пятница, 17 июля 2009 г.

Статья Евгения Царева «Персональные данные. Будни банковской безопасности»


Наткнулся на статью Евгения Царева «Персональные данные. Будни банковской безопасности» (http://www.int-bank.ru/analyst/101/). В ней Евгений затронул ряд актуальных и злободневных проблем, с которыми сталкиваются не только банковские организации, но и большинство операторов других сегментов рынка. Многие операторы впопыхах стараются «латать дыры», а не комплексно подходить к вопросу построения системы защиты ПДн. И это не удивительно, «на дворе» кризис, требования регуляторов далеко не прозрачны и т.п.
«Лоскутные меры», как совершенно справедливо пишет автор, совершенно не гарантируют, что обеспечена безопасность данных. С юридической точки зрения можно постараться решить вопросы, можно привести в соответствие внутренние документы и т.п., но без комплексного подхода к построению всей системы защиты никаких гарантий, что данные будут сохранены никто не даст. Можно как угодно укреплять двери и ставить металлические решетки на окна в комнате, но если в этой комнате нет одной стены (или она фанерная), то не о каких гарантиях того, что через эту стену не произойдет утечка данных, говорить нельзя.
Если бы банки до кризиса озадачились внедрением Стандарта Банка, то в части построения системы защиты ПДн они бы закрыли требования законодательства в этой области процентов на 70. Наиболее оптимальным вариантом для банков было бы построение системы защиты ПДн в рамках внедрения Стандарта Банка России. Надо комплексно подходить к проблеме.
Также полностью согласен с автором, что одним из факторов эффективного выполнения требований законодательства в области ИБ является отсутствие квалифицированных кадров, которые способны разбираться как в ИТ-безопасности, так и в технической защите и еще и иметь знания в области юриспруденции. Мы недавно проводили опрос среди представителей банков и большинство из них ответило, что препятствием к соблюдению требований законодательства является отсутствие специалистов в штате и, соответственно, компании вынуждены пользоваться достаточно дорогими услугами интеграторов. Также необходимо учитывать, что обучение специалистов в «экстренном режиме» позволит только с формальной точки зрения закрыть вопрос. Такие специалисты, не обладая соответствующим опытом и навыками, не в состоянии решать вопросы с построением системы защиты.

Комментариев нет:

Отправить комментарий