30.09.2011

Новости ФСТЭК, ФСБ и РКН

По результатам вчерашней конференции в Челябинске, организованной Аста-Информ, была получена очень интересная информация. Не всегда новая, но это тоже важно - подтвердить худшие опасения или направления деятельности регуляторов. Кстати, что касается регуляторов, то это, на моей памяти, единственное мероприятие, где присутсвовали в полном составе представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Итак новости следующие:
  1. ФСТЭК подтвердил свою позицию, что лицензия должна быть у каждого оператора ПДн. Обосновать не смогли, но позицию высказали.
  2. Под оценкой соответствия ФСТЭК понимает только сертификацию и ничего другого. Доказать не смогли, но с дороги не сворачивают.
  3. На одной из секций ФСТЭК заявил, что аттестация тоже обязательна. На второй секции у него уточнили этот вопрос и ФСТЭК заявил, что на СЕГОДНЯШНИЙ день аттестация не нужна. Но я уже писал про планы ФСТЭК к концу года подвести под это законную базу. Так что ждем-с...
  4. РКН по прежнему считает, что публикация списков должников ЖКХ, а также работа коллекторов незаконна. Даже несмотря на пункт в ФЗ об отсутствии необходимости получения согласия защиты законных интересов оператора ПДн. РКН вообще читает эту норму не так, как написано в ФЗ. Они ее читают как "законные основания", а не "законные интересы", и считают, что либо в законе должно быть прописано, либо не имеете права. Кстати, про коллекторов и обработку ими персданных я буду писать в понедельник - там есть много новостей интересных.
  5. РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках. Т.е. оснований у самих технических регуляторов для проверок коммерческих компаний нет, но это можно сделать, если выступать в качестве эксперта у РКН на побегушках. При этом предписание об устранении выдает не ФСТЭК/ФСБ, а РКН и придраться к незаконности проверок этих "технических" регуляторов почти невозможно ;-(
  6. Очень понравился мне подход Челябинского управления ФСБ. Ну очень... Они действуют так, как должен регулятор. Ничего лишнего не требуют. Например, т.к. в законе написано про оценку соответствия СКЗИ, а не про сертификацию, то они в Челябинске не требуют сертификатов на СКЗИ у коммерческих организаций - смотрят на соответствие модели нарушителя. Они не горят желанием привлекаться со стороны РКН как эксперты по части технической проверки по линии ПДн. Челябинская ФСБ не считает невыполнение 152-й инструкции основанием для отказа в выдаче лицензии. Ну и т.д. Очень здравый взгляд. При этом госов они контролируют активно - уже и наказаний по 13.12 КоАП за отсутствие сертифицированных СКЗИ выписали больше чем другие управления в УрФО.
  7. На вопрос РКН, надо ли переделывать уже разработанные в организации документы по старому ФЗ, они ответили, что нет, не надо. Мол, дождемся новой нормативной базы - тогда и будем смотреть.
  8. На вопрос РКН, надо ли классифицировать ИСПДн, они ответили, что если уже классифицировано, то и пусть будет. Но если только в процессе, то лучше приостановить этот процесс, т.к. по новой нормативке классификации ИСПДн нет.
  9. На вопрос РКН, должны ли быть ответственные в филиалах организации, они ответили, что да. Иначе они не смогут проводить проверки без ответственного (это из ФЗ-294 вытекает).
  10. На вопрой РКН, как обрабатывать ПДн ближайших родственников, они ответили, что только по явному согласию.
  11. На вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО.
  12. В согласии на передачу ПДн третьим лицам, а также обработчикам, РКН требует указания конкретных наименований и адресов этих лиц. Только в крайних случаях они готовы воспринимать типы третьих лиц (страховые компании, курьеры и т.д.).
Вот в таком аспекте, как говорилось в "Понедельник начинается в субботу" Стругацких...

20 коммент.:

Сергей комментирует...

Всегда считал и считаю из всех регуляторов ФСБ наиболее адекватной, как пример, подход к лицензированию, тут вам и собственные нужды, и подъемные затраты на получение лицензий (кроме производства). Да и в интересах ведомства, чтобы доступ к ПДн был попроще, чтоб лишний раз не заморачиваться:). ФСТЭК - чудо в перьях, динозавр советских времен. РКН - почитал на их сайте проект регламента проверок, юрслужбу надо разогнать, основание внеплановых проверок - берут на себя функции прокуратуры, куда она смотрит?

tiger-66 комментирует...

>Мол, дождемся новой нормативной базы - тогда и будем смотреть.

Какие-то хоть ориентировочные сроки ее появления не назывались?

Сергей комментирует...

2 tiger-66
Могу со 100% уверенность назвать срок внесения изменений в ч.2 прим. ст. 25 закона - ноябрь 2012 г. в части переноса сроков предоставления сведений в РКН.

Алексей Т. комментирует...

Алексей, ФСТЭК, ФСБ и РКН - кем они были представлены? Насколько эти люди осведомлены о планах центральных аппаратов? Это не праздный вопрос, дельного много в их ответах, неясно насколько все это соответствует реальности а не мечты сотрудников соответствующих управлений. А с чего возник вопрос про акт уничтожения ПДн тысяч субъектов???

Алексей Т. комментирует...

Все, посмотрел состав участников, я бы не относился серьезно к их ответам, хотя конечно Челябинцам прислушиваться придется. :-)

Алексей Волков комментирует...

По пункту 9. Это бред Сивокобылина. Они не могут проводить проверки в филиале (обособленном подразделении), если он не имеет статуса самостоятельного юридического лица, так как оператором в этом случае является юрлицо-родитель, со всеми вытекающими, в том числе и ответственным.

mikech74 комментирует...

2 Сергей

1. У РКН не проект регламента, а действующий регламент, прошедший Минюст. Основания в основном взяты из 294-ФЗ, дополнительные основания вполне разумны с их точки зрения
2. По поводу вашей 100% уверенности о переносах сроков, Алексей Волков уже писал об утверждении новой формы уведомления, да и на сайте РКН лежит электронная форма, в которой все сведения из ч.2.1 ст.25 №152 почему-то являются обязательными для заполнения.

mikech74 комментирует...

2 Алексей Волков

п.9 не такой уж и бред. По имеющимся сведениям на следующий год прокуратура уже утвердила в плане плановых проверок проверки филиалов (не юр. лица), которые проводятся одновременно с проверкой головного юридического лица.

tiger-66 комментирует...

Алексей Волков

Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют?
Каковы на ваш взгляд задачи ответственного за ПДн в филиале?
Выполнять команды головного офиса и все?

Алексей Волков комментирует...

> которые проводятся одновременно с проверкой головного юридического лица

Это ключевой момент.

> Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют?

"Не проводить никаких мероприятий раз не проверяют" - порочная практика и непотребная позиция вцелом. Но если ее занимать, то раньше можно было этого не делать. Чтобы это искоренить и придумали то о чем пишут выше.

> Каковы на ваш взгляд задачи ответственного за ПДн в филиале?

Филиал - это такое же подразделение оператора как и любое другое, со своим руководителем. руководитель априори отвечает за соблюдение сотрудниками и собой лично приказов, нормативов и т.д. (у него это в ДИ прописано), к которым, собственно, относятся приказы и док-ты по обработке и защите ПДн. Однако закон требует назначить ответственного у ОПЕРАТОРА, коим является юрлицо. Вот этот ответственный и должен курировать работу с руководителями подразделений и филиалов.

pushkinist комментирует...

я там был как слушатель.
озвученные позиции это именно мнения регуляторов одного конкретного региона, а они вообще довольно разнятся от региона к региону.
а про новости центральных аппаратов они не в курсе.

про лицензии фстэк чувак не ответил прямо, а изложил что-то вроде:
"58 приказ говорит о том, что если привлекаете для организации защиты стороннюю контору, то у нее должна быть лицензия на техзащиту, а если вы просто-напросто обрабатываете персональные данные, то лицензия вам не нужна и мы ее не требуем.", а на последующий вопрос про "а для защиты?" он улыбаясь сказал "ну а для защиты вы же все равно привлекаете кого-то" :)

pushkinist комментирует...

по поводу проверки обособленных подразделений:
территориальный ркн присылает запрос в голову с формулировкой "проверка обязательных требований при обработке пдн на территории такого-то региона", ну а дальше голова должна отправить в тот территориальный ркн то, что посчитает нужным и относящимся к данному региону и тому основанию для проверки (жалобе субъекта например).
если нормативка едина на всю сеть, отправляется она, если есть отдельная по оп - то она.

таким образом, если жалоба клиента по обработке его пдн при заключении договора в регионе, то ркн не будет интересовать обработка пдн работников в голове и т.д.

Алексей Лукацкий комментирует...

Tiger-66: ФСТЭК говорит о втором квартале следующего года.

Алексей Т.: У одного из коллекторских агентств возник вопрос про уничтожение 100 тысяч записей. Я чуть уменьшил число и задал вопрос ;-)

Что касается несерьезности, то это в любом случае их частное мнение. Но оно важно именно в том регионе, в котором звучало, т.к. там оно будет превалирующим.

Про проверки филиалов, РКН сказал, что они пишут письмо в филиал и головную структуру. Т.е. головняка всегда оповещают. Проблема в другом. По ФЗ-294 проверка может проводиться только в присутствии ответственного. Я поэтому и спросил - если ответственный назначен в головной структуре и в филиал он на проверку не едет, то как будет осуществляться проверка?

pushkinist комментирует...

а так это вроде разные ответственные:
есть по фз-152 - за организацию обработки
есть по фз-294 - уполномоченное лицо при проверке

ответственный за обработку это к примеру босс организации,
а ответственный за проверку - это например рукль филиала или вообще хоть кто - он назначается приказом после получения уведомления о проверке от РКН и нужен чтобы было кому акт проверки вручить.

doom комментирует...

Очень странно...
Управление ФСТЭК у нас с челябинцами одно - дак они иной раз по-другому говорят...
Про ФСБ - тут видать повезло челябинцам, у нашего позиция принципиальная - 152-й приказ, сертифицированные СКЗИ, всякие токены запирать в пеналы и т.п.

VoronB комментирует...

Алексею Лукацкому (а заодно и Евгению Цареву)
Коллеги, крутая, видимо, эта фирма – Межрегиональный консалтинговый центр «АСТА-информ» - за три года “окучили” более 1500 организаций! (http://asta74.ru/article/clients-partners). Честь ей и хвала за те мероприятия, которые она проводит, в т.ч. и вышеупомянутый форум. Только вот, похоже, они эти 1500 организаций на своем сайте вольно или невольно вводят в заблуждение, выдавая свою ущербную точку зрения за истину:
“В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы ….Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования” (http://asta74.ru/article/)
“Декларирование представляет собой упрощённый аналог аттестации и может проводиться силами оператора без привлечения лицензиата. Проблема на сегодняшний день заключается в том, что технические регламенты, на положения которых следует опираться при декларировании соответствия, находятся в разработке” (http://asta74.ru/article/_1).

Насколько я в теме, вопрос декларирования соответствия госрегуляторами уже давным-давно даже не обсуждается и технические регламенты в области ИБ – дела давно минувших дней, преданья старины …. Статью 5 закона “О техническом регулировании” пока никто не отменял.

Алексей и Евгений, Вы явно пользуетесь у этой фирмы непререкаемым авторитетом, употребите его во благо, подскажите господину Астахову А.Г.

Sergey.Shustikov комментирует...

"...на вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО..." - таким образом акт об уничтожении сам становится ПДн? Правильно ли я понял, что уничтожение ПДн порождает те же самые ПДн, соответственно ПДн уничтожить невозможно?

Алексей Лукацкий комментирует...

Нет. На этот вопрос РКН ответил, что в акт включаются только ФИО и РКН не считает их ПДн ;-)

tiger-66 комментирует...

Кстати, Алексею, как близкому к банковскому сектору и другим блогерам ;-)
http://dolboeb.livejournal.com/2202718.html

Прокомментируете как нибудь?

Алексей Лукацкий комментирует...

А чего там комментировать. Банк по 26-й статье закона о банках имеет право передавать банковскую тайну без согласия клиента. Тут вопрос не в нарушении закона - его нет. Тут вопрос в том, нафига банк это сливает при отсутствии претензий к субъекту сливаемой информации - т.е. это репутационные риски.