11 января 2011 г.
В Екатеринбурге прошла первая Уральская банковская конференция «Информационная безопасность в финансово-кредитных организациях», на которой банки подтвердили свою готовность к введению требований по защите персональных данных, которые вступают в действие с 1 января 2011 года.
Мероприятие было организовано 25 ноября 2010 года Уральским центром систем безопасности при содействии Уральского банковского союза. В качестве экспертов на конференции выступили представители регулирующих органов, в том числе ФСБ России, ФСТЭК России, Роскомнадзор, ЦБ РФ, а также Секретарь Сообщества ABISS Павел Гениевский, Генеральный директор ООО «Периметрикс» Евгений Преображенский и представители компании УЦСБ. Впервые специалисты такого уровня собрались на конференцию в Екатеринбурге.
Конференция должна была ответить на главный вопрос, который волнует сейчас специалистов по банковской безопасности — насколько уральские кредитно-финансовые учреждения готовы к введению в действие № 152 ФЗ «О персональных данных» и к их защите от пристального внимания криминальных структур.
Для любого банка безопасность персональных данных – это не только обязательная программа по соответствию законодательству, но и показатель стабильности и доверия. Банк обязан быть надежным. Поэтому в настоящий момент не стоит вопрос выполнять или не выполнять требования. А вот проблема того что и как нужно делать, чтобы соответствовать положениям закона выходит на первый план. Разрешить вопросы, связанные с данной проблемой, постарались приглашенные эксперты.
Павел Гениевский (Секретарь Сообщества ABISS) в своем докладе рассказал о порядке внедрения комплекса отраслевых стандартов безопасности СТО БР ИББС в кредитных организациях, в частности, остановившись на вопросах, связанных с защитой персональных данных. Конечно, внедрение стандарта СТО БР ИББС не является обязательным мероприятием, но это дает банкам единую точку входа. При принятии Комплекса БР ИББС финансово-кредитным организациям достаточно будет провести оценку соответствия у организации, входящей в ABISS, результаты которой будут признаваться всеми регуляторами: Роскомнадзором, Банком России, ФСБ России и ФСТЭК России.
По данным анкетирования около 35% банков Уральского региона уже ввели СТО БР приказом по организации, порядка 50% собираются вводить в ближайшее время, и при этом около 60% проводят самооценку соответствия стандарту уже в этом году.
Об особенностях введения стандарта рассказал также руководитель банковского направления компании УЦСБ - Дмитрий Истомин. В своем выступлении Дмитрий раскрыл этапы и результаты оценки соответствия СТО БР ИББС.
Особо стоит отметить, что докладчиками первой секции конференции стали также и представители регулирующих органов. В рамках конференции сотрудники ФСТЭК России и Роскомнадзор поделились практикой проведения проверок в финансово-кредитных организациях, ответили на вопросы слушателей и дали ряд рекомендаций по обязательным мероприятиям, необходимым для обеспечения соответствия требованиям законодательства. В частности были даны советы о том, что подавать уведомление об обработке персональных данных надо в любом случае, а при получении персональных данных необходимо включать пункт об обработке персональных данных, в котором раскрывать цель и срок обработки.
Помимо требований нормативных документов и отраслевых стандартов на конференции были рассмотрены технические аспекты обеспечения информационной безопасности в финансово-кредитных организациях.
Было отмечено, что банки являются объектом пристального интереса со стороны криминальных структур, при этом доверие и репутация – одни из основных ценностей в финансово-кредитных организациях. Широкая территориальная распределенность, большой штат сотрудников и внешних пользователей, характеризуются высокой степенью автоматизации процессов. В связи с этим основной ряд угроз, связанных с обработкой информации в банках – это угрозы сетевой безопасности и угрозы утечки информации.
Также в рамках конференции был рассмотрен вопрос актуальности использования механизмов усиленной аутентификации внутренних и внешних пользователей финансово-кредитных организаций и предложены основные способы применения механизмов усиленной аутентификации.
По итогам конференции можно отметить, что большинство банков готовы внедрять единые банковские стандарты. Но даже в случае соответствия стандартам, часто возникают вопросы, касающиеся деятельности регуляторов. Темы по соответствию законодательству и способам обеспечения информационной безопасности вызывают большой интерес у участников, в связи с чем Уральская банковская конференция «Информационная безопасность в финансово-кредитных организациях» может стать регулярной площадкой для встреч представителей банковской сферы и регулирующих органов.
