19.11.2009    Москва, КВЦ "Сокольники", конференц-зал павильона №2
Организаторы:        
Поддержка:             
Партнеры:                          

или

Юлия Карцева, icq-консультация по программе и вопросам участия

Андрей Венгерец, начальник отдела АИИО КБ "Сургутский Центральный"

	14.10.2009 Практическая составляющая семинаров должна вытеснить шаблонные презентации и маркетинговые выступления компаний-докладчиков Венгерец Андрей Викторович, начальник отдела АИИО КБ "Сургутский Центральный"

На конференции "ПЕРСОНАЛЬНЫЕ ДАННЫЕ", которую проводила компания "Гротек", узнал о предстоящей в ноябре конференции "FinSec: безопасность финансовых организаций". Поскольку, по моему мнению, на сегодняшний момент для руководителей ИТ-департаментов и юридических служб финансовых организаций проводится катастрофически мало тематических мероприятий, зашел на сайт, посмотрел программу.
Прошла неделя - программа изменилась. Более того, увидел предложение высказать по программе свои замечания.

Честно скажу, лично меня заинтересовал еще и предыдущий тематический состав программы.
Например, там на обсуждение выносились "аутсорсинг и аренда ЦОДов". Сейчас их нет. Объективно говоря, может, их отсутствие даже и к лучшему: для банковского сообщества и финансовых организаций в целом темы "аутсорсинга", "ЦОДов", "провайдеров" сегодня, в свете последних событий, не столь актуальны. Хотя было бы очень интересно узнать, как бороться с рисками взаимодействий с телекоммуникационными компаниями, как оценить стоимость владения непрофильных активов, как управлять подобными рисками и что вписывать в контракт интеграторам, чтобы система работала максимально эффективно и с минимальными рисками. Сейчас, к сожалению (или радости),  этих вопросов тоже в программе нет.

Вижу, что в программе остались "инциденты". 
Задаю себе вопрос, а какие у нас могут быть инциденты? Связанные с системами дистанционного банковского обслуживания? С АТМ-оборудованием, мошенничеством с  картридерами, пластиковыми картами?  Не уверен. Хотя, если подумать, здесь большой пласт проблем можно поднять.
Да, все-таки для меня это однозначно интересно.

Относительно нынешней программы конференции хотелось бы сказать следующее: она составлена очень грамотно, рассматриваются крайне актуальные вопросы, кроме того -  программа имеет практическую сторону как для ИТ, так и для служб, непосредственно ведущих свою деятельность в расследованиях и реагировании на инциденты в ИС.
Но, не смотря на выше сказанное, хочу попросить организаторов все конкретизировать и задать себе и докладчикам следующие вопросы:
"Практический опыт проведения и прохождения аудитов" – какой опыт? Если мы говорим об услугах в подготовке финансовых организаций к прохождению проверок регуляторов, значит, наверное, разговор идет о 152-ФЗ. Конференция для финансовых организаций? Значит, пожалуйста, пригласите компанию-докладчика, которая, благодаря проведенному аудиту исполнила все требования 125-ФЗ, а если таковых нет, значит, это уже не практический, а теоретический опыт прохождения.
Очень хочется поговорить о практических моментах: как компании помог аудит, как интегратор помог решить проблему разногласий законодательства на конкретных моделях бизнес-процессов компании. Предлагаю уходить от шаблонных презентаций и маркетинговых выступлений компаний-докладчиков! Давайте будем честными.

"Стандарты и требования регуляторов, законы: соединить несоединимое!" – вот это очень интересно, но опять же -  к вопросу о конкретике. Форум для финансовых организаций?  Что соединять и с чем, гипотетическую модель 152-ФЗ с российским законодательством? Или конкретно 125-ФЗ и Федеральный закон от 21.11.1996 N 129-ФЗ "О бухгалтерском учете" (ст. 17), где конкретно сказано, что мы обязаны хранить первичные учтенные документы в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет.
 Идем дальше, смотрим перечень типовых управленческих документов (решение от 27.03.2003 Росархив), например, п.№7 "трудовые отношения". Так что же, мы после завершения трудового договора можем удалить персональные данные о сотруднике? Как получить согласие на обработку от субъекта, если уничтожить нельзя, а получить невозможно, так как прошло 10 лет с момента обработки...
Я показал только верхушку айсберга (маленькую). Наверное, обсуждая составляющие программы, стоит не "соединять несовместимое", а попробовать ответить на вопросы: что надо сделать? как подготовится? как найти золотую середину 125-ФЗ? как защитить  бизнес от недобросовестных конкурентов и сделать его устойчивым и инвестиционно-привлекательным? Давайте попробуем разработать конкретный маршрут движения и обозначим на нем все возможные айсберги.

Думаю, что на такой конференции будет полезно и интересно провести "круглый стол" с законодателями и регуляторами, обсудив вышеупомянутые проблемы. Дело в том, что финансовые организации, а особенно банковское сообщество, имеют очень четкое представление, чем защищать и как! Только надо понять, как построить модель всего жизненного цикла, получения, обработки и удаления персональной информации, не нарушая законодательства РФ, но при этом умудриться соответствовать требованиям 125-ФЗ.