24 февраля 2015 г.

Банковская безопасность на круглых столах в Магнитогорске

В этом году на банковском форуме в Магнитогорске я с презентацией не выступал, но поучаствовал в двух круглых столах. В одном, с регуляторами, - в качестве ведущего, в другом, по приглашению Натальи Касперской, – в качестве эксперта.
Регуляторов собралась серьезная команда – сенатор, зампредседателя комитета Совфеда по конституционному законодательству Л.Н. Бокова, замначальника ГУБЗИ Банка России А.М. Сычев, и замдиректора департамента НПС Т.К. Батырев, начальник управления защиты прав субъектов персональных данных Роскомнадзора Ю.Е. Контемиров, начальник 2 Управления ФСТЭК России В.С. Лютиков и два представителя ФСБ России – В.М. Простов и С.Н. Юдин. Хотел бы еще раз, публично, выразить благодарность участникам обсуждения за активное участие в этом мероприятии. Магнитогорск – одно из немногих мест в нашей среде, где представители органов власти и Банка России оказываются вместе, обсуждают общие проблемы и где любому из них можно задать любой вопрос. Последним, кстати, на мой взгляд, банковское сообщество воспользовалось весьма слабо. И предварительных вопросов именно от банков было очень мало, и на сессии вопросов зажигали в основном не банкиры.

И тот, и другой круглые столы оказались непростыми. Разговорить регуляторов – всегда задачка с несколькими неизвестными, и чем более сложный вопрос, тем больше вероятность получить самый общий ответ. Не ставлю задачей этого поста глубокий анализ сказанного, но кое-какие выводы сделал сразу. Некоторые посчитали все ответы Л.Н. Боковой не слишком конкретными, однако в них была заложена одна совершенно четкая мысль – свои проблемы банки, в первую очередь, должны решать сами, инициируя нужные им законодательные инициативы, формируя их текст и лоббируя принятие. И особо рассчитывать на чью-то помощь при этом не надо. Снова всплывает тема саморегулирующейся организации, что, при наличии двух крупных банковских ассоциаций, вызывает у участников рынка довольно неоднозначную реакцию.
Похоже, непросто будет строиться FinCERT и завязываться с ГосСОПКА (система обнаружения и предупреждения компьютерных атак, создаваемая ФСБ России). Не видно перспектив облегчения работы с банковской отчетностью, пока, во всяком случае. Заработает на полную мощность FinCERT, закончатся уточнения распределений полномочий между реформированными подразделениями Банка России, вот, может быть, тогда…
Очень понравились ответы Ю.Е. Контемирова – по делу, без попыток увести в сторону. Если ответить по какой-то причине нельзя – так и говорится. Мне показалось, что потихоньку к некоему знаменателю приходит тема 242-ФЗ, для банков, во всяком случае. Из ответов (на слух, запись не анализировал) показалось, что особых проблем новый закон российским банкам не создаст, как тем, которые являются «дочками» иностранных и ведут информационный обмен по персоналу и клиентам с материнским банком, так и для осуществляющих трансграничные денежные переводы. На март обещано очное разъяснение позиции регулятора кредитно-финансовым учреждениям, что тоже крайне полезно.
В.С. Лютиков порадовал неизменностью позиции ФСТЭК в отношении лицензирования деятельности по ТЗКИ и призвал решать вопросы путем направления конкретных запросов во ФСТЭК. Службу в последнее время отличает готовность к диалогу, приверженность выбранной линии развития системы нормативного регулирования и активное привлечение к работе специалистов отрасли, желающих поучаствовать в процессе.
Не так просто шло общение с представителями ФСБ. Находящихся на сцене можно понять – они находятся в жестких рамках ведомственной позиции. Но от этого не легче – использование протокола https в системах ДБО, электронная подпись из облака, аттестация рабочих мест, на которых установлены СКЗИ, по-прежнему остаются в некой пограничной зоне, а поэтому и в зоне риска банков.
Из круглого стола Н. Касперской про жизнь отрасли во время кризиса сделал для себя вывод, что главной проблемой ближайших лет будут не отсутствие денег, не технологии, не таргетированные атаки (кто-то из участников, по-моему, Р. Хайретдинов справедливо отметил, что других теперь и нет), а кадры. Тема персонала постоянно всплывала в ходе обсуждения, и ничего утешительного я не услышал и не сказал сам. Я приводил пример – при сокращении штатов, большом количестве ищущих работу, в том числе банковских специалистов, на мое сообщение в Фейсбуке о вакансии в банке, где надо было конкретно заняться нормативкой, а не «руководить процессом», пришло ровно одно резюме. Одно. Могу лишь повторить свой неутешительный прогноз: там, где служб ИБ не было, они в ближайшее время не появятся, там, где служба не смогла доказать, что приносит (не дает красть, экономит) конкретные, поддающиеся подсчету, деньги, службу сократят до возможного, по мнению руководства банка, минимума. Возможно – совсем. Не случайно В. Окулесский много рассказывал о том, что они делают в «Банке Москвы» именно с точки зрения сокращения реальных затрат и потерь.
В целом мне эти мероприятия понравились. Все-таки живое общение лучше монотонных презентаций, особенно, если выступающий сидит за трибункой на стуле или перемежает слайды на русском и английском языке.
В заключение. Все высказанные в посте мнения являются субъективными и оценочными. Вполне допускаю, даже уверен, что у кого-то прямо противоположная точка зрения или совсем другие впечатления.
И спасибо организаторам. Все-таки подготовка пятидневных мероприятий – колоссальный труд, по себе знаю. Ни одной сколь-нибудь серьезной проблемы с точки зрения организации я не увидел.
Есть одна очень важная задача для того, чтобы форум сохранился и развивался дальше. Надо делать все, чтобы на него приезжало больше банкиров. Знаю, что трудно. Но очень надо.

13 февраля 2015 г.

Разместить персональные данные в облаке, привлечь десяток их обработчиков и выполнить закон

Вчерашняя презентация на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе вызвала огромный интерес. Обсуждение 15-минутной презентации продолжалось очень долго. Как и обещал – презентацию выкладываю.


4 февраля 2015 г.

Пятая графа персональных данных

Сенатор Совета Федерации Жанна Яновна Иванова 2 февраля внесла в Государственную Думу законопроект, возвращающий в паспорта россиян «пятую графу» – сведения о национальности. Не предложение «об изменениях отдельных федеральных законов», как это стало модным в последнее время, а вполне себе самостоятельный закон. Это явно становится трендом российского законотворчества – аналогичный законопроект уже вносили почти год назад. Тогда инициаторы-коммунисты шли еще дальше, предлагая россиянам указать заодно и свое вероисповедание. Но проект завернули, убоявшись новых расходов. Сейчас с бюджетом все хорошо, свободных денег много, и можно наконец-то заняться сакральным. Кроме того, совсем недавно нездоровый интерес к национальности рождающихся, брачующихся и умирающих проявили в Минюсте, обосновав его вопросами статистики, но предусмотрев сугубую добровольность указания этой специальной категории персональных данных, требующей письменного согласия граждан на обработку при обращении этих самых граждан в органы записи актов гражданского состояния, что меня также немало удивило.
Когда я читаю о таких новациях, у меня всегда первым появляется вопрос – зачем? Чего в супе так не хватает, что туда срочно надо добавить экзотические специи, которые существенно поменяют его вкус? За ответами надо обращаться не только к тексту законопроекта, но и к пояснительной записке к нему, благо они в АСОЗД есть.
Начинается текст внесенного проекта с почти прямой цитаты части 1 ст.26 Конституции, закрепляющей право каждого определять и указывать свою национальную принадлежность. Но вот про вторую часть, устанавливающую, что никто не может быть принужден к определению и указанию своей национальной принадлежности, почему-то в законе умалчивается.
Законопроект в преамбуле утверждает, что национальная принадлежность гражданина Российской Федерации является одним из главных признаков самоидентификации любого человека, воспринимается в качестве одной из важнейших ценностных категорий для отдельной личности, выступает гарантом сохранения самобытности каждой национальной (этнической) общности многонационального народа Российской Федерации, способствует гармонизации межнациональных (межэтнических) отношений в стране и укреплению единства российской нации в целом. Утверждения более, чем спорные, а учитывая периодические проявления самых разных форм ксенофобии (одно из самых сильных обострений со времен чеченских войн мы наблюдаем сейчас) – не только спорные, но и в корне не соответствующие действительности.
Статья 1 закона совершенно неожиданно заявляет, что «в соответствии с Конституцией Российской Федерации настоящий Федеральный закон устанавливает порядок реализации права совершеннолетних дееспособных граждан Российской Федерации на определение и указание своей национальной принадлежности, а также права родителей либо единственного родителя (иного законного представителя) на определение и указание национальной принадлежности их ребенка (несовершеннолетнего подопечного) – гражданина Российской Федерации». Право родителей определять и указывать национальность детей – это что-то фундаментально новое для российского законодательства.
Такого не было даже во времена СССР. В свидетельстве о рождении ребенка и в советский период истории (во всяком случае тот, который я помню), и сейчас национальность ребенка не указывалась. Там были и есть только сведения о национальности родителей, которые сейчас указываются сугубо по их желанию. Получая свой первый паспорт, гражданин СССР делал выбор своей национальности, и, насколько я помню, она не обязательно должна была совпадать с национальностью родителей или одного из них. Автор законопроекта об этом, наверное, помнит, и с вольностями предлагает покончить, требуя «обоснованного сочетания при определении национальной принадлежности лица соответствующего субъективного желания с объективными критериями такого определения». Т.е., видимо, если представителю ФМС, которому закон предоставляет права реализовывать этот принцип, лицо кандидата получить определенную национальность при выписке внутреннего паспорта покажется не соответствующим сложившимся у него критериям национальной принадлежности, он вправе отказать в самоидентификации обратившемуся гражданину, отправив его в суд для защиты своего права выбрать национальность (пункт 9 статьи 2 законопроекта).
Критерии национальной принадлежности в законопроекте предлагаются следующие: родной язык, традиции и обычаи, культура, религия, родство и родственные связи, проживание в соответствующей этнокультурной среде, а также иные объективные критерии определения национальной принадлежности, предусмотренные федеральным законом.
Вся процедура простановки в паспорте сведений о национальности основана на том, что таковая будет указана в свидетельстве о рождении, и решение родителей о национальности ребенка при желании указать иную национальность надо будет оспаривать в суде.
Предполагается, что отметке о национальной принадлежности в паспорте будет присвоен индивидуальный регистрационный номер, а для каждого гражданина будет изготовлено загадочный индивидуальный штамп (клише) отметок о национальной принадлежности, который будет храниться в органе ФМС, которую параллельно хотят ликвидировать. Кстати, зачем этот индивидуальный штамп нужен, кроме разовой простановки в паспорте, из текста законопроекта не ясно. Изготовляться он будет, естественно за счет заявителя – лица, решившего увековечить свою национальность. Процедура установления национальности – многоуровневая, с заявлениями, рассмотрением, оплатой и прочее, и предусматривает принятие постановления правительства, может быть – и не одного.  
Инициатор закона почему-то считает, что «известно, что в рамках существующего гражданского оборота национальная принадлежность ребенка по желанию его родителей (или единственного родителя) в соответствии с законодательством Российской Федерации об актах гражданского состояния (Федеральным законом от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния» и другими нормативными правовыми актами) уже указывается, - поэтому представленный законопроект логически встраивает данное положение в более комплексное законодательное регулирование соответствующих правоотношений». Интересное утверждение. В главе II этого закона, определяющей содержание записи о рождении ребенка и сведения, вносимые в свидетельство о рождении, упоминается только национальность родителей или одного из них, а о национальности ребенка нет ни слова.
Внимательно изучив закон, пояснительную записку и прочие приложенные к нему документы, ответ на вопрос «зачем это нужно?» я так и не нашел. В очередной раз удивившись тому, что с законодателями мы, наверное, читаем разные законы. Где они берут свои, я не знаю.
И последнее. Национальность – специальная категория персональных данных. Каждое снятие копии с паспорта, где указана национальность, потребует получения согласия субъекта в письменной форме, предусмотренной частью 4 статьи 9 закона «О персональных данных».
Ох, повеселимся.