Проведение общероссийской конференции-семинара "Персональные данные" под эгидой компании "Гротек" и Межрегиональной общественной организации "Ассоциация защиты информации" всегда вызывает живой интерес у специалистов по защите информации. 

Проект программы мероприятия, любезно предоставленный организаторами, демонстрирует стремление охватить все категории специалистов и дать им возможность обсудить наболевшие вопросы, связанные с обработкой персональных данных.
Но, на мой взгляд, делить программу конференции-семинара "Персональные данные" на потоки по степени подготовленности к реализации Федерального закона "О персональных данных" нецелесообразно. Специалистам более интересны "продвинутые" вопросы, и в этом "продвинутом" потоке смешаются все операторы, будет чересчур много "узких" вопросов, которые не всем одинаково интересны. Да и сам принцип деления на тех, "кто все выполнил" (сомнительно), "кто вообще ничего о законе не знает" (а есть ли такие?) и "морально готовых к выполнению, но им нужен толчок" (от кого?), - содержит спорные вопросы.

Думаю, правильнее было бы делить на потоки в зависимости от направления деятельности: операторы кредитно-финансовых организаций, операторы телекоммуникационных систем, другие операторы персональных данных (страховщики, учреждения образования, здравоохранения и т.п., в зависимости от кворума). Так и интеграторам с разработчиками легче будет распределяться по секциям — по интересам, кто с кем больше работает. Можно сделать дополнительно одну секцию типа "ликбеза" — для всех желающих, если в процессе опроса потенциальных участников выявится необходимость в организации такой секции.

Предлагаю оставить прошлогоднюю схему организации конференции-семинара, как уже обкатанную и, на мой взгляд, достаточно оптимальную: общая часть (ознакомительно-приветственная), круглые столы по секциям — по направлениям деятельности, и потом для всех — круглый стол с регуляторами. Регуляторов, думаю, следует приглашать всех (Роскомнадзор, ФСТЭК России, ФСБ России) — вопросов к ним, уверен, опять будет много, что связано с оставшимися неопределенностями в применении самого Федерального закона «О персональных данных» (будут ли внесены Государственной думой России изменения в закон и какие?), подзаконных актов и нормативных документов регуляторов.

Обязательно, если будут изменения в Федеральный закон «О персональных данных», надо их прокомментировать. Также неплохо было бы озвучить все последние изменения в нормативных документах регуляторов (приказ ФСТЭК от 5 февраля 2010г. № 58, решение ФСТЭК от 5 марта 2010г., обещаемые летом — осенью изменения). К сожалению, создатели документов любят различного рода неясности и недоговоренности, поэтому хотелось бы получить от регуляторов четкие пояснения по применению самого закона и требований регуляторов.

Докладчики в секциях, естественно, должны быть высококвалифицированными специалистами в своей сфере. Для кредитно-финансовых организаций было бы интересно пригласить Курило А. П., заместителя начальника Главного Управления безопасности и защиты информации Банка России: думаю, что к этому времени ситуация с выполнением требований Федерального закона «О персональных данных» для организаций кредитно-финансовой сферы и вопросы их взаимодействия с регуляторами станут полностью понятными и Андрей Петрович сможет нас об этом проинформировать.

К слову, сейчас широко обсуждается вопрос о внедрении стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» (СТО БР ИББС-1.0-2008), который в целом соответствует требованиям методических документов ФСТЭК.

В любом случае, неясные вопросы, связанные с обработкой персональных данных, пока еще остаются, и многие операторы ПД не торопятся выполнять все требования регуляторов, несмотря на проводимые проверки.

Остается надеяться, что ко времени проведения конференции ситуация прояснится, Государственная дума внесет необходимые изменения в закон, сделав его адекватным, а регуляторы окончательно определятся с требованиями к системам обработки персональных данных.