ТЕМА НОМЕРА БЕЗОПАСНОСТЬ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ Требования PCI DSS и Закона «О персональных данных». <...> В Максим Эмм Директор департамента аудита компании «Информзащита» 2010 г. ожидается реализация не скольких крупных инициатив в ча сти защиты данных. <...> Вопервых, к 1 января 2010 г. должны были быть выполнены все требования законо дательства о защите персональных дан ных в Российской Федерации, а вовто рых, в 2010 г. (последний срок — сентябрь 2010 г.) должны быть выполнены все тре бования стандарта PCI DSS. <...> Что же еще есть общего между этими требованиями индустрии платежных кар точек и требованиями по защите персо нальных данных? <...> В первую очередь, и то, и другое наце лено на снижение рисков информацион ной безопасности, реализация которых наносит ущерб какойто третьей стороне. <...> В случае PCI DSS ущерб может быть на несен банкам, выпустившим пластиковые карточки, и их клиентам, а в случае нару шений Закона о защите персональных данных — непосредственно населению. <...> Нельзя (во всяком случае, долго) об рабатывать данные платежных карточек или персональные данные граждан и не думать об их защите в соответствии с ус ловиями опубликованного стандарта, За кона и подзаконных актов. <...> В этом отли чие данных документов, например, от стандарта Банка России по обеспечению информационной безопасности банков ской отрасли, который до сих пор для коммерческих банков носит чисто реко мендательный характер. <...> Но тут нужно учитывать реалии — регуляторы не могут просто взять и начать всех штрафовать с определенной даты — негативные послед ствия в этом случае могут превысить по ложительный эффект от повышения уровня защищенности данных. <...> На мой взгляд, регуляторы будут ужесточать свои требования постепенно, а не едино временно. <...> Третье — в требованиях индустрии пла тежных карточек и требованиях по защи те персональных данных схож подход к классификации информационных систем по уровню риска <...>