Защита Михаил Емельянников персональных данных в кредитно финансовых учреждениях Вопросы о том, являются ли операторами персональных данных банки, бюро кредитных историй, коллекторские агентства, относятся ли автоматизированные банковские системы (АБС) и системы дистанционного банковского обслуживания (ДБО) к информационным системам персональных данных (ИСПДн), нуждаются ли они в аттестации или сертификации и т. п., уже не стоят. <...> Ответы на них получены и от представителей регуляторов в области персональных данных (ФСБ, ФСТЭК, Россвязькомнадзор), и от банковского сообщества. <...> До «экзаменов» совсем недолго — к 1 января 2010 г. обработка данных в ИСПДн должна быть приведена в соответствие с требованиями законодательства. <...> Масштабы и границы Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются тех нически сложными, требуют высокой квалификации исполнителей, специ альных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные дан ные, так и средств защиты информа ции. <...> Именно поэтому нормативные документы регуляторов предусматри вают лицензирование деятельности операторов персональных данных по технической защите конфиденциаль ной информации. <...> Выходом для бан ковских учреждений, которые по тем или иным причинам не могут или не хотят получать лицензию, является за ключение договора со специализиро ванной организациейлицензиатом на аутсорсинг услуг по технической за щите персональных данных. <...> Независимо от того, кто будет выпол нять работы по обеспечению безопас ности обработки персональных данных, первые шаги оператора достаточно очевидны. <...> Необходимо (1) выявить все информационные системы, обра батывающие персональные данные (ИСПДн), (2) классифицировать все вы явленные ИСПДн и (3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз. <...> При этом <...>