06.11.2009

Может ли ФСТЭК проверять вас в 2010-м году?

Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем году?

25 коммент.:

Анонимный комментирует...

ч.5 ст.9 294-ФЗ
"...в сети "Интернет" либо иным доступным способом."

Способ найдем, не переживайте.

ч.6 и ч.7 ст.9 294-ФЗ, это которые "..до 1 ноября.. и до 31 декабря..", вступают в силу с 1 января 2010 года в соответствии частью 2 статьи 27.

Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..

С нетерпением по предстоящим проверкам,
КАРАЮЩАЯ ДЛАНЬ ФСТЭК ;-D

Анонимный комментирует...

Снова вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам, Вы пытаетесь найти мелкие нестыковки в законодательстве.
Если Вы и сумеете доказать непровомерность проверки пришедшего регулятора в силу своей сверхпродвинутости, то 99,999% других операторов этого сделать не смогут. Потому тема не имеет никакого смысла, кроме как пофлудить и поплакаться о тяжелой жизни и о нехороших регуляторах.
Гораздо эффективнее обсуждать такие темы более плотно и приходить к общему пониманию
http://lukatsky.blogspot.com/2009/10/blog-post_03.html

toparenko комментирует...

> Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..

В проекте Минкомсвязи предлагается перенос на 2 года ;)

> вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам

Не наблюдаю готовности регуляторов в осуществлении этого процесса.
Для совместной работы нужна обратная связь с регулятором - а вот именно ее и не наблюдается...

Хотя, IMO, лучше организовать не процесс подготовки к проверкам, а процесс выработки реально работающей системы защиты информации (и не только во области ПДн)...

Анонимный комментирует...

>реально работающей системы защиты >информации (и не только во области ПДн).

Так и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!

Алексей Т. комментирует...

ФСТЭК сможет! Только ему сейчас не до юр и физ лиц, у него своих проверок выше крыши. А по перс данным я думаю специалисты ФСТЭК если и будут учавствовать, то в составе комиссии от РКН. Тема наверное менее актуальна, чем предыдущие. Потому что надо защищаться, а не ждать проверки.
Чем, кстати, все и занимаются. :-)

malotavr комментирует...

"Потому что надо защищаться, а не ждать проверки. Чем, кстати, все и занимаются. :-)"

Отжиг дня, однако. IMHO требования ФСТЭК и защита - вещи непересекающиеся :)

Анонимный комментирует...

to toparenko
>Для совместной работы нужна обратная связь с регулятором - а вот именно ее и не наблюдается...

Кстати опять же гон..
Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!

Станислав комментирует...

К сожалению на форуме Роскомнадзора представители регулятора практически и не отвечают.
Там идет в основном диалог заинтересованных сотрудников (скорее всего работников операторов ПДн).
Высказываются свои мнения, а не позиция регулятора.
А как нормального диалога с регуляторами не было, так и нет в настоящее время.

kreol комментирует...

2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника - три мнения :(
ИМХО, toparenko имел ввиду публичное обсуждение требований, до их утвеждения.

Анонимный комментирует...

to kreol
to Станислав
Да ладно вам..
Где должно проходить такое обсуждение?
ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает
типа такого
http://www.cnews.ru/news/line/index.shtml?2009/11/05/368563

или такого

http://it.pro-linia.r/programme.php

Анонимный комментирует...

>2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника - три мнения :(

Что мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!
Было бы желание

toparenko комментирует...

Анонимный пишет...
>Так и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!

На банкире я предлагал ФСБ организовать, но предложение не принято:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей ФСБ, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной ФСБ)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.


Готова ли ФСТЭК к подобному обсуждению?

>Кстати опять же гон..
>Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!

Это не обратная связь, а "частное мнение по желанию": захотите - ответите, захотите - не ответите...
В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).

toparenko комментирует...

Анонимный пишет...
>Что мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!

Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу...

Тем более, что пока нечего с Роскомнадзором обсуждать - документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК

Анонимный комментирует...

>В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).

Кто определяет ПОЛНОЦЕННОСТЬ обсуждения?
Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.
Никто не спорит, что жизнь несовершенна, но нечего ахать по этому поводу. Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее

toparenko комментирует...

>Где должно проходить такое обсуждение?
>ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает

А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? ;)
Или Парламентские слушания в Думе?..

Анонимный комментирует...

>А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? ;)
Или Парламентские слушания в Думе?..

Ну можно и это вспомнить. Только знаете что..Мы можем не исполнять закон только когда его ОТМЕНЯТ или хотя бы ПЕРЕНЕСУТ срок. Все остальное благие пожелания

>Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу...

Удивляюсь я. РАЗРАБОТКА документов по техзащите вне компетенции РСН, а проверка их ИСПОЛНЕНИЯ??? Что будут проверять и что они хотят видеть (РСН), то видимо и есть их позиция. Ну а кроме техзащиты есть еще и нормативная часть..

>Тем более, что пока нечего с >Роскомнадзором обсуждать - документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК

Да? А что мы во фстэк за деньги покупаем тогда?
На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.
И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать - не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?

toparenko комментирует...

>Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
>Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.

"Допрыгались"...

Закон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".

>Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее

Мда...
В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите...
"Профанация рулит"...

Анонимный комментирует...

to toparenko

>В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите...
"Профанация рулит"...

Вроде обсуждали уже и пришли к печальному итогу, что наши законы направлены скорее не защиту ПДн, а на выполнение требований регуляторов? Или Вы не согласны?
Так чего теперь удивляться?

Анонимный комментирует...

>"Допрыгались"...

Закон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".

Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой.. (

toparenko комментирует...

> Да? А что мы во фстэк за деньги покупаем тогда?

Вы или у Вас? ;)

>На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.

Во-во ;)

Смотрим ПП1009-1997:
9. ...
Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.


Там еще несколько пунктов есть, которые не выполнены ;)

>И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать - не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?

Все зависит от принимающей стороны и результатов проверки ;)

Будет устраивающий результат - промолчат.
Будет дешевле опротестовать проверку - получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. ...
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут
.

Т.ч. тем самым Вы сами себе закладываете уязвимость...
Увы... Но это действительно не будет иметь ничего общего с попыткой установления защиты персональных данных...

toparenko комментирует...

> Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой..

См. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей регуляторов, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной регуляторами)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.


По п.2: если не можете сами предложить такую площадку, для обсуждения - можно организовать ее на базе razved.info или другой какой-нибудь

Анонимный комментирует...

>Вы или у Вас? ;)
Мы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно. Одно мое получение доков от фстэк – отдельный опус, который сформировал мое мнение об этой организации. Но другого фстэка у нас нет- вот ведь в чем дело! Потому живем с чем есть.



Смотрим ПП1009-1997:
9. ...
>Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.

Ну опять за рыбу гроши! Это довод чтоб это не выполнять? Несерьезно и вы это сами знаете лучше меня.


>>Все зависит от принимающей стороны и результатов проверки ;)

Будет устраивающий результат - промолчат.
Будет дешевле опротестовать проверку - получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. ...
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут.

Тоже не разговор(. Кто полезет в разборки с госорганом?
Допустим даже Они скажут - хорошо, ок.. и найдут замечания по основной деятельности.. по связи скажем. Так в РФ с органами себя не ведут руководители организаций)
Мы с вами можем, руководители - нет.

6 Ноябрь 2009 г. 14:34
toparenko пишет...
> Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой..

См. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)


По п.2: если не можете сами предложить такую площадку, для обсуждения - можно организовать ее на базе razved.info или другой какой-нибудь

Были Рекомендации парламентских слушаний – лучшего нам не придумать. Остается ждать итогов, может что то будет до конца года. А пока делать то что можно уже сейчас, хотя бы нормативную базу. А не обсуждать такие пустые темы с которой вся эта беседа началась

toparenko комментирует...

>Мы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно.

Если посмотрите в начало ветки - поймете почему отнесли к ФСТЭК-овцам :lol:

Вы хоть как-то себя идентифицируйте, чтоб не путали ;)

>Тоже не разговор(. Кто полезет в разборки с госорганом?

Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно ;)

>Были Рекомендации парламентских слушаний – лучшего нам не придумать.

А кто сказал, что эти Парламенские слушания появились из "вакуума"?

>Остается ждать итогов, может что то будет до конца года.

Ага. ;)
И пропускать встречные информационные волны типа этой или этой.
Совпадение или нет, но 3.11.09 акции ВТБ на 6% упали

Алексей Лукацкий комментирует...

Встречался я и с ФСТЭКовцами и РКНовцами и обащлся с ними. Не готовы они на контакт и помощь.

Регуляторы не хотят ничего менять. Ни РКН (которому сложнее изменить ФЗ), ни ФСТЭК (которому проще поменять свои требования). Они также не готовы рекомендовать что-то, чтобы улучшить жизнь операторов ПДн.

Даже если они и понимают, что текущие требования не всегда выполнимы, они говорят - мы ничего не будем менять, но мы вам советуем творчески подойти к решению насущных задач. И это государственный подход? Это формирование условий для наполнении кормушки. И поскольку менять свое отношение регуляторы не хотят, то и возникает желание послать их в сад, чтобы не увеличивать свои затраты без реального повышения уровня защищенности.

Dan комментирует...

to toparenko
>Если посмотрите в начало ветки - поймете почему отнесли к ФСТЭК-овцам :lol:

Не .. первый анонимный не я)

to toparenko
to Алексей

>Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно ;)

>послать их в сад

Да позиция то ваша понятна и разделяема.. мною в том числе..
НО.. чтобы так сделать надо иметь позицию руководства и юристов такую!
Если же их позиция НЕ вступать в конфликты с госорганами.. дабы по основной деятельности не было претензий.. то предлагаемые сценарии нереализуемы!

Кстати.. чего про это думаете?
Провокация? )))
http://www.gzt.ru/Gazeta/first-page/270590.html