Третья Конференция Персональные данные

 5 октября 2010 года, Москва, Рэдиссон САС Славянская

 


Организаторы: журнал
 Information Security  компании «Гротек»,
 Ассоциация защиты информации

ICQ-консультация по вопросам участия и партнерства

Ирина Сурина
Екатерина Кузьмина







Вызов консультанта








Конференция "Персональные данные - 2009": мнения участников



Станислав Любушкин, государственный инспектор РФ за связью и информатизацией, Управление Роскомнадзора по Москве и Московской области
На данном этапе тема персональных данных действительно актуальна, потому что осталось всего три месяца до времени Ч, когда в полном объеме вступит в силу закон ФЗ-152 "О персональных данных".
Что касается мероприятий по контролю, которые мы сейчас осуществляем, то уже 30% операторов провели классификацию. Еще 30% занимаются этим вопросом: нам показывали приказы о том, что создана специальная комиссия, проводятся мероприятия по оценке, по составлению моделей угроз. При этом остальные операторы об этом еще даже не задумывались, что, безусловно, неправильно - ведь это объемный и сложный процесс. Крупные компании будут очень долго проводить оценку своих систем и могут не успеть к сроку. Что чревато последствиями.
Что касается документации и некоторых организационных мер, у Роскомнадзора существует практика устранения нарушений в ходе проверки, когда мы даем операторам еще немного времени. Но технической стороной вопроса будет заниматься ФСТЭК, и я не думаю, что они будут применять такую же практику. Да и проверяемые ими вопросы не решить в течение проверки, которая в среднем идет около 20 дней. Так что самое время вплотную заняться этим вопросом. Поэтому я считаю, что данная конференция весьма актуальна и своевременна.


Юрий Надеждин, ведущий специалист департамента мониторинга корпоративных рисков, Объединенная нефтяная группа
Мероприятие, безусловно, очень актуально. С 1 января ужесточаются требования к защите персональных данных, следовательно, решения необходимы, тем более, пока все, по большому счету, пущено на самотек. Поэтому важно разобраться в требованиях регуляторов и найти какое-нибудь недорогое эффективное решение, удовлетворяющее требованиям Роскомнадзора.
Хотелось бы пообщаться с теми людьми, которые имеют определенный опыт взаимоотношений с надзорными органами.
Наш опыт в сфере защиты персональных данных в основном пока связан с рядом организационных мер, а не с технической организацией. Т.е. тот необходимый минимум, который определен законом,  выполнен. Но надо двигаться дальше. Поэтому хотелось бы на этой конференции найти недорогое оптимальное решение, которое мы могли бы реализовать в нашей компании.

 

Павел Мельников, начальник отдела информационной безопасности банка HSBC
Тема защиты персональных данных для нас сейчас очень актуальна. 1 января 2010 г. не за горами. К этому моменту наша информационная система должна быть приведена в соответствие с ФЗ-152.
В первую очередь нам интересно, насколько возможно провести комплекс работ по приведению наших систем в соответствие с законом собственными силами или нам все же придется обращаться к операторам. Хочется понять, насколько необходимо применение сертифицированных средств защиты в наших информационных системах. Наш банк имеет большое количество систем, расположенных за границей (В Великобритании, США), поэтому ля нас очень актуальна трансграничная передача данных, а также вопрос последующей аттестации наших систем.
Мы уже провели анализ нормативной базы, проработали сам закон "О персональных данных", исходящие из него постановления, требования ФСТЭК и ФСБ России, издали соответствующие приказы. Мы поняли, что объем работ очень велик и постарались привлечь к работе наших юристов. Позиция наших юристов, как и многих юристов иностранных компаний, очень интересна: все считают, что пока технические требования не опубликованы в ГОСТах, организации и не должны им соответствовать. Поэтому мы ожидаем появления новой версии документов ФСТЭК. Мы делаем все от нас зависящее, чтобы донести до нашего руководства всю важность выполнения требований ФЗ-152, неотвратимость ответственности в случае их нарушения. Надо сказать, что мы достигли в этом определенных результатов.
Мероприятие полезно, прежде всего, тем, что в таком большом круге профессионалов есть возможность получить практический опыт. Это касается не только прохождения проверок регуляторов, но и самого подхода к реализации требований закона о распространении данных  и информационной безопасности.
Думаю, самой важной будет вторая часть конференции, когда регуляторы будут отвечать на наши вопросы. Это самое интересное, особенно в свете выхода новой версии требований ФСТЭК России.

 

Геннадий Емельянов, председатель МОО "АЗИ"

Главный вопрос мероприятия: как оператор персональных данных встретит новый год? Будет ли он готов к проверкам? Необходимо предпринять соответствующие организационно-технические меры для защиты персональных данных. Но, к сожалению, не все преисполнены такой решимости.

Надеюсь, что участники получат ответы на свои вопросы. Во время вступительного слова я уже говорил: давайте не уповать на перенесении сроков - этого не будет. И давайте не ссылаться на дороговизну. Тех, кто предлагает свои решения, я призываю не завышать цены, потому что сейчас денег и у ассоциаций, и у компаний недостаточно.




Николай Ефимкин, менеджер по работе с ключевыми заказчиками, Нетворк Эпплайанс (Нидерланды)
Тема персональных данных сейчас одна из наиболее актуальных. Наша компания занимается производством систем хранения данных, и нам нужно знать мнение заказчиков. Именно поэтому я здесь.
Я всегда посещаю мероприятия компании "Гротек". Здесь все отлично структурировано, разделено по темам и грамотно организовано.

 

Юрий Грозин, заместитель IT-директора, ГК "Виктория"
На конференции я ожидаю услышать ответы на те вопросы, которые беспокоят многих, в том числе и меня, как лицо, отчасти принимающее решения, связанные с выполнением требований ФЗ- 152.
Хочется, конечно, охватить все, что заявлено в программе, хотя, я понимаю, что это невозможно. Из реальных задач для меня – отчасти ознакомиться с общей проблематикой вопроса, а также с опытом тех, кто уже проходил проверки, кто успел привести свои информационные системы в соответствие с ФЗ "О персональных данных".
Мероприятие полезно именно тем, что здесь происходит обмен опытом. Пообщавшись с коллегами, можно решить часть проблем, которые самостоятельно мы пока решить не можем.
Желаю организаторам проводить и проводить подобные мероприятия.

 

Владимир Тихонов, информационный центр персонифицированного учета, Пенсионный фонд РФ
Основная масса информации в пенсионном фонде – именно персональные данные. Поэтому мы и решили посетить данное мероприятие. Хотим ознакомиться с передовым опытом защиты персональных данных, получить какие-то практические навыки. Наиболее актуальным для нас вопросов на сегодняшний день является аттестация информационных систем
Конференцией я доволен. Сейчас присутствовал в зале "Пушкин", там действительно выступают практики. И это интересно.

 

Елена Карпова, начальник отдела маркетинга, фирма "АНКАД"
Конференция затрагивает самые актуальные на сегодняшний день вопросы в области зашиты персональных данных. Здесь очень много именно операторов, которые занимаются  обработкой и защитой персональных данных.
Думаю, что в процессе конференции сами операторы зададут те вопросы, которые их сегодня интересуют. В то же время мы, как фирма разработчик/производитель решений по защите персональных данных, можем предложить свои решения.
Наиболее актуальные темы мероприятия - документальное и юридическое оформление защиты персональных данных, а также практика.
Среди сильных сторон данной конференции – организация встреч и общения разработчиков и поставщиков средств информационной безопасности с оператором, которому нужны наши средства и услуги.
Организаторам могу пожелать, чтобы и дальше продолжали проводить подобные конференции, причем, наверное, и более масштабные, учитывая рост интереса к данной тематике.

 

Сергей Лачугин, руководитель отдела информационной безопасности, компания "Северо-западный телеком", Санкт-Петербург
Защита персональных данных для операторов связи - вопрос очень важный, поскольку мы обрабатываем данные об абонентах, соединениях, платежах и т.д. Это информация конфиденциального характера и, соответственно, операторы должны жестко выполнять требования законов "О связи" и "О персональных данных".
Нам интересно, каким образом наша работа будет коррелироваться с тем, что мы услышим на конференции, поскольку вопрос с точки зрения практической реализации не простой. Хочется услышать, в каком направлении будет развиваться нормативная база, какие сертифицированные средства защиты будут рекомендованы.
"Северо-западный Телеком" - один из крупнейших провайдеров северо-запада. Мы активно развиваем все услуги коммуникации, в том числе для корпоративных клиентов (Интернет, IPТV,SIP-телефония). В принципе, все, что связано с темой конференции, нам интересно. Актуальными, в частности, являются вопросы уточнения и доработки требований, в том числе со стороны ФСТЭК и ФСБ России, а также и нашего министерства.

 

Иван Луконин, заместитель начальника отдела эксплуатации и сопровождения программных продуктов ИСУ ВЦ, Саратовский государственный университет
Принять участие в данном мероприятии мне рекомендовали представители силовых ведомств, которые уже участвовали в предыдущей конференции "Персональные данные". Мне сказали, что конференция будет заточена на практическое решение задач.
Наш университет уже давно зарегистрирован в качестве оператора, ему присвоена категория. На данном этапе уже разработан план мероприятий и началось их осуществление.
Интересны темы, связанные с моделями угроз, вопросы о том, как грамотно описать класс информационных систем персональных данных, какими путями его можно уменьшить.
Хочется послушать докладчика из Курского университета (зал "Чехов"). Как раз его выступление посвящено защите персональных данных в образовательных учреждениях. Очень интересно будет с ним пообщаться.

 

Илья Митричев, заместитель генерального директора РФК
Наша компания занимается системами дистанционного обслуживания для банков, в состав которых входит и обработка персональных данных.
Для любого банка первый вопрос такой: если я не выполню требования нормативных актов, сколько мне придется за это заплатить? Пока на этот вопрос никто не ответил. Вот и хотелось бы на конференции получить ответ. Наша задача, как консалтеров, - понять, что мы реально можем сказать нашим клиентам, куда им нести деньги.
Хочу поблагодарить организаторов за собранную на мероприятии аудиторию: здесь есть представители компаний, которые занимаются технической сферой, есть те, кто оказывает юридические услуги или предлагают общий консалтинг или решение узких конкретных задач. Если заказчик задаст мне тот или иной вопрос, я просто смогу посмотреть состав участников и обратиться к соответствующим специалистам.
Надеюсь, что данная конференция поможет популяризации всех вопросов, связанных с защитой персональных данных. Информационный вакуум вынуждает нас заниматься "ликбезом" на встречах с заказчиками, объяснять азы. А теперь можно будет просто направить их на соответствующий ресурс мероприятия, пояснить, к кому с каким вопросом можно обратиться.
Кроме того, данное мероприятие – это возможность общения с заказчиками. Также надеюсь, что определенная информация будет доведена до регуляторов.
Организаторам хотелось бы посоветовать проводить отраслевые мероприятия такого рода, ориентированные на отдельные конкретные сферы российской экономики (для телекоммуникационных компаний, банков, промышленных организаций), заточенные именно на проблемы и задачи той или иной отрасли.


 
Николай Атаманенко, директор белгородского филиала ЦНПО "Каскад"

В настоящее время имеется множество организационно-правовых проблем и вопросов, много неясных моментов в законах. На конференции хочется на все эти вопросы получить максимально полные ответы, на основании которых можно будет предпринять реальные действия в своей компании и подтолкнуть к соответствующим шагам партнеров.


 



Павел Ерошкин, начальник информационной безопасности, Техносерв

В конференции мы участвуем, во-первых, потому что она поддерживает один из наших брендов – Stonesoft, во-вторых, хотим принять участие в обсуждении интересной для нас темы.

Наиболее актуальный для нас вопрос – техническая защита данных. Кроме того, есть вопросы к представителям ФСТЭК.

 

Виталий Иванов, преподаватель-эксперт Академии Айти
Я провожу курсы по безопасности вообще и персональным данным в частности, поэтому на этой конференции хотелось бы услышать о каких-то новых веяниях, особенно от регуляторов.
Наиболее актуальные темы – практическое применение защиты персональных данных, предлагаемое системными интеграторами, поставщиками различных решений, а также сложные вопросы в законодательстве.
Конференция полезна тем, что здесь предлагаются решения различных проблем, связанных с защитой персональных данных, которые возникли и с принятием закона, и подзаконных актов, так как здесь много неясностей, неточностей, несогласованностей.

 

Антон Фишман, менеджер проекта ЗАО "Бизнес Компьютер Центр"
Наиболее актуальные темы конференции - практическая защита персональных данных, классификация персональных данных, а также вопрос, что можно успеть до 1 января 2010 г.
На сегодняшний момент наша компания-интегратор реализует несколько комплексных проектов, некоторые из которых уже закончены, в том числе в компаниях, где обрабатываются персональные данные классов К1 и К2.
Конференция хороша тем, что здесь собираются только те, кому это интересно, люди, готовые к дискуссиям и общению – "случайных" участников здесь нет.

 

Виктор Минин, Ассоциация защиты информации, Союз IT-директоров России
"Персональные данные" - это традиционная ежегодная конференция компании "Гротек". Здесь можно пообщаться с новыми людьми, познакомиться с потенциальными заказчиками да и вообще поговорить с теми, с кем сложно встретиться в обычные дни.
Наиболее актуально, на мой взгляд, обсуждение организационных вопросов, т.к. все практики в части требований ФСТЭК существуют давным-давно и всем известны.

 

Дмитрий Никитин, ведущий аналитик компании ЕВРАСС.ИТ
Конференция актуальна именно сейчас. Срок выполнения требований по персональным данным уже на подходе. 91 день остался до прихода регуляторов. Поэтому мы не пропускаем ни одной подобной конференции.
Наиболее интересен опыт успешной практической реализации каких-то конкретных проектов. Важна уже не теория, а практика.
Организаторам спасибо за высокий уровень мероприятия, за адекватный состав участников: всех в меру – и операторов, и коммерческих структур, и представителей регуляторов.

 

Михаил Симаков, администратор информационной безопасности, КБ"Экспресс"
Наш банк сейчас плотно занимается организацией систем защиты персональных данных. Мы находимся на определенном этапе выполнения этой задачи, и хотелось бы уточнить ряд юридических и технических вопросов, а также пообщаться с другими компаниями, понять, как обстоят дела у них.
Сегодня наиболее актуальна тема взаимодействия с регуляторами, а также технические аспекты защиты персональных данных.
Наш банк одним из первых в Тульском регионе подал заявку в Роскомнадзор, мы уже прошли проверку, теперь осуществляем закупку оборудования, разрабатываем системы, прорабатываем технические и юридические вопросы защиты персональных данных.
На конференции я узнал о компаниях, которые занимаются защитой персональных данных, ознакомился с опытом операторов. Очень полезно живое обсуждение на брифинге регуляторов.
С другой стороны, на мой взгляд, график деловой программы слишком плотный – не хватает времени на доклады и свободное обсуждение.

 

Андрей Филимонов, начальник административно-правового управления Санкт-Петербургского государственного политехнического университета
В конференции я принял участие, поскольку было заявлено, что здесь будет дан пошаговый алгоритм выстраивания защиты персональных данных, проведения организационных мероприятий и технических средств.
Приехал я не один, а с главным юрисконсультом университета. 1 января 2010 года на носу, все ожидают, что будет дальше, и хотят принять те меры, которые еще можно принять за оставшееся время. Мы, естественно, подготовку уже начали: выпущена часть соответствующих приказов, подготовлен проект положения о защите персональных данных (ведь у нас есть и сотрудники - и это не одна тысяча людей, еще больше студентов, данные о которых обрабатываются в разных местах). До 1 января мы планируем успеть привести свои системы в соответствии с законом.

 

Олег Фрунза, компания "Интеграл Б", клуб IT-директоров Санкт-Петербурга
В конференции я решил принять участие исключительно потому, что нас, так же как и других операторов, 152-ФЗ обязывает принимать необходимые меры по обеспечению безопасности персональных данных. Соответственно, хотелось бы узнать, какие есть подводные камни в решении данного вопроса, какие уже есть решения на рынке и что можно успеть сделать в кратчайшие сроки (как обычно, "надо было вчера").

 

Ирина Баймакова, эксперт ООО "Научно-производственный центр 1С"; Алексей Рогачев, заместитель генерального директора ООО "Научно-производственный центр 1С"
Нам, как поставщикам программных продуктов, было интересно общение и налаживание контактов с различными категориями организаций (операторами, интеграторами, регуляторами), вовлеченных в одну общую для всех проблему защиты персональных данных. Таким образом, хотим отметить, что особая ценность проведенной конференции - широкий спектр участников, что дало возможность установления контактов с потенциальными партнерами. Кроме того, данная конференция для нас (как для разработчика ПП) представляет интерес в части требований, предъявляемых ФЗ № 152 в части доработки наших ПП, их сертификации и выработки рекомендаций для партнерской сети.
Организатором хотим пожелать более четкой организации проведения секций (соблюдение времени проведения мини-семинаров, порядка выступающих, совершенствование процедуры учета присутствующих в залах), а также изменения процедуры питания.

 

Алексей Ковальчук, вице-президент, советник Председателя Правления Банковского Холдинга "АКЭФ"
Хочется поблагодарить организаторов за конференцию "Персональные данные". Отличительными чертами проводимых компанией "Гротек" мероприятий являются великолепная организация, профессионализм докладчиков и высокий уровень представителей регуляторов.

 

Александр Захаров, начальник управления НПФ "Социум"
Конференция "Персональные данные", как и все проведенные компанией "Гротек" мероприятия, отличается прекрасным подбором участников, актуальностью тем для обсуждения, конструктивной атмосферой для завязывания контактов с будущими партнерами.
Еще год назад профессиональный ведущий подобных мероприятий – директор по развитию компании "Гротек" Александр Власов – обратил внимание "обывателей" на серьезную проблему 2010 года – начало периода тирании "Троекнижия" в финансовом секторе нашего государства.
Наиболее интересными, на мой взгляд, были выступления практиков разработки линеек защиты Евраас.ИТ, Leta IT-company и Oracle.
Однако, для практика ИБ любой компании или фонда очень интересны и определенные "скрытые моменты" представления разработанной системы защиты на проверку контролирующему органу. В нашем случае слушатели получили систематизированное, но не полное впечатление о строгости проводимых мероприятий и не смогли в полной мере оценить уровень риска.

 

Вадим Шноль, заместитель генерального директора по качеству компании HRS
Очень полезно было увидеть на конференции представителей практически всех регулирующих органов, услышать их прогнозы на будущее. Порадовал тот факт, что предвидится обсуждение отраслевых стандартов по защите ПД. Потенциальная польза от введения типизированной модели угроз и защиты очень велика. Однако, насколько я понимаю, далее есть высокая вероятность того, что их введение застрянет на уровне отраслей (министерств и объединений операторов – типа АРБ, АСР, РГА…)
Также было очень полезно пообщаться с компаниями, уже прошедшими проверку Роскомнадзора (одна презентация и одна беседа в кулуарах).
И еще я получил удовольствие от неформального общения по окончании официальной части.
Все было организовано очень профессионально. Из идей на будущее: может быть, зарегистрировавшимся участникам предоставлять доступ к списку всех участников для поиска единомышленников или знакомых? С другой стороны, это есть опубликование их персональных данных…
Что касается опыта нашей компании в сфере защиты ПДн – пока мы в самом начале этого пути…. Очевидно, что любая здравомыслящая компания, которая дорожит своим имиджем, принимает какие-то меры для защиты конфиденциальных данных. Проще говоря, любой (априори разумный и ответственный) руководитель составляет в голове классификацию данных, модель угроз и предпринимает соответствующие меры.

 

Владимир Маргач, Администрация г.Серпухов
На сегодняшний день, как первая, так и вторая Всероссийские конференции-семинары на тему "Персональные данные", организованные компанией "Гротек", актуальны.
Реализация требований ФЗ "О персональных данных" в нашем муниципальном образовании ведется во всех отраслевых и функциональных органах, структурных подразделениях.
Развернута система по защите информации, определено, какую информацию относить к категории персональные данные.
И сейчас встал вопрос об эффективности и надежности этой системы. Что делать, чтобы исключить все предпосылки, которые могут привести к утечке персональных данных? На днях на одном из рынков г. Москвы я видел базу паспортных данных физических лиц на электронном носителе. И это сейчас не редкость.
В настоящий момент наша задача - определить, какие программно-аппаратные  средства применить, чтобы избежать утечки информации персонального характера с рабочих мест.
Очевидно, что именно на рабочих местах накоплены большие массивы персональной информации, и зачастую сотрудники не  всегда готовы обеспечивать ее сохранность.
Необходимо более эффективно и надежно защитить персональный компьютер, локальную сеть в целом от проникновения, включая Интернет.
Надеюсь, ответы мы получим на конференции, а также найдем контакты, наладим связи, которые помогут нам обеспечить сохранность информации на рабочих местах и в целом в муниципальном образовании.

 

Эдуард Сергиенко, главный специалист технического отдела Управления информационной безопасности ОАО "МДМ Банк"
На конференции была предоставлена великолепная возможность обговорить интересующие вопросы, как с докладчиками, так и с участниками мероприятия. Кроме того, я лично убедился в том, что в России ни на законодательном, ни на каком-либо другом уровне никто не может пока что полноценно выполнять требования ФЗ-152 и его подзаконных актов.
Наиболее актуальные темы - опыт успешного прохождения проверок Роскомнадзора, комментарии отдельных статей закона и подзаконных актов.
Я не знаю, делались ли предварительные прослушивания докладчиков, но желательно, чтобы в последующем что-нибудь подобное проводилось. Кроме того, желательно сделать так, чтобы информация в докладах не дублировалась. Это позволит сократить наши временные издержки.
Хотелось бы услышать доклады сотрудников тех компаний, которые У СЕБЯ В КОМПАНИИ реализуют или уже реализовали проекты по защите ПДн (их опыт, неудачи, сложности и т.п.).

 


 

© 2008-2017, ООО "Гротек"

(495) 609-3231 (многоканальный)

ICQ-консультация по вопросам участия и партнерства

Ирина Сурина
Екатерина Кузьмина