность и обеспечить прибыльность.
К тому же нормативные документы трактуются неодинаково в разных частях страны. В регионах операторы персональных данных уже сталкиваются с невыполнимыми предписаниями Роскомнадзора, приходится судиться. Суды принимают сторону операторов данных, но тяжбы весьма затратны.
Умножая количество регуляторов на количество субъектов РФ, в которых представлены филиалы организации, банкиры приходят в ужас. Артем Сычев, начальник управления информационной безопасности Россельхозбанка, иронизирует: перед банками стоит задача соответствовать сразу многим стандартам и в то же время сохранить нормальную бизнес-деятельность и обеспечить прибыльность.
Андрей Емелин, исполнительный вице-президент АРБ по правовым вопросам, сетует, что до 1 января 2010 года осталось мало времени, а ситуация остается крайне сложной и тяжело доводимой до требуемого состояния. И это при том, что у банков, в отличие от других операторов персональных данных, есть работающие отраслевые стандарты.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Банковская система в целом справляется с угрозами информационной безопасности. Если сравнить количество операций, совершаемых ежесекундно, с количеством неприятных инцидентов, получится очень небольшая цифра, отмечает Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России. Банки работают не только по внутренним стандартам, но и по МСФО, и применяют лучшие практики по безопасности. Но закон их как бы обесценивает, обесценивает, и требует наложить на них новые средства защиты, что потребует больших затрат.
Андрей Грициенко (банк «Возрождение») отмечает, что ЦБ ведет длительную и весьма аккуратную, без перегибов, работу по внедрению стандартов, давая банкам четкие ориентиры. А использование рискоориентированного подхода ставит банки в выгодное положение по сравнению с другими операторами, у которых нет таких стандартов. По оценке эксперта, первая сотня российских банков выполнит требования регуляторов по защите персональных данных на 50–60%. Но как быть другим банкам, которым в условиях кризиса приходится создавать резервы за счет прибыли и работать в убыток? Громадные деньги на перестройку информационных систем просто неоткуда взять.
В соответствии с законом при передаче данных по открытым каналам оператор сам решает, использовать ли криптографические средства для защиты информации. В этом пункте есть некоторое лукавство: иных способов защиты не существует. А ФСБ требует, чтобы применяемые средства криптозащиты были сертифицированы. Внедрение сертифицированного программного обеспечения повлечет новые затраты и внесет риск нарушения беспрерывности деятельности организации.
Ведомство уже начало проверки и столкнулось с типичной ситуацией: оператор данных заявляет, что ПО прошло сертификацию, однако зачастую это не соответствует действительности — из-за неаккуратной работы разработчика. Организация заказала у поставщика криптосредства, он их установил, все работает, а через некоторое время вендор обновляет версию программы. По словам Александра Бодрова (ФСБ), после этого «с большой долей вероятности у вас стоит несертифицированное средство».
Разработчики грешат тем, что выпускают программные продукты, в которых много и недоделок, — не с точки зрения защиты данных, а в части удобства для пользователей. Эти сырые версии отправляют на сертификацию. Затем вендоры находят и исправляют «баги», при этом зачастую существенно меняя продукт, и это вызывает нарекания со стороны ФСБ.
Первая сотня российских банков выполнит требования регуляторов по защите персональных данных на 50–60%.
В связи с этим Андрей Бажин, руководитель департамента информационной безопасности «Уралсиба», советует банковским подразделениям наращивать собственную компетенцию и внимательно относиться к заявлениям вендоров о том, что все требования №152-ФЗ для их систем соблюдены.
По мнению участников рынка, у ФСБ довольно адекватные требования по сравнению с другими регуляторами. А вот с Роскомнадзором пока сложнее обсуждать проблемы. По мнению Артема Сычева (Россельхозбанк), проект административного регламента Роскомнадзора не совсем корректно описывает те функции, которые находятся в компетенции ведомства и привносит определенные проблемы в деятельность банка, в частности предусмотрено заполнение излишних, исходя из банковской практики, документов.
В связи с этим Андрей Курило (ЦБ РФ) призывает банки письменно обращаться в Роскомнадзор и инициировать обсуждение болевых точек на консультационном комитете при ведомстве. Он обещает приложить все усилия, чтобы согласовать стандарты безопасности ЦБ с Роскомнадзором.
Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) осуществляет межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории РФ.
ФСБ РФ (Федеральная служба безопасности РФ) регулирует сферу использования криптографических средств защиты информации.
Банковское сообщество параллельно ведет работу по двум направлениям — корректировка закона (и в разрезе содержательных требований к обработке персональных данных, и в части технических требований к обеспечению безопасности) и разработка отраслевых стандартов.
Банки заинтересованы в том, чтобы изменить подзаконные акты в сторону повышения их эффективности и снижения стоимости их владения. В результате интенсивных консультаций и при активной позиции АРБ, ЦБ и регуляторов в области персональных данных удалось четко сформулировать вопросы, которые требуют оперативного решения в части улучшения законодательства. Задача — обеспечить, с одной стороны, защиту персональных данных граждан, а с другой — реализацию мер в той степени, которая не возлагает на бизнес дополнительных несоразмерных расходов.
Разделяя принципы закона о персональных данных, банкиры призывают учитывать те реалии, которые сложились в банковской отрасли на данный момент и которые позволяют действенно гарантировать права граждан, говорит Андрей Емелин (АРБ).
АРБ уже направила в Государственную Думу предложение о переносе срока вступления технических требований в силу и о передаче ЦБ полномочий в части регулирования проблем защиты персональных данных в банковской отрасли.
Остается надеяться, что ведомства, законодатели и профессиональные ассоциации успеют договориться до 1 января 2010 года. Иначе бизнес столкнется с еще одним налогом — на информационную безопасность.
20 ноября Государственная Дума приняла в первом чтении проект федерального закона № 284213-5 «О внесении изменений в Федеральный закон «О персональных данных» (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом). Возможно, банкиры получат еще один год на приведение технических систем к соответствию, а регуляторы за это время смогут упорядочить свои требования.
ИИ уже решает задачи, которые ранее считались сложными для цифровизации
Искусственный интеллект перестал быть экспериментальной технологией и становится полноценным элементом финансовой инфраструктуры. Сегодня крупнейшие игроки рынка используют ИИ не только для повышения операционной эффективности, но и для противодействия мошенничеству, развития клиентского сервиса и построения новых цифровых продуктов. О том, как менялась стратегия цифровизации компании за последние годы, какую роль ИИ играет в развитии финтеха и какие вызовы стоят перед отраслью, «Б.О» рассказала председатель правления Единого центра учета переводов ставок (Единого ЦУПИС) Елена Шейкина
Банковскую систему ждут 4–5 лет расхлебывания корпоративных долгов
Почему реструктуризации кредитов достигли опасной черты, какие отрасли вошли в «красную зону» и почему передел собственности не оздоровит экономику, а лишь убьет конкуренцию — об этом генеральный директор аналитического центра «БизнесДром», шеф-редактор «Б.О» Павел Самиев в кулуарах Финконгресса ЦБ поговорил с Александром Сараевым, первым заместителем генерального директора рейтингового агентства «Эксперт РА»
Чего ждет бизнес от цифрового рубля и готовы ли к этому банки
С 1 сентября 2026 года цифровой рубль переходит из пилотного проекта в практическую плоскость. Крупнейшие банки должны обеспечить клиентам доступ к операциям с новой формой валюты, а часть компаний — возможность принимать оплату цифровыми рублями