Банки

Недостижимый абсолют

Классическая формулировка, выработанная еще в Древнем Риме: dura lex, sed lex – не сработала в случае со 152-ФЗ. Менее чем за месяц до вступления закона в силу было принято решение отложить это вступление на полгода. И есть все основания полагать, что «на выходе» это будет уже совсем другой документ.

152-ФЗ предстоит переписывать.

Классическая формулировка, выработанная еще в Древнем Риме: dura lex, sed lex – не сработала в случае со 152-ФЗ. Менее чем за месяц до вступления закона в силу было принято решение отложить это вступление на полгода. И есть все основания полагать, что «на выходе» это будет уже совсем другой документ.

Ситуация вокруг закона «О персональных данных», или 152-ФЗ, в своем роде беспрецедента в российской законодательной практике. Впервые Госдума утвердила его еще в декабре 2009 года, но с условием, что вступление закона в силу будет отложено на год и он заработает с 1 января 2011 года. За это время планировалось найти консенсус по ряду ключевых вопросов, а также дать российским организациям время на адаптацию информационных систем к новым требованиям. Но договориться по всем позициям различным регуляторам не удалось. В итоге в начале декабря 2010 года была принята очередная отсрочка – по срокам вступления в действие статьи 25 (сроком на полгода). То есть формально закон принят, но по факту – из-за приостановки одной главы, где прописаны сроки вступления его в силу, – не работает. Принятию решения предшествовали длительные баталии, в которых приняли участие представители множества отраслей, чьи интересы затрагивают положения документа. Коснется он практически всех, в том числе социальных структур, таких как детские сады и поликлиники. Но особую остроту проблема приобрела для телекоммуникационных компаний и финансового сообщества.

Причиной единодушного неприятия 152-ФЗ стало чрезмерно расширенное толкование того, что является информацией, подлежащей защите, то есть подпадает по понятие «прайвеси», считают эксперты. Второй глобальной проблемой оказалось то, что в документе не была учтена отраслевая специфика в работе с информацией. Очевидно, что невозможно установить единые правила для детского сада и финансовой организации, говорит депутат Госдумы, финансовый омбудсмен РФ Павел Медведев.

«Изначально подход заключался в том, что закон должен быть един для всех. Но еще до его принятия стало понятно, что одинаковый для всех закон невыполним в силу того, что у банков, компаний телекоммуникационного сектора и других отраслей совершенно по-разному выстроены процессы по обработке данных, – говорит Карл Сумманен, вице-президент, начальник управления банковских процессов и технологий ВТБ. – Итогом вступления всех статей закона в силу в нынешнем виде стало бы его массовое невыполнение со стороны порядка 5 млн субъектов».

«Прайвеси», возведенное в абсолют

Проблемных мест в 152-ФЗ оказалось много, и они не могли не отразиться на банковском бизнесе, требующем сбора и хранения значительных объемов информации о потенциальных клиентах. Так, согласно требованиям закона, организация должна запрашивать согласие клиента на обработку его персональных данных, а также передачу этих данных третьему лицу, не связанному договором с самим субъектом персональных данных. Если же в документах упоминаются третьи лица – такие как родственники, поручители, – необходимо и их согласие тоже. В этой связи у банка возникают сложности, и не только при обмене информацией с Бюро кредитных историй, но даже между филиалами одного банка.

При этом клиент по 152-ФЗ получал право на отказ от предоставления его персональных данных третьим лицам, а значит, возможность скрыть любую отрицательно характеризующую его или компрометирующую информацию, в том числе – о наличии судимости. Таким образом, доводя до абсолюта защиту интересов частных лиц, законодатели заложили в закон серьезные риски для банковской деятельности. Возникали неизбежные сложности с проверкой подлинности документов, предоставляемых в банк потенциальными заемщиками или соискателями.

Помимо того возникли бы и трудности с уничтожением персональных данных. Положения 152-ФЗ жестко требовали уничтожения информации после ее обработки, что при современных объемах банковского бизнеса технически непросто как с точки зрения утилизации бумажных носителей, так и с точки зрения «стирания» электронных баз данных. К тому же при ликвидации информации нельзя исключать риск ошибочного удаления нужных данных, возникновения ошибок или сбоев в системе, влекущих за собой случайное уничтожение сведений, важных для других клиентов. А значит, при уничтожении электронной информации банку пришлось бы делать страховые и резервные копии в нескольких экземплярах, что также плохо согласуется с положениями закона о персональных данных.

Снизить уровень абсурда

«Проблема в том, что законодательные требования трудновыполнимы. И следование им повлечет как значительные расходы для банков, так и существенно утяжелит многие бизнес-процессы», – говорит Карл Сумманен.

«Мне кажется очень правильным решение отложить вступление закона в действие. Зачастую он требует защищать информацию, которая явно не стоит того. Это очень дорого и «нагрузочно» для банка, а мне как гражданину безразлично: я довольно свободно сообщаю свою фамилию и прочие данные, – соглашается с банкиром Павел Медведев. – На заседании Комитета по финансовым рынкам была серьезная дискуссия, что само по себе редкий случай. В процесс обсуждения судьбы закона вмешался председатель Комитета ГД по конституционному законодательству и государственному строительству Владимир Плигин. Он поддержал идею отложить вступление закона о персональных данных в силу – правда, не на год, как просили представители банковского сообщества, а на полгода. И пообещал оказать существенную помощь при обсуждении изменений. Что он предлагает поменять, пока остается за кадром, но идеология его выступления очень верная». Депутат уверен, что «поменять надо очень много абсурдных вещей, в том числе убрать всю избыточную секретность». При этом в самом комитете по финансовым рынкам НБЖ сказали, что претензий к закону не имеют, поправок и альтернативных законопроектов не писали и подтвердили, что вступление 152-ФЗ было отложено по настоянию Комитета ГД по конституционному законодательству и государственному строительству.

Тезис о потерянном времени

Некоторые банкиры в неофициальных беседах говорят, что 2010 год фактически прошел впустую: не было ясности относительно судьбы закона, было очевидно, что он невыполним, а значит, в банковском сообществе отсутствовало понимание, что должен делать конкретный банк для выполнения требований и норм нового закона.

С этим утверждением категорически не согласен заместитель начальника главного управления безопасности и защиты информации Банка России Андрей Курило. «Когда банкир говорит, что год потерян, он лукавит. Просто некоторые банкиры не хотят делать эту работу. Как бы закон ни выглядел, он все равно будет, и требования его придется выполнять», – настаивает представитель ЦБ.

С тезисом о том, что время было упущено, не согласен и Павел Медведев, хотя по иным причинам. «Год точно не пропал впустую: сформировалось общественное мнение, и если бы не это, мы бы не смогли противостоять вступлению 152-ФЗ в действие. Закон должен был созреть, и сейчас он уже на том уровне зрелости, когда большинство тех, кто влияет на принятие решения, понимает: в нынешнем виде он существовать не может, – убежден депутат. – Введя его в действие, мы в очередной раз получили бы ситуацию, в которой жили бы не по закону, а по понятиям. Это советский менталитет: надо сделать каждого виноватым, а наказывать только того, кто мне не нравится. Выполнить невозможно, поэтому виноваты все».

Пока депутаты и отраслевые лоббисты пытались инициировать принятие поправок в закон, российский Центробанк пошел по пути пересмотра технических требований, прописанных в нормативных документах регуляторов. Так, положения данного закона подпадают под деятельность сразу трех проверяющих структур, не считая самого Банка России: ФСБ, ФСТЭК и Роскомнадзора. ЦБ внес изменения в отраслевые стандарты безопасности, а регуляторы в лице ФСБ и ФСТЭК пересмотрели ряд своих требований. По словам Андрея Курило, ФСТЭК выпустил приказ №58, в котором требования по обеспечению безопасности были существенно смягчены, а решением коллегии отменил наиболее одиозные документы, вызывавшие сильную критику.

В итоге Банку России удалось согласовать стандарты безопасности с ФСТЭК, ФСБ и Роскомнадзором, которые согласились с тем, что выполнение требований ЦБ автоматически является выполнением требований этих трех надзорных органов. Банку достаточно подтвердить, что он присоединяется к стандартам безопасности ЦБ, и далее привести свои системы в соответствие с этими стандартами, говорит Карл Сумманен. Они хоть и носят рекомендательный характер, дают банку, присоединившемуся к ним и предоставляющему полноценную отчетность по данным стандартам, возможность избежать бесконечных проверок.

«Коммуникационное сообщество, скорее всего, пойдет по тому же пути, что и банки: выработает свои единые стандарты, которые по аналогии с тем, как это сделал Банк России, также будут согласованы с ФСТЭК, ФСБ и Роскомнадзором, – считает Карл Сумманен. – И это принципиальный момент. По сути, сейчас идет борьба в части возможностей ФСБ и ФСТЭК выставлять свои требования по защите персональных данных в одностороннем порядке. И теоретически в любой момент может быть выпущен нормативный правовой акт, устанавливающий новые требования к защите персональных данных, выполнить который будет невозможно или очень дорого. Автоматически появится масса организаций, формально не выполняющих требования закона».

Трудности с комментариями

Таким образом, все участники процесса солидарны во мнении, что закон нужно менять. Но теперь у банковского сообщества возник новый повод для беспокойства: никто не понимает, как он будет трансформироваться. Банкиров вполне устраивают стандарты, разработанные и согласованные ЦБ, и им не хочется терять достигнутые позиции.

«На сегодня действительно возникла такая неопределенность, что даже прокомментировать проблему практически невозможно. Перенос сроков вступления в силу закона – лишь часть общей проблемы, – поясняет Андрей Курило. – Закон вступил в действие, но по одной статье: которая устанавливает сроки окончательной готовности систем, – во второй раз переносятся сроки готовности систем к выполнению требований безопасности.

Одновременно в Госдуме лежат четыре десятка листов поправок – фактически это альтернативный закон, внесенный Владиславом Резником (председателем Комитета ГД по финансовому рынку – Прим. ред.). Лучшая перспектива – в первой половине 2011 года закон, возможно, примут, но его текст до того момента может сильно поменяться».

«Известно, что работа над текстом продолжается. И даже несмотря на то, что банки защищены стандартами Банка России, существуют опасения, что изменения в тексте затронут финансовое сообщество. Поэтому мы по возможности стараемся участвовать в разработке закона в рамках различных банковских ассоциаций», – говорит Карл Сумманен.

Андрей Курило выражает надежду, что итоговый текст документа будет максимально приближен к европейскому законодательству: «Мы стремимся в ВТО, к расширению взаимодействия с ЕС, и в этом направлении нужно двигаться, а закон наложит на нас некоторые обязательства, которые надо выполнять». Представитель ЦБ убежден, что вне зависимости от того, как будет трансформироваться закон и в какие сроки он вступит в силу, банки должны систематически делать свою работу, а не сидеть в ожидании. «Законы и стандарты нужно выполнять не для того, чтобы пройти проверку со стороны регуляторов, а чтобы реально обеспечить безопасность данных. Эту работу нужно делать, не дожидаясь, когда придет проверка», – говорит Андрей Курило. Он предлагает следовать рекомендациям, которые выработал ЦБ. Не убеждают представителя Банка России и сетования российских банкиров на дороговизну мероприятий по обеспечению всех мер по безопасности. «Финансовые проблемы для банков фактически сняты: блок требований, прописанных регуляторами, действительно был очень дорогостоящим. Но Банку России удалось согласовать меры, которые существенно снижают расходы, – говорит Андрей Курило. – Так что банки должны продолжать делать свою работу по приведению своих систем в соответствие со стандартами Банка России, а не ждать, пока примут закон».

Екатерина ЯБЛОКОВА, заместитель директора по развитию бизнеса Stonesoft в России, СНГ и странах Балтии

Каждый день появляются новые угрозы, открываются новые уязвимости в прикладном и общесистемном ПО. Поэтому совершенно необходимо, чтобы технологии защиты успевали за этими изменениями, обеспечивая надежный уровень защиты для информационных систем банковских и финансовых организаций, поскольку именно они в первую очередь становятся мишенью киберпреступников.

Обеспечить полноценную защиту от угроз на сетевом уровне помогут системы предотвращения вторжений (IPS), именно эти продукты при их правильной настройке способны отследить злонамеренную активность до того, как будет нанесен ущерб целевой информационной системе. Проблема в том, что на их правильную настройку, а затем постоянный мониторинг и управление может быть затрачено немало сил и времени. Как понять при установке обновления, какая сигнатура попала в активную политику, а какая осталась неактивной? И стоит ли ее активировать, не «просядет» ли при этом производительность? Решать все эти вопросы, а также осуществлять разбор инцидентов, бороться с ложными срабатываниями предстоит администратору безопасности. И тут без помощи продуманной и легко управляемой системы не обойтись.

Систему предотвращения сетевых вторжений StoneGate IPS отличают именно гибкие возможности по централизованной настройке и управлению. В профиле по умолчанию уже активированы все сигнатуры, и при этом ее производительность четко соответствует заявляемым характеристикам, что подтверждают независимые тестирования NSS и ICSA Labs. Распределенная архитектура и наличие механизма интеллектуальной корреляции обеспечивают один из самых низких в индустрии процентов ложных срабатываний.

StoneGate IPS поддерживает как сигнатурные, так и поведенческие методы обнаружения вторжений, осуществляет полный разбор и нормализацию протоколов, что позволяет ей успешно противодействовать новой категории угроз - динамическим техникам обхода AET. StoneGate IPS также успешно препятствует атакам переполнения буфера, червям, шпионскому и вредоносному ПО, DoS/DDoS, программным закладкам, троянам, сканированию сети, блокирует потенциально опасный и подозрительный трафик.

Кроме того, StoneGate IPS имеет сертификат ФСТЭК России №2163 от 31.08.2010 на соответствие требованиям по 3-му классу защищенности для межсетевых экранов, по 4-му уровню контроля отсутствия недекларированных возможностей и технических условий и может использоваться при создании автоматизированных систем до класса 1Г и информационных систем персональных данных до 1-го класса включительно.

Начать дискуссию