На вопросы редакции отвечает Андрей Петрович Курило, заместитель начальника ГУБЗИ Банка России.
— Андрей Петрович, как Вы оцениваете роль башкирской конференции в развитии систем защиты данных?
— На фоне большого числа конференций по тематике информационной безопасности, проводимых в России, ощущается дефицит конференций с "отраслевым", как раньше говорили, уклоном. Башкирская конференция является в этом случае одним из счастливых исключений, так как изначально ориентирована на интересы банковского сообщества, и в преобладающем числе ее участниками являются представители кредитных организаций. Она представляет собой место, где работники банковской безопасности, то есть практики, могут на профессиональном уровне обменяться мыслями, которые их волнуют.
Нужно сказать, что совершенствование систем безопасности — процесс объективный и прерываться не будет. Он развивается под воздействием многих факторов, начиная от фундаментального влияния государства на бизнес и заканчивая угрозами криминального характера. Конференция является неким вспомогательным инструментом, способствующим процессу развития систем безопасности финансовых организаций в этих непростых условиях. Каким образом? Путем доведения до широкого круга специалистов лучших практик построения систем и обмена опытом в части решения проблем ИБ, которых, как мы знаем, достаточно много.
— Как Вы думаете, какие вопросы, возникшие после принятия ФЗ РФ "О персональных данных", обязательно должны быть освещены на конференции?
— Здесь следует остановиться на нескольких моментах.
1). Весь 2009 год прошел под флагом подготовки к соответствию требованиям 152-ФЗ. В кругах специалистов развернулась острая дискуссия о путях, способах и возможностях реализации требований ФЗ и подзаконных актов регуляторов.
Ситуация усугубилась тем, что уже в 2009-м регуляторы вышли на проверки в банки. В 2010-м, несмотря на перенос сроков, эти проверки продолжатся. Проводятся они весьма жестко, с использованием мер административного преследования руководителей кредитных организаций. Тем самым открылась новая страница в истории взаимоотношений государства и бизнеса, и эта ситуация – реальность, требующая адекватной реакции бизнеса. Я полагаю, что бизнес не заинтересован в усложнении взаимоотношений с государством. Он заинтересован в обратном — в установлении четких и ясных правил взаимоотношений. Такими правилами могут стать Стандарт Банка России отраслевого применения "Информационная безопасность организаций банковской системы" и рекомендации по приведению банков в соответствие с требованиями ФЗ "О персональных данных". Именно эти документы и механизм взаимодействия банков и регуляторов предполагается обсудить на предстоящей конференции в числе прочих важных вопросов.
2). Необходимо отметить, что на днях в Государственную Думу внесен проект нового закона: "Об электронной подписи". Проект новый, по сравнению с действующим ФЗ — весьма расширенный, и естественно, его принятие вызовет определенные последствия в практической среде. Все это требует спокойного и вдумчивого обсуждения.
— Как Вы полагаете, какой позитивный опыт приведения российских стандартов информационной защиты банков в соответствие с международными нормами должен быть продемонстрирован на этой конференции?
— Вопрос стоит острее. В стране вводится фактически новый закон "О техническом регулировании", существенно упрощающий принятие соответствующих технических регламентов, а мы знаем, что это — документы, обязательные к исполнению. Все в этом случае зависит от квалификации писавшего регламент и эксперта, его читавшего и анализировавшего. Если этого не будет, можно наломать дров больше, чем с персональными данными.
Закон фактически вводит в действие в обеспечение этих регламентов зарубежные стандарты и своды правил, а они часто не соответствуют отечественным, особенно в области безопасности. Возможно, что перед нами встанет крайне сложная задача адаптации к стандартам ISO (ISO/MЭК). Стандарт Банка России — шаг в этом направлении, позволяющий существенно ускорить эту адаптацию.
Этот круг вопросов также планируется рассмотреть во время работы башкирской конференции.
Позитивный опыт приведения российских банков в соответствие с требованиями стандартов и опыт установления соответствия между зарубежными и отечественными стандартами будут также проанализированы на конференции.
— Андрей Петрович, кто явился инициатором организации конференции в Башкортостане, откуда появилась идея проведения этой конференции и почему именно в Башкортостане?
— Вопрос состоит из ряда ответов, даю их по порядку.
1) Мы еще помним, как ведущие ученые нашей страны в далеких 1960-70-х проводили выездные школы-семинары. Проходило это, как правило, в красивых местах, по предпочтениям: те, кто любит альпинизм, встречались в альплагерях, горные лыжи – на горнолыжных базах, походы - в красивых местах, в основном - у речки. Это была удачная практика. Мероприятия эти отличались высокой эффективностью.
2) В стране проходит очень много общих мероприятий по информационной безопасности, но к сожалению, как уже говорил, очень мало специализированных, отраслевых.
А на отраслевое мероприятие собираются в основном практические работники. Оно ценно в основном для них. В банковском секторе это остро ощущается, дискуссия по проблеме ПД, возникшая в прошлом году, это показала.
3) Время проведения – зима - как наиболее удобное. Место проведения должно быть красивым, комфортабельным, с возможностью активного зимнего отдыха (здесь рядом - горнолыжный центр ММК).
4) Побывав насколько лет назад на Урале, в Башкортостане, я понял, что конференцию нужно проводить именно там. После этого осталось только внести предложение.