До последних дней 2009 года Центральный банк и Ассоциация российских банков вели напряженную дискуссию с законодательными органами о необходимости переноса срока вступления в силу 152-ФЗ и пересмотра ряда его положений. Каких результатов удалось добиться и как в итоге кредитные организации должны защищать персональные данные, рассказал НБЖ заместитель начальника главного управления Банка России Андрей КУРИЛО.

СТАНДАРТ ЦБ ПРИДЕТ НА ПОМОЩЬ 152-ФЗ

НБЖ: Андрей Петрович, в конце года рассматривался вопрос о переносе срока вступления в силу закона «О персональных данных» и пересмотре некоторых его требований. Каких результатов удалось добиться?

А. КУРИЛО: Президент Российской Федерации, правительство страны, законодательные органы пошли навстречу сообществу операторов персональных данных и перенесли конечный срок приведения в соответствие с требованиями 152-ФЗ информационных систем персональных данных на год - на 1 января 2011 года. Однако в остальном Федеральный закон «О персональных данных» остался без изменений. Требования закона, которые вызывали у банков множество вопросов и которые отягощают основную функциональную деятельность кредитных организаций, сохранились в полном объеме.

В частности, к таким проблемным вопросам относится требование закона, по которому банки должны запрашивать согласие клиента на обработку его персональных данных и передачу этих данных третьему лицу, не связанному договором с самим субъектом персональных данных. Более того, банкам необходимо получить разрешение не только у субъекта, с которым заключен договор на оказание услуг, но и у упомянутых в документе лиц - друзей, родственников и так далее. Все это существенно осложняет работу банков, процедуру обработки информации и передачи ее третьей стороне. Например, становится невозможной работа по обмену информацией о клиенте между филиалами одного банка. Филиал не может отправить куда-либо сведения об этом гражданине или информацию о его текущих делах без получения соответствующего разрешения от клиента. Необходимо учесть, что клиент имеет право не давать согласие на передачу его персональных данных третьим лицам. В этом случае гражданин получает возможность скрыть отрицательно характеризующую его информацию.

Или еще один пример: банки проверяют, как складываются взаимоотношения потенциальных клиентов с правоохранительными органами, и на основании полученных сведений делают выводы об их кредитоспособности, а вы знаете, что уровень невозврата кредитов, выдаваемых банками частным лицам, растет. Однако закон «О персональных данных» запрещает банкам собирать и хранить информацию о наличии судимостей у гражданина. Возможность получения подобных сведений от правоохранительных органов в стране отсутствует.

Таким образом, абсолютизируя защиту интересов частных лиц, часто бывших не в ладах с законом, 152-ФЗ наносит ущерб банковской деятельности, повышая кредитные риски.

ВОПРОС ДОСТАТОЧНО ПРОСТОЙ: ЧТО МЫ ДЕЛАЕМ И ЗАЧЕМ?

Однако сложности возникают не только с обработкой и передачей персональных данных, но и с их уничтожением. Так, в законе жестко сформулированы требования по уничтожению информации после ее обработки. Но, как свидетельствует опыт, уничтожить данные технически крайне сложно, так как промышленных технологий уничтожения больших объемов бумажных носителей практически нет. А уничтожение электронных данных представляет собой весьма непростую задачу. Дело в том, что при удалении информации из базы данных нельзя исключать риск ошибочного удаления нужных данных, а также возникновения сбоя или ошибки в системе, в результате чего могут быть уничтожены данные, критичные для других клиентов кредитной организации. Для предупреждения возникновения подобной ситуации банку при проведении «зачистки базы данных» необходимо сделать резервную копию этой исходной базы данных, к которой в случае возникновения форс-мажорных обстоятельств можно «откатиться». Получается, что эталонную базу данных с неуничтоженными персональными данными конкретного человека банк все равно должен хранить в течение определенного времени. Потом эту задачу необходимо повторить уже в отношении «эталонной» базы данных и создать перед этим еще одну «эталонную» базу. А теперь добавьте сюда страховые и резервные копии, а также ежедневные дампы, которые делают практически все.

Поэтому уничтожение данных из базы - очень сложная и болезненная проблема, которую, однако, нужно и можно решить. Пока эта проблема решается простым архивированием всей информации по истечении какого-то срока - например, года - с последующим уничтожением этого архива в сроки, установленные для архивного хранения. Тогда получается, что надо не уничтожать информацию, а просто делать ее недоступной путем архивирования и последующего уничтожения в установленные сроки.

Отдельная проблема - проверка подлинности документов, предоставляемых в банк потенциальными заемщиками или соискателями. Закон крайне затруднил эту деятельность.

Конечно, стремление государства защитить права человека вполне понятно. Однако этот благородный порыв на практике столкнулся с серьезными техническими сложностями. В результате есть закон, выполнить отдельные положения которого сложно или невозможно. В таком размытом правовом поле образуется хорошая почва для развития коррупции, необъективного отношения, использования законодательства в прямо противоположных целях и прочих негативных явлений. Пока эту проблему нам решить не удается. В конце прошлого года в течение двух месяцев при Министерстве связи существовала рабочая группа по доработке закона «О персональных данных». Было наработано много материала. Однако все закончилось тем, что Министерство связи поддержало альтернативный законопроект, внесенный группой депутатов Государственной Думы, и работа прекратилась.

НБЖ: Таким образом, несмотря на приложенные усилия, вопрос корректировки закона «О персональных данных» с учетом интересов банковского сообщества не сдвинулся с «мертвой точки»?

А. КУРИЛО: Да. Мы изначально предполагали, что инициатива по изменению ряда положений закона может потерпеть неудачу, поэтому запустили сразу два процесса: первый как раз направлен на изменение норм закона, а второй -на пересмотр технических требований, прописанных в нормативных документах регуляторов. Как показала практика, стратегия оказалась верной, потому что в вопросах технической защиты наметился прогресс.

Регуляторы в лице ФСБ и ФСТЭК пересмотрели ряд своих требований и более четко их сформулировали. Например, ФСТЭК в результате проделанной работы выпустил приказ №58, в котором требования по обеспечению безопасности были существенно смягчены, а решением коллегии отменил наиболее одиозные документы, вызывавшие сильную критику. Еще одно наше достижение заключается в том, что мы выдвинули идею разработки отраслевых документов по безопасности. Эта идея, что важно, нашла поддержку у регуляторов.

За основу для разработки отраслевых нормативов безопасности был взят комплекс документов Банка России по стандартизации вопросов информационной безопасности. Он был доработан в соответствии с требованиями закона и дополнен соответствующими рекомендациями. В итоге получилась целостная система документов, которая подробно описывает все механизмы реализации требований не только по защите персональных данных, но и по безопасности банковской тайны, платежных систем и т.д.

...А СРО ПОМОЖЕТ РЕГУЛЯТОРАМ

НБЖ: Как планируется осуществлять внедрение данного документа? Наверное, банковское сообщество уже «сыто» нормативными документами.

А. КУРИЛО: Документов по безопасности у банков крайне недостаточно, статус их, как правило, или не определен, или недостаточен, а область регулирования носит «лоскутный» характер и не покрывает проблему в целом. Поэтому среди банковских специалистов высок интерес к стандартам ISO, статус которых тоже мало понятен, а реакции на их применение со стороны государства нет. Внедрение системы отраслевых документов, разработанных ЦБ и АРБ с привлечением квалифицированных специалистов, позволит решить эту проблему. Оно, в свою очередь, должно проходить через механизм добровольного признания кредитными организациями. То есть банк может ввести документы в «действие» по своему усмотрению внутренним приказом.

Но мы не просто разработали очередные документы, а совместно с Ассоциацией российских банков выступили с идеей создания саморегулируемой организации в области обеспечения информационной безопасности организаций кредитно-финансовой сферы. Если схематически описать принцип работы СРО, то он выглядит примерно таким образом: члены СРО обязуются выполнять требования Стандарта, а внутри организации действует определенный механизм, обеспечивающий: проведение соответствующих работ; проверку качества проведенных мероприятий; обучение специалистов.

НБЖ: Когда может быть создана такая саморегулируемая организация?

А. КУРИЛО: Возможность создания СРО пока только рассматривается. Это очень длительный и сложный процесс. Проблема заключается в том, что для реализации этой инициативы в закон «О саморегулируемых организациях» необходимо внести изменения, так как банкам запрещено их создавать. Изменения должны коснуться права создания таких организаций с целью проведения работ по вспомогательным направлениям, каковым является деятельность по обеспечению безопасности банковской деятельности и банковских операций.

При этом я должен заметить, что на членов СРО в случае реализации данного механизма возлагается очень высокая ответственность. Дело в том, что, как я уже говорил, СРО будет проводить внутренние проверки на соответствие кредитных организаций отраслевым требованиям. Регуляторы, назначенные 152-ФЗ, будут получать информацию о соответствии требованиям Стандарта кредитных организаций (являющихся членами СРО) уже в обобщенном виде. Если кто-то из членов СРО будет допускать халтуру, то к нему будут предприняты жесткие меры: от дисциплинарного наказания до исключения из состава саморегулируемой организации. В этом случае с требованиями регуляторов ему придется разбираться самостоятельно.

НБЖ: То есть в случае реализации данной идеи регуляторы не будут проводить проверку в кредитных организациях, а будут это делать через внутренний орган контроля качества СРО?

А. КУРИЛО: Создание СРО ни в коем случае не отменяет права регуляторов проводить проверки в кредитных организациях на выполнение требований 152-ФЗ. Они все равно могут и будут это делать. Но данный механизм упрощает жизнь как регуляторов, так и банков. То есть ФСБ, ФСТЭК и Роскомнадзору не нужно будет самостоятельно «бегать» с проверками, а достаточно будет только перепроверять качество проделанной работы.

Вообще стоит отметить, что с проведением проверок в рамках 152-ФЗ существует множество сложностей. Одна из них - наличие сильного административного давления на бизнес, о чем неоднократно говорили высшие руководители нашей страны. Например, только по запросам следственных органов банки готовят тонны документации. Все это отвлекает представителей банковского бизнеса от их основной деятельности и создает сильное обременение. Представьте, в законе «О персональных данных» назначено три регулятора. Если они будут хотя бы раз в год приходить с проверкой (плюс проверка Банка России), то с точки зрения банка это превратится в бесконечный процесс проверки. В этом случае возникает резонный вопрос: а когда работать?

НБЖ: К тому же и регуляторы, наверное, не располагают таким числом сотрудников, которые могли бы в течение года проверить тысячу кредитных организаций.

А. КУРИЛО: Из тысячи кредитных организаций, зарегистрированных на территории РФ, около 600 находятся в Москве, 300 - в Питере, остальные в регионах, плюс филиалы. В регионах у регуляторов людей хватит, а вот в двух столицах - вряд ли. Поэтому мы и говорим, что проверки желательно проводить комплексно, в соответствии с законом о госконтроле - один раз в год.

ОТРАСЛЕВЫХ ДОКУМЕНТОВ ЖДЕТ ВЕСЬ РЫНОК

НБЖ: В свое время Стандарт по безопасности вызывал некоторые нарекания у банковского сообщества. Однако со временем банки оценили его преимущества. Сейчас Стандарт был, как вы сказали, доработан в соответствии с требованиями 152-ФЗ. Не вызовет ли это новую волну неприязни?

А. КУРИЛО: Стандарт по безопасности Банка России изменился не сильно. Мы добавили в него требования закона -включили дополнительный раздел по выполнению требований ФЗ «О персональных данных». Те два раздела, которые в нем были раньше - требования по криптографии и требования по технической защите информации, - изменились мало. В них были внесены лишь небольшие дополнения. Дополнили раздел по управлению, доработали методику оценки соответствия. По предложению ФСТЭК сделали отдельный документ -требования по безопасности, в котором изложили в явном виде технические требования в соответствии со стандартом ISO 17799-2005 и приказом ФСТЭК №58. Поэтому все работы, которые ранее были проведены банками по реализации рекомендаций Стандарта, не будут обесценены. А преимущества налицо.

Я постоянно слежу за тем, как происходит обсуждение законодательства и наших инициатив на интернет-форумах. В результате проведения такого своеобразного мониторинга настроений на рынке я пришел к выводу, что при выборе между неопределенностью и неизбежностью предпочтение отдается неизбежности. Участники рынка смирились с тем, что требования нового закона придется выполнять. Стандарт поможет им ответить на вопрос, как это сделать.

НБЖ: Как регуляторы отнеслись к идее разработки отраслевых нормативов на базе Стандарта по безопасности Банка России?

А. КУРИЛО: Роскомнадзор полностью поддержал нашу инициативу и уже готов подписать документы. Федеральная служба по безопасности положительно восприняла нашу инициативу и сейчас проводит согласование основных положений документа в своих подразделениях. ФСТЭК также согласился присоединиться к предложенным нами единым методическим стандартам. Единственное - как я уже сказал, в этом ведомстве нас попросили предварительно разработать еще один документ: технические требования по безопасности. В Стандарте Банка России они были прописаны в завуалированном виде, так как документ был направлен, прежде всего, на контроль выполнения существующих технологий.

Разработка единого методологического подхода к оценке качества соблюдения норм по защите персональных данных выгодна всем участникам. Дело в том, что при произвольном подходе к оценке или измерению какого-то процесса на выходе могут получаться абсолютно разные результаты. Для получения сопоставимых результатов как раз и нужна общая методика. Необходимо четко понимать, что мы делаем, чтобы четко выполнять задачи, которые перед нами стоят.

НБЖ: 152-ФЗ затронул и «встряхнул» весь рынок. Как пытаются реализовать или скорректировать требования нормативного документа представители других секторов экономики?

А. КУРИЛО: Примерно то же самое. Правда, многие отрасли не имеют сильных структур по безопасности в рамках регулирующих органов или профессиональных союзов. Поэтому многие из них пытаются опираться на опыт банковского сообщества и на его Стандарты. Но у того же малого и среднего бизнеса или у сотовых операторов есть своя специфика деятельности, а потому им при разработке отраслевых нормативов необходимо ее учитывать. Однако если у какого-либо бизнес-сообщества нет специальной организации по безопасности, которая взяла бы на себя обязанности по формированию отраслевых нормативов, то оно может присоединиться к нам. Например, такую возможность уже обсуждают страховщики. Сейчас многие профессиональные объединения ждут выпуска наших отраслевых документов. Чтобы понять, как действовать дальше.

НБЖ: А когда отраслевые стандарты будут готовы?

А. КУРИЛО: Я очень надеюсь, что к середине апреля они будут окончательно утверждены. Сейчас нам необходимо проделать большую работу по согласованию документа со всеми регуляторами: проверить текст, убедиться, что нет разночтений, завизировать.

Центральный банк, Ассоциация российских банков, ФСБ, Роскомнадзор и ФСТЭК разработали так называемый «Проект письма пятерых». В нем изложен механизм введения отраслевых стандартов в действие. Если этот проект завершится успешно и под документом все участники поставят свои подписи, то это будет уникальный случай консолидации усилий различных структур для решения одной задачи. В этом случае документ будет иметь реальную силу, и, я думаю, банки будут его придерживаться. Мы не можем директивно заставить выполнять наши стандарты, мы можем только рекомендовать кредитным организациям принять документ и ввести к исполнению его положения внутренними приказами. После этого запустить процессы по приведению в соответствие с нормативами Стандарта, а после получения оценки качества сообщить регуляторам результат.

СПЕШАЩИЙ ПЛАТИТ БОЛЬШЕ

НБЖ: В конце 2009 года сообщалось о том, что нормативам 152-ФЗ соответствуют только 5% банков. Какое количество банков сегодня выполняют требования закона «О персональных данных»?

А. КУРИЛО: Следует разделить два вопроса: соответствие требованиям закона и требованиям регуляторов. О выполнении требований закона мы уже говорили. Там есть проблемы. Относительно выполнения технических требований хочу сказать, что требования ФСБ выполнимы. В отношении требований ФСТЭК проведу аналогию со спортивными соревнованиями: если поставить планку для прыжков в высоту на уровне мирового рекорда, то ее сможет преодолеть только человек, который как раз ставит эти мировые рекорды. Если планку опустить на метр, то через нее сразу смогут прыгать перворазрядники, а это уже тысячи человек. Таким образом, успех мероприятия зависит во многом от того, какие заданы требования на старте, насколько они выполнимы. Поэтому если очень жестким требованиям документов ФСТЭК соответствовало всего 5% банков, а может быть, и меньше, то после их «смягчения» можно смело говорить о 40-50%. Это уже достойная цифра. Понимая это, мы не стремимся заставить банки выполнить «жесткие» требования, а пытаемся предварительно сделать эти требования не только выполнимыми, но и достаточными.

НБЖ: Какие наказания будут ожидать тех, кто не выполнит требования 152-ФЗ?

А. КУРИЛО: Существуют процедуры административного преследования, установленные кодексом об административных  правонарушениях.  Конечно, в отношении злостных «халтурщиков» будут применяться штрафные санкции. И оправдать невыполнение норм закона нельзя, потому что он был принят более четырех лет назад, в течение последних двух лет активно обсуждался. Этого времени было достаточно для того, чтобы если не выполнить в полном объеме, то хотя бы начать работу по приведению себя в соответствие с требованиями нормативного документа.

НБЖ: Но участники рынка говорили о том, что для приведения себя в соответствие этим требованиям потребуется несколько миллионов долларов.

А. КУРИЛО: Действительно, в такую сумму может вылиться проект, если жестко выполнять все технические требования, сформулированные ранее регуляторами. Сейчас ситуация меняется. Регуляторы смягчили свои требования, а если взять за руководство наши отраслевые стандарты, то десятки миллионов превращаются в сотни тысяч, а может быть, и в десятки. Например, согласно отраслевым требованиям, персональные данные можно защищать в любом режиме обеспечения тайны. Так, банковская тайна должна защищаться в режиме банковской тайны, а не в режиме защиты персональных данных. Режим банковской тайны, как правило, обеспечен во всех кредитных организациях.

Или еще один пример: платежная система изначально квалифицировалась как система первой категории, на которую распространялись все требования по защите персональных данных. В частности, необходимо было устанавливать средства защиты от акустических или электромагнитных каналов утечки, прочие дорогостоящие средства для обеспечения безопасности. Мы убедили ФСТЭК, что не нужно квалифицировать платежную систему как систему, работающую с персональными данными, и что для обеспечения ее безопасности достаточно существующих механизмов защиты.

При разработке отраслевых нормативов мы постарались исключить из списка обязательных самые дорогостоящие и «экзотические» мероприятия по обеспечению безопасности, потому что, как правило, они являются избыточными. Кроме того что стоимость таких мероприятий весьма велика, они еще и очень дороги в эксплуатации: необходимо их постоянно проверять, ремонтировать, обновлять, обучать людей, контролировать и прочее. Как только мы исключаем подобные технические требования, стоимость реализации проекта по обеспечению защиты персональных данных резко удешевляется.

БЕЗОПАСНОСТЬ ПОДЧИНЯЕТСЯ ЗАКОНАМ ДИНАМИКИ

НБЖ: У банковского сообщества вызывала много опасений необходимость проведения аттестации. Удалось ли как-то урегулировать этот вопрос с регулятором?

А. КУРИЛО: ФСТЭК в своем приказе №58 требования по аттестации снял. Аттестация - это один из способов контроля безопасности. Она берет свое начало из очень «древних» воззрений на информационную безопасность и вычислительную технику 70-х годов, когда были большие машины и жестко привязанные к ним терминалы и не было Интернета, вычислительных сетей и прочих современных технологий. В те времена аттестация была действительно эффективным способом проверки и контроля качества безопасности. Сейчас ситуация кардинально изменилась. В современных системах в процессе работы происходят постоянные изменения (появляются новые приложения, устанавливается новое программное обеспечение, выходят обновления и т.д.), поэтому аттестация как детерминированный подход к оценке безопасности начала себя изживать. Сегодня ситуацию нужно оценивать в динамике.

В мировом стандарте качества ISO 17799 введено в обиход понятие «цикл Деминга». В соответствии с этим принципом задачи по безопасности реализуются по кругу: сначала составляется план, потом он реализуется, затем запускается в эксплуатацию и, наконец, осуществляется проверка качества. А потом сначала: составление плана, реализация, эксплуатация и так далее по кругу. С учетом оси времени получается спираль.

Преимущество данного принципа заключается в том, что он позволяет контролировать происходящие в системе изменения в динамике, а не делает одномоментный срез, как это было при аттестации. Поэтому в мировом сообществе сейчас идет процесс переоценки взглядов и подходов осуществления контроля качества безопасности. Возникло понятие «оценка соответствия» требованиям стандарта и понятие «аудит информационной безопасности». Появилась возможность проводить оценку соответствия требованиям безопасности систем в целом, а не только их элементов, как это было ранее.

В Стандарте по безопасности Банка России мы как раз придерживаемся принципа «цикла Деминга». Только при последовательном проведении одной и той же работы - выявлении ошибок и неисправностей, их устранении, анализе конфигурации систем, оценке функциональности - мы действительно сможем повысить уровень безопасности систем.

Вторая причина, которая способствовала отказу от проведения аттестаций, - это необходимость перехода к рисковому подходу оценки. Этот фундаментальный принцип базируется на том, что 100% безопасности гарантировать нельзя, полностью исключить риски невозможно, можно только их минимизировать до приемлемого уровня или от них уклоняться. Таким образом, обрабатывая риски, кредитные организации снижают вероятность возникновения ЧС.

НБЖ: С какой целью был введен закон о защите персональных данных? Чтобы обеспечить соответствие мировым стандартам?

А. КУРИЛО: Проблема защиты персональных данных существует очень давно, насчитывает не одну сотню лет и очень близко примыкает к понятию «прайваси», то есть права на личное. Когда существовали только бумажные носители, с защитой персональных данных особых проблем не возникало. Появились они вместе с электронными базами данных, в которых хранятся огромные объемы информации о гражданах. В определенный момент в мировом сообществе возникло понимание того, что избыточное скопление личной информации в одном месте, тем более объединение нескольких баз данных, может привести к серьезным последствиям для личности. Поэтому в 70-е годы возникла идея защиты персональных данных, в которой утверждалось, что обеспечить защиту информации необходимо при проведении ее автоматизированной обработки. В том числе защитить ее надо и от государства, которое часто пытается проникнуть в частную жизнь.

В России эта идея новая и не имеет исторических корней, у нас абсолютно другой менталитет. Тем не менее, чтобы соответствовать европейским стандартам, а значит, вступить в ВТО, наладить отношения с Евросоюзом, нам необходимо было перенести ее на нашу «почву». Ситуацию подогрело то, что в 2005 году прокатилась волна утечек баз данных, которая повлекла за собой внесение в закон невероятно жестких требований по безопасности. В таких непростых условиях и появился на свет закон «О персональных данных», именно под их влиянием и возникли различные «перекосы».

НБЖ: Тем не менее базы продолжают утекать. Недавно произошел случай, когда база вообще оказалась на свалке.

А. КУРИЛО: Не скажу, что это так. Новых баз данных и обновлений старых баз на рынке фактически нет. Не скажу, что закон этому сильно посодействовал. Просто службы информационной безопасности стали заметно лучше работать. Но если говорить конкретно об упомянутом вами случае, то, во-первых, это была не база данных, а бумажные документы, в которых содержалась определенная информация о клиентах. Во-вторых, спровоцировал эту ситуацию как раз закон о персональных данных. Как я уже говорил, существует серьезная проблема с уничтожением документов. Большой объем бумаги малочисленный персонал филиала уничтожить просто не в состоянии. Тот случай стал результатом недоработок существующих механизмов.

Такие или аналогичные ситуации могут случаться всегда. Предсказать их практически невозможно, потому что уязвимости возникают постоянно и спонтанно. И мы с ними постоянно боремся. Чтобы угроза реализовалась, необходимо, чтобы она совпала с уязвимостью. Бороться с угрозами мы не можем, потому что они существуют объективно, вне нашего сознания и воздействия. Мы можем бороться только с уязвимостями. Именно для того, чтобы сократить количество слабых мест, мы выпускаем стандарты и законы.