26.08.2011

Проект административного регламента ФСБ по персданным

ФСБ опубликовала проект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" (HTML и PDF).Правда, почему-то не у себя на сайте, а на сайте РКН.

Первое, что бросается в глаза, - тему биометрии ФСБ прибрало к своим рукам (собственно, это не первый факт "захвата" темы биометрии со стороны ФСБ). Итак, краткое резюме по проекту:
  1. Контроль и надзор осуществляют представители 8-го Центра и территориальных управлений (а позиция у них, кстати, часто разнится).
  2. Неавтоматизированной обработкой ФСБ не занимается.
  3. ФСБ может не только выдать предписание об устранении нарушений, но и составить протокол об административном правонарушении (правда, непонятно по какой статье), а также направить кляузу в РКН.
  4. Сам регламент составлен в соответствии с ФЗ-294.
  5. Основанием для включения оператора в План проведения проверок является истечение трех лет со дня начала осуществления оператором деятельности в соответствии с представленным в Роскомнадзор уведомлением о начале осуществления деятельности по обработке персональных данных с использованием средств криптографической защиты информации или со дня окончания проведения последней плановой проверки оператора.
  6. Внеплановая проверка со стороны ФСБ практически невозможна в нынешней формулировке.
В целом ничего сверхествественного в проекте регламенте нет.

ЗЫ. А у ФСТЭК пока проекта такого регламента нет.

    8 коммент.:

    Сергей комментирует...

    Ну биометрия только если вкупе с СКЗИ: 4. Исполнение государственной функции осуществляется в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации.
    А вот ссылка на 781 ПП???

    ZZubra комментирует...

    это про 125 постановление Правительства - биометрические паспорта

    Алексей Волков комментирует...
    Этот комментарий был удален автором.
    Алексей Волков комментирует...

    Пункт 4: 4. Исполнение государственной функции осуществляется в
    отношении государственных органов, муниципальных органов, юридических
    лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации

    Ч. 8 ст. 19: 152-ФЗ: Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных

    Означает ли указанная выше формулировка регламента, что ФСБ уже знает, что правительство позволит им контролировать ВСЕХ юрлиц и ИП, в соответствии с ч. 9 ст. 19 152-ФЗ, вне зависимости от вида деятельности ?

    Артур Котылевский комментирует...

    Мне это тоже бросилось в глаза. Тут два варианта: либо, Алексей (Волков), Вы правы, либо это только в части тех юридических лиц, в отношении которых будет соответствующее постановление правительства.

    Но в том виде, в котором формулировка дана сейчас, она, мягко говоря, противоричит закону.

    Андрей Абрамов комментирует...

    На мой взгляд, ФСБ контролирует и будет контролировать только передачу ПДн по открытым каналам, используя СКЗИ, как и сказано в пункте 4. Просто его (пункт) надо читать целиком. Это кажущаяся неоднозначность...

    Dmitry Leviev комментирует...

    Четкое указание на область проверки, только вот один вопрос остался - экспертизу записей камер видеонаблюдений (проверка подлинности записи) теперь будет делать 8 Центр ФСБ России или все-таки это оставят за МВД? Судя по проекту и 152-ФЗ эта деятельность перейдет в ведение 8 Центра со всеми вытекающими требованиями по сертификации.
    Это следовало ожидать, т.к. требования по антитеррористической защищенности у 8 Центра есть, а средства видеорегистрации входят в список используемых средств.

    Алексей Лукацкий комментирует...

    При условии, что результат работы видеокамер будут признаны биометрией. А есть немало сценариев, когда это можно не делать.