Закон о персональных данных и розничный бизнес банков Закон о персональных данных и розничный бизнес банков Олег Подкопаев, CIO 18 сентября, 2009

Русфинанс – краткая справка Состоит из Русфинанс Банка, ООО «Русфинанс» и банка СКТ Выполняет функцию основной базы группы Societe Generale по потребительскому кредитованию в России Группа специализируется на потребительских кредитах, выдаваемых через сеть коммерческих партнеров (сети розничных магазинов и авто дилеров), а также прямые займы по телефону, почте или через Интернет Насчитывает более сотрудников и обслуживает более 3 миллионов клиентов в 68 регионах России Русфинанс занимает - 2-е место по объему выданных автокредитов* - 1-е место по автокредитованию в автосалонах* - 3-е место по потребительскому кредитованию в точках продаж** * РБК Daily, март 2008 ** Финанс., январь 2008

Историческая справка 1981 год - Совет Европы принял Конвенцию «О защите личности в связи автоматической обработкой персональных данных» 2001 год – Россия присоединилась к Конвенции Совета Европы 2005 год - подписан Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») 2006 год - подписан Федеральный закон от ФЗ «О персональных данных». К 2006 году почти вся Европа, многие страны Азии, Америки и даже Африки имели аналогичные законы. В чем Россия пошла дальше других стран, так это в разработке технических регламентов и требований, которые транслируют положения верхнего уровня в конкретные советы и рекомендации, обязательные к исполнению.

Нормативная база Приказ ФСТЭК РФ 55, ФСБ РФ 86, Мининформсвязи РФ 20 «Об утверждении порядка проведения классификации информационных систем персональных данных» от Документ ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от Документ ФСТЭК «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных персональных данных» от Документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» от Документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от Постановление Правительства РФ 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от Постановление Правительства РФ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от Федеральный закон «О персональных данных» 152-ФЗ от

Классификация систем ПД Категории персональных данных 1 категория - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. 2 категория - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 3 категория - ПДн, позволяющие идентифицировать субъекта персональных данных 4 категория - Обезличенные и (или) общедоступные ПДн Классификация в зависимости от объема обрабатываемых персональных данных 1 Свыше субъектов ПДн субъектов ПДн в рамках субъекта РФ или РФ в целом 2 От 1000 до субъектов ПДн субъектов из отрасли экономики ПДн субъектов из органа госвласти ПДн субъектов проживающих в пределах муниципального образования 3 менее 1000 субъектов ПДн субъектов в пределах одной организации Объем ПД 1Объем ПД 2Объем ПД 3 Категория ПД 1К1 Категория ПД 2К1К2К3 Категория ПД 3К2К3 Категория ПД 4К4

Риски розничных банков Юридические Операционные Коммерческие Финансовые Кредитные Технологические

Действия операторов ПД Юридические процедуры: Приведение внутренней нормативной базы и перестройка технологических процессов в соответствии с требованиями законодательства и нормативных документов Уведомление уполномоченного органа (Россвязькомнадзор) о намерении осуществлять обработку персональных данных. Получение согласия субъектов персональных данных на обработку их персональных данных. Аттестация по требованиям безопасности (получение аттестатов на системы и помещения) Получение лицензий ФСТЭК и ФСБ Технические процедуры: Идентификация информационных систем персональных данных. Формирование перечня ПДн, включая причины их обработки Классификация информационных систем персональных данных Построение модели угроз и определение необходимых мер по защите Документирование информационных систем Реализация системы защиты персональных данных

Оценка готовности к выполнению требований федерального закона «О персональных данных» Результаты исследования Сентябрь 2009 года

Оценка готовности к выполнению требований федерального закона «О персональных данных»9 © 2009 ЗАО «Делойт и Туш СНГ» Цели и задачи исследования В ходе исследования стояла задача получить ответы на следующие основные вопросы: Какова ситуация с защитой персональных данных в крупнейших российских организациях в настоящее время? С какими трудностями сталкиваются организации в процессе совершенствования своего подхода к хранению и обработке персональных данных в целях соблюдения требований законодательства? Какие финансовые и временные ресурсы необходимы для выполнения требований Федерального закона «О персональных данных»?

Оценка готовности к выполнению требований федерального закона «О персональных данных»10 © 2009 ЗАО «Делойт и Туш СНГ» Респонденты Исследование проводилось среди российских организаций и российских подразделений международных организаций, занятых в отраслях, связанных с обработкой значительного количества персональных данных: Телекоммуникационные компании, хранящие и/или обрабатывающие данные более чем 10 млн. субъектов персональных данных, 10%. Финансовые организации, хранящие и/или обрабатывающие данные 1 млн. 5 млн. субъектов персональных данных, 33%. Остальные респонденты, хранящие и/или обрабатывающие данные менее чем 500 тыс. субъектов персональных данных, 52%.

Оценка готовности к выполнению требований федерального закона «О персональных данных»11 © 2009 ЗАО «Делойт и Туш СНГ» Текущее состояние 1. Менее половины респондентов уверены в том, что существующие средства информационной безопасности позволяют надежно защитить персональные данные.

Оценка готовности к выполнению требований федерального закона «О персональных данных»12 © 2009 ЗАО «Делойт и Туш СНГ» Оценка нормативной базы 2. Подавляющее число респондентов признают важность законодательного регулирования в области персональных данных, однако считают многие требования Закона неясными, избыточными или спорными.

Оценка готовности к выполнению требований федерального закона «О персональных данных»13 © 2009 ЗАО «Делойт и Туш СНГ» Влияние на основную деятельность 3. Большинство респондентов не видят в выполнении требований Закона прямой практической пользы для своих клиентов и опасаются повышения стоимости предоставляемых услуг.

Оценка готовности к выполнению требований федерального закона «О персональных данных»14 © 2009 ЗАО «Делойт и Туш СНГ» Текущие показатели 4. Выполнение требований Закона рассматривается на данный момент скорее как задача службы информационной безопасности, а не всей организации в целом, что делает степень готовности недостаточно высокой.

Оценка готовности к выполнению требований федерального закона «О персональных данных»15 © 2009 ЗАО «Делойт и Туш СНГ» Планы 5. Недостаточное количество специалистов, а также существенные финансовые и временные затраты делают маловероятной готовность большинства организаций к выполнению требований Закона до 1 января 2010 года.

Закон о персональных данных и розничный бизнес банков Закон о персональных данных и розничный бизнес банков Олег Подкопаев, CIO 18 сентября, 2009