Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Близятся праздники... Многие уже ушли в отпуска или сделают это уже завтра. Поэтому что тянуть и оттягивать поздравление с наступающими Новым Годом и Рождеством сейчас. Собственно и поздравляю ;-) Желаю всем благополучия внешнего и внутреннего, здоровья духовного и семейного, роста карьерного и зарплатного... Пусть все мечты сбываются. Пусть регуляторы не злоствуют, а интеграторы не жлобствуют. Пусть заказчики будут мудры, а законодатели разумны. Пусть в семьях будет мир, а дети растут на радость родителям!
И на этом, наверное, стоит закончить публикацию заметок в уходящем году
14 декабря компания ActivIdentity объявила о покупке компании CoreStreet, специализирующейся на распределенной проверке идентификационных параметров. Стоимость сделки - около 20 миллионов долларов.
Новостей по сути две. Во-первых, Совет Федерации одобрил законопроект о переносе сроков. Это приятно. Остается надеяться, что Президент РФ подпишет этот закон в ближайшие дни.
Вторая новость тоже может иметь приятные последствия. Понимая, что технические регламенты у нас принимаются с большим скрипом, Советом Федерации было принято решение предоставить возможность принимать технические регламенты на ведомственном уровне, а именно - нормативным правовым актом федерального органа исполнительной власти по техническому регулированию. Это позволит избежать длительных процедур согласования.
Очень часто мне задают вопрос "Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?". Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн. Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя стрясти побольше денег. Разумеется, это упрощенная схема, но она работает.
Год назад я уже поднимал эту тему, но с тех пор ничего не поменялось. Интеграторы как не регистрировались как операторы ПДн, так и не регистрируются, прекрасно понимая, какие проблемы это влечет за собой. Тогда какое они имеют право требовать этого от вас?
Вторым шагом по проверке компетентности консультанта/интегратора является затребование у него всех тех документов, которые он будет разрабатывать для вас - модели угроз, акты классификации, приказы, инструкции, руководства и т.д. Ведь он же должен был все это разработать для своей компании, как оператора ПДн. Причем требовать надо документы подписанные руководством консультанта/интегратора, а не просто шаблоны. В противном случае опять получается, что он будет предлагать вам то, что на себе не проверял и в реальной жизни может не работать.
Ну и третьим шагом является краткое собеседование с целью выяснить, какие варианты оптимизации ваших затрат предлагает консультант/интегратор. Из этой беседы вы сразу поймете, какую цель будет преследовать даже компетентная в области ПДн компания - помочь вам или "срубить бабла".
Как раз недавно анализировал документы одного такого интегратора, говоряего о себе, как о лидере рынка ПДн/ИБ. Но в реестре операторов ПДн его нет, подготовленные им документы явно неработоспособны в той компании, для которой они делались, и почти никаких рекомендаций по оптимизации. Зато набор рекомендаций стандартен - аттестация, лицензирование, использование сертифицированных СЗИ/СКЗИ (это для HP UX и каналов связи, работающих на скоростях 10 Гбит/сек) и т.д.
Cnews опубликовала годовой отчет по российскому рынку ИБ "Средства защиты информации и бизнеса 2009". Несмотря на число 2009, отчет, выпущенный в декабре, посвящен 2008-му году. Не только увеличился срок выхода отчета (раньше он выходил летом или в начале осени), но и количество материалов сильно изменилось в меньшею сторону по сравнению с прошлогодней версией (19 против 47, не считая интервью). Видимо кризис коснулся не только рынка ИБ, но и писателей о нем ;-(
Из сколь-нибудь интересных материалов можно отметить следующие:
... пожалуй и все. Более ничто не заслужило моего внимания. Пожалуй, только сам рейтинг лидеров российского рынка ИБ. Он вызывает очень большое количество вопросов, как по цифрам, так и по игрокам. Во-первых, Информзащита сдала свои позиции Лете (с ежегодным ростом свыше 100%) и заняла почетное третье место.
Во-вторых, в список лидеров (на 4-ой позиции) попала компания R-Style с оборотом по информационной безопасности чуть-чуть уступающим показателям Информзащиты. Я могу сильно ошибаться, но кто-нибудь видел R-Style на этом рынке? Да еще с такими показателями? Что они указали в неаудированной никем отчетности как ИБ? Свой софт? Свои услуги по внедрению софта? Непонятно. Ситуация напоминает сообщение ФСТЭК о том, что она проверило 20000 операторов ПДн. Цифра есть, а верится с трудом.
Следующий ляп. В рейтинг попадает компания Астерос. Сразу на 6-е место. Годовой рост (по сравнению с 2007-м) 125%. Но вот на сайте компании Астерос почему-то указано, что она была образована только в декабре 2008-го года. Если вспомнить, что отчет Cnews опирается только на цифры 2008 года, то возникает закономерный вопрос: "Как компания появившаяся в декабре 2008-го года могла заработать в 2008-м году 900 миллионов рублей? И как она зарабатывала до момента своего создания" Нет ответа ;-( Где Элвис+, СКБ Контур (в 2007-го оно был на 5-м месте в рейтинге), СоюзИнформ, Открытые технологии, IBS, Step Logic, Inline?.. А ведь они далеко не последние игроки этого рынка.К другим цифрам уже тоже начинаешь относиться скептически. И это не говоря про отсутствие информации о том, кто и как считал рынок ИБ...
В целом отчет вызывает неоднозначные чувства. Ведь хорошая задумка была (я сам был автором этого отчета на протяжении многих лет), но сдулось все... А жаль.
Начну с предыстории: компания Reed Exhibitions владела и владеет правом на бренд InfoSecurity по всему миру. В лучшие свои годы она проводила 11 одноименных выставок в разных странах мира. 6 лет назад добралась она и до России. Совместно с компанией РЭСТЕК Reed и проводил InfoSecurity Russia в Москве. И вот в конце ноября ситуация кардинально поменялась. Reed решил "уйти" от РЭСТЕК и отдал право организовывать выставку (а также StorageExpo и Documation, которые держались только за счет проведения одновременно с InfoSecurity) известному издательству Гротек, который помимо журналов проводит и различные конференции - "Персональные данные", FinSec, SecuTrans, SecuRetail, Security Director и т.д. РЭСТЕК, вложивший в развитие бренда в России 6 лет, с таким положением дел не согласился и решил проводить свое мероприятие по безопасности. Не долго думая, назвал он его ИнфоБезопасность.
В понедельник и вторник мне довелось поучаствовать в координационных заседаниях обоих организаторов. Если не учитывать разные лица и разные места проведения, все остальное было до боли похожим. Закуска вначале, слова организаторов о том, что "мы будем лучше, чем они" и что "в следующем году будет лучше, чем в предыдущем", по окончании фуршет. Как под копирку ;-( На конкретные вопросы "чем лучше", "что изменится", "почему выбрать вас, а не других", четких ответов не последовало ни от одной стороны, что удручает.
При этом договариваться стороны не готовы (или не хотят). За спиной одних - бренд InfoSecurity, у других - 6 лет ее организации. В итоге все выливается в банальную войну двух организаторов, у каждого из которых есть и плюсы и минусы. А пострадают и экспоненты, которые не смогут платить за участие в обоих выставках сразу, и посетители, которые не смогут посетить две выставки, проходящие с разницей в месяц.
Могу предречь, что учитывая эту ситуацию, в 2010-м году в России не будет адекватной выставки по безопасности - не собирут они такой же аудитории, что одна выставка. В отличие от конференций, которых будет немало (предварительный список я уже кидал).
ЗЫ. InfoSecurity от Гротека пройдет 17-19 ноября (видимо параллельно с межотраслевым форумом директоров по безопасности), а ИнфоБезопасность от РЭСТЕКа - 5-7 октября. У РЭСТЕКа место традиционное - ЭкспоЦентр (удачный для выставок и неприспособленный для конференций). У Гротека место еще не выбрано - это будет либо Крокус (26 декабря туда пускают метро), либо Сокольники.
ЗЗЗЫ. Пока деталей по обоим выставкам нет - только общие слова и заявления. Оба организатора обещают, что в январе начнут активно работать и привлекать бойцов на свои стороны. Посмотрим...
Правительство РФ приняло новое постановление от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии".
Согласно этому ПП-982 теперь существует единый перечень всех товаров, которые подлежат обязательной сертификации... исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании", т.е. средства защиты информации ограниченного доступа. И если раньше отсутствие упоминания этого исключения позволяло на законных основаниях не сертифицировать средства защиты, то сейчас таких основания стало на одно меньше.
ЗЫ. А причем тут "среда лактозо-хелато-цитратно-желточная для хранения спермы жеребцов", вынесенная в заголовок? А это как раз один из видов продукции, отнесенный к обязательному декларированию соответствия ;-) Просто понравилось словосочетание.Особенно его звучание ;-)
Президент России Дмитрий Медведев на основании пункта "г" ст.84 Конституции Российской Федерации внес в Государственную думу проект федерального закона "О внесении изменений в федеральный закон "О техническом регулировании".
Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации. Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов.
Итак, 11-го декабря законопроект Резника о переносе сроков и исключении пункта об обязательности криптографии был принят во втором чтении. 16-го декабря намечено третье чтение.
В последнее время все мы гонимся куда-то зачем-то... выполнить ФЗ-152, внедрить решения по борьбе с утечками, купить сертифицированные решения по ИБ, классифицировать свою информацию... И у нас не остается времени остановиться и посмотреть вокруг...
8 декабря 2009 года Cisco опубликовала свой ежегодный отчет об информационной безопасности. В этом документе подчеркивается влияние социальных медиасистем (в частности, социальных сетей) на сетевую безопасность и говорится о том, что наиболее привлекательные возможности для киберпреступников создают люди, а не технологии. В отчете также названы победители конкурса Cisco® Cybercrime Showcase за 2009 год и комментируются тенденции в области облачных вычислений, спама и общей активности киберпреступников на мировой арене, с которыми продолжают сталкиваться специалисты по информационным технологиям.
Исходные данные следующие:
1. Есть шестикнижие по ПДн от ФСТЭК и ФСБ.
2. Есть собственные методики проверки у ФСТЭК и ФСБ.
3. Есть СТО БР ИББС.
4. Есть собственная методика оценки соответствия СТО БР ИББС.
Задача: Как совместить все эти 4 исходных элемента в непротиворечивом документе?
Ответ: Новая редакция стандарта СТО БР ИББС-1.0, которая и должна включать в себя новый блок требований/рекомендаций, связанных с защитой персональных данных. Проект этого стандарта будет рассматриваться в 7-го декабря на ПК 3 Технического Комитета 362.
Во вторник прошел очередной семинар RISSPA, где я прочитал коротенькую презу "Что стоит на повестке дня CISO в 2010-м году". Как всегда, выкладываю ее здесь.
Рекомендации не раз упомянутых парламентских слушаний были утверждены и начали реализовываться в Государственной Думе. Про сдвиг сроков уже все знают. Остальные, очень здравые рекомендации указаны в документе, выложенном на сайте Госдумы.
Я уже писал, что законопроект о переносе сроков принят в первом чтении. На следующей неделе (в среду и пятницу) планируются второе и третье чтения по переносу сроков ФЗ-152.
ЗЫ. Также несколько дней назад в ФЗ-152 были внесены изменения (закон опубликован 27.11.2009) в части реадмиссии.
Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным.
ЗЫ. В начале ноября клуб 4CIO провел конференцию "152 ФЗ - основные ловушки и способы разминирования". Материалы выложены на сайте. Там же дана ссылка на методическое пособие, которое 4CIO разработал для своих членов в части облегчения бремени выполнения ФЗ-152.
Интересная коллизия. Был я 26-го числа на заседании Координационно-методического совета лицензиатов ФСТЭК и ФСБ Уральского федерально округа. Представитель ФСБ рассказывал про защиту ПДн в части требования ФСБ и в какой-то момент заявил, что для защиты ПДн с помощью СКЗИ нужна лицензия ФСБ на техобслуживание.
Я задаю встречный вопрос, мол, А.П. Баранов (первый зам. начальника 8 Центра ФСБ) на конференции АРБ, а также другой представитель ФСБ на Парламентских слушаниях заявил, что лицензия ФСБ на защиту ПДн для собственных нужд не требуется. Представитель свердловской ФСБ говорит, что раз нет официальных документов на эту тему, то частное мнение другого сотрудника ФСБ (даже одного из руководителей восьмерки) - это частное мнение. Мол в ПП-957 написано, что нужна лицензия ФСБ, значит надо получать.
Вот так вот ;-(
ЗЫ. Уже не первый раз сталкиваюсь с тем, что мнение региональных представителей регуляторов часто отличается от того, что говорят в центре.
1 декабря RISSPA проводит семинар "Актуальное состояние и новые тенденции отрасли ИБ", который будет проходить как физически (в офисе Ernst & Young), так и виртуально (с помощью технологий Cisco WebEx). Среди докладов:
"Результаты 12-го ежегодного исследования Ernst&Young в области информационной безопасности", Максим Малежин, Ernst & Young
"Основные векторы развития систем защиты от вредоносного ПО: облачные вычисления и их современные реализации", Кирилл Керценбаум, Symantec
"Эволюция угроз Интернет-банкинга и онлайн-порталов. Новые способы защиты пользователей", Денис Безкоровайный, RSA
"Что станет приоритетом на повестке дня CISO в 2010-м году", Алексей Лукацкий, Cisco
"SIEM: Нужная Штука или Дорогая Игрушка?", Антон Чувакин, независимый эксперт
25-го числа я поучаствовал в онлайн-конференции на портале bankir.ru "Где же все-таки у него кнопка?", посвященная различным вопросам использования Интернет-банкинга, в т.ч. и безопасности.
Несколько лет назад, когда я был счастливым обладателем смартфона на базе Windows Mobile, я установил на него чей-то информер, который регулярно оповещал меня о новых Интернет-угрозах и т.п. информации. И вот на днях мы (т.е. Cisco) выпустили аналогичный и бесплатный инструментарий Cisco SIO to Go iPhone для того, всегда быть в курсе новых угроз, патчей, обновлений безопасности, сигнатур атак, бюллетеней безопасности, репутационного рейтинга сайтов и отправителей электронной почты. Также с помощью этого приложения можно взаимодействовать с коллегами по безопасности. Качается оно с iTunes (ссылка для iTunes).
Экспертная оценка в наших нормативных документах по ИБ заявлена как основной (а зачастую и единственный) метод определения угроз информационным системам. Да и в других процессах ИБ он играет непоследнюю роль. Но у данного метода помимо единственного преимущества (простота реализации) есть и множество существенных недостатков:
возможность влияния на экспертное мнение заинтересованными лицами
при оценке случайных событий принцип "здравого смысла" неприменим
Как повысить эффективность экспертной оценки? Как придать значимость ее результатам? Ответ на эти вопрос дан давно - метод Дельфи. Суть его проста: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%. Ключевых моментов в этом методе два:
мы не должны ограничиваться одним-двумя экспертами - их должно быть не менее трех, а еще лучше 5-7. Только в этом случае можно говорить об эффективности метода. Один человек может ошибаться; вероятность ее для группы из пяти человек гораздо ниже.
мы должны привлекать в группу людей, действительно обладающих компетенцией в анализируемом вопросе. Никаких свадебных генералов, включаемых в группу за их заслуги - только реально квалифицированные эксперты.
Как показывает опыт, даже при сильном разбросе оценок у нескольких экспертов, итоговое значение будет очень близко к реальному положению дел. Если же провести второй раунд оценки, предварительно ознакомив экспертов с результатам первого, то результативность метода Дельфи становится еще выше.
Существует и модификация метода, часто используемая тогда, когда эксперты не могут подкрепить свое мнение и оценки серьезными аргументами. В этой модификации берется средняя оценка после отбрасывания крайних, граничных значений.
В качестве примера возьмем вопрос о вероятности возникновения угрозы DDoS-атак на некий Интернет-сервис. В качестве экспертов пригласим сотрудников ИТ-подразделения, службы ИБ, подразделения управления рисками и парочку представителей бизнес-подразделений. Результаты работы метода Дельфи занесены в таблицу (после слэша показана оценка для модифицированного метода Дельфи с отбрасыванием крайних значений):
Из данного примера мы сразу видим все преимущества метода Дельфи. Он действительно нивелирует волюнтаризм экспертов и показывает более менее реальную оценку ситуации. Если бы мы опирались только на мнение одного эксперта, мы могли либо занизить, либо завысить реальную оценку. В данном же методе мы приходим к реальной цифре.
Однако на практике данный метод используется не так уж и часто. Все-таки он требует определенной дисциплины и умения работать в команде, что не так уж и часто встречается. Гораздо проще опираться на мнение одного единственного человека (как правило себя), полностью игнорируя мнения окружающих экспертов. Отсюда и многие пробелы/проблемы, регулярно выявляемые в области ИБ.
20-го ноября Госдума приняла в первом чтении (313 депутатов за) один из двух законопроектов Резника. Законопроект посвящен исключению требования об обязательном использовании криптографических средств для защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных" (на один год).
BSIMM (The Building Security In Maturity Model) - это документ, помогающий понять и спланировать инициативы по безопасности разрабатываемого ПО. На прошлой неделе была анонсирована новая редакция модели зрелости BSIMM v1.5, которую можно свободно скачать с сайта авторов.
Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:
Позавчера я писал, что депутат Резник отрицательно отозвался о законопроекте депатута Морозова, но при этом внес свой вариант. Он своеобразен, надо признать. Например, там есть такое определение "трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации". А если посмотреть на ФЗ-4730-1 "О государственной границе", то понятие "государственная граница" определено как "линия и проходящая по этой линии вертикальная поверхность, определяющие пределы государственной территории (суши, вод, недр и воздушного пространства) Российской Федерации, то есть пространственный предел действия государственного суверенитета Российской Федерации". Как под это определение подвести Интернет, я не представляю...
В общем законопроект получился достаточно интересный и длинный - весь я его не осилил ;-) Но рекомендацию переноса сроков я заметил ;-) Достаточно забавная ситуация. Предложение депутата Морозова о переносе сроков Резник отверг и сам же внес свое предложение о переносе сроков. И где логика? Или к действиям депутатов понятие логики не применимо?..
В прошлую пятницу состоялось совещание в Аппарате Правительства по поводу 152-ФЗ, где было принято решение о переносе срока по ст.25 на 1 год, исключении требований по криптографии из ст.19 и о подготовке развернутых поправок под эгидой Минкомсвязи до 1 февраля 2010.
Многие наверное слышали, что депутат Госдумы А.А.Морозов внес законопроект №262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных". Суть его проста - перенести срок реализации ст.25.3 на 2 года. И вот на днях руководитель комитета по финансовым рынка г-н Резник вынес заключение по данному законопроекту. Суть его может быть описана одним словом: "Отказать".
Если же развить тему, то в заключении дословно написано следующее: "Комитет отмечает, что Федеральный закон не устанавливает требований к информационным системам персональных данных, а определяет порядок обработки персональных данных, в том числе с использованием различных информационных систем.
Вместе с тем, часть 1 статьи 1 Федерального закона устанавливает, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Таким образом, требования к информационным системам персональных данных должны содержаться в иных федеральных законах, определяющих случаи и особенности обработки персональных данных.
С учетом вышеизложенного, Комитет рекомендует отклонить в первом чтении законопроект № 262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных" (в части продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных")".
Параллельно с этим г-н Резник сам направил в Госдуму свой вариант законопроекта по персданным. Но об этом завтра...
ЗЫ. А комитет Госдумы по безопасности положительно отозвался о данном законопроекте.
Спор о проверках так ни к чему и не привел. Подолью я еще масла в огонь. На сайте Генпрокураторы вывешен приказ 02.10.2009 №319 "О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей".
Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Из интересного в нем:
Прописаны основания для плановых проверок. Они повторяют то, что есть в 294-ФЗ. Расширенные основания из проекта регламента РКН отдыхают.
При отсутствии административного регламента проверок они не будут приниматься к рассмотрению (таких утвержденных регламентов нет ни у кого из трех регуляторов).
Генпрокуратура лишний раз напоминает, что проверять можно только обязательные требования.
Если несколько регуляторов хотят проверять одного оператора в течение года, то они должны осуществлять совместную проверку (а для этого нужен отдельный регламент).
Если у юрлица есть филиалы, то проверки применяются к каждому филиалу отдельно.
План проверок должен быть опубликован на сайте Генпрокураторы до 31-го декабря.
Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:
рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
презентация рекомендаций для банков.
В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.
ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.
Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.
ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.
Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще - у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов:
общие положения
перечень угроз, представляющих потенциальную опасность для ПДн, обрабатываемых в ИСПДн
определение актуальных угроз.
Согласно ГОСТ Р 52448-2005 модель угроз должна включать:
Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
Стадии жизненного цикла сети электросвязи
Описание процесса возникновения угроз и путей их практической реализации
Приложение к модели должно включать:
Полный перечень угроз
Базу данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением.
Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:
Характеристика оборудования (техусловия, область применения, использование по назначению)
Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
Идентифицированные опасности
Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
Сомнения, связанные с использованными данными и источниками
Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
Остаточные риски.
Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:
Краткое изложение анализа
Выводы
Цели и область применения анализа
Ограничения, допущения и обоснование предположений
Описание соответствующих частей системы
Методология анализа
Результаты идентификации опасностей
Используемые модели, в т.ч. допущения и их обоснования
Используемые данные и их источники
Результаты оценки величины риска
Анализ чувствительности и неопределенности
Рассмотрение и обсуждение результатов
Рассмотрение и обсуждение трудностей моделирования
Вопросов вчерашняя статья в "Газете" о переносе сроков выполнения ст.25.3 ФЗ-152 на 2 года вызвала немало вопросов. При этом мало кто подумал о том, что журналисты не до конца разобравшись с тем, что же говорилось на заседании, выдали "сенсацию". На самом деле все немного не так - Минкомсвязь не имеет права переносить сроки или осовобождать кого-то от обязанности выполнения закона - не в их это компетенции. Минкомсвязь просто озвучил то, о чем ему давно говорили участники рынка - выполнить требования ст.25.3 за оставшееся время невозможно. Поэтому министерство направило в ГосДуму ходатайство о сдвиге сроков. Но в ГД такое предложение было уже давно. От Минкомсвязи в ГД ушло и несколько иных предложений, но назвать их революционными язык не поворачивается - все уже звучало на парламентских слушаний.
ЗЫ. На сайте Минкомсвязи открылся раздел по ИБ и ПДн.
Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад ;-) Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности - теме нечастно возникающей в прессе и на конференциях.
Одна из проблем, которая часто возникает при реализации проектов по ПДн - правильное определение сроков хранения (обработки ПДн). Зададим малый срок и придется их удалять, несмотря на наличие потребности в их обработке. Зададим большой срок и будем тратить денег больше, чем надо. Как же учесть всевозможные сценарии и цели обработки ПДн и не придумывать срок хранения для каждой пары "ПДн и целт их обработки".
Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства". На мой взгляд такая формулировка покрывает практически 100% ситуация с обработкой ПДн.
Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем году?
Есть такая международная организация - АТЭС (Азиатско-Тихоокеанское Экономическое Сотрудничество), объединяющая страны и территории, на которые приходится 57% ВВП и 48% объема всей мировой торговли. В это сообщество входит 23 страны, а также Тайвань и Гонконг. Основная цель АТЭС (она же APEC) - обеспечение режима свободной открытой торговли, что невозможно обеспечить без адекватного отношения к защите персональных данных.
Именно поэтому данная организация разработала и опубликовала в 2005 году "Структуру обеспечения приватности" (APEC Privacy Framework), оригинальный текст которой может быть найден тут, а ее русский перевод ниже. По крупному данный текст очень напоминает Евроконвенцию, но в нем важны комментарии, раскрывающие смысл того или иного пассажа (чего так не хватает нашему 152-ФЗ).
Вчера мы рассмотрели конклюдентность действий при обработке персданных. Сегодня хочу рассмотреть еще один связанный с этим вопрос, который я также рассматриваю в курсе по персональным данным. Вопрос простой - нужно ли получать согласие субъекта ПДн при наличии договора с ним?
Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных". Ни слова о дополнительном условии в виде явно данного согласия. И это логично. Заключая договор, мы понимаем, что должны указать свои персональные данные. Они являются существенным условием договора. И обработка этих персональных данных нужна именно для целей исполнения договора. Иными словами, предоставляя свои ПДн, мы совершаем конклюдентные действия. Т.е. никакого дополнительного согласия на обработку ПДн, указанных при заключении договора, не требуется.
ЗЫ. Но только для целей исполнения договора. Если оператор передает ПДн третьим лицам, а из договора это не следует, то потребуется явное согласие.
ЗЗЫ. Привлекайте юристов к проектам по персданным ;-)
В прошлый четверг RISSPA провела семинар "Технический взгляд на актуальные угрозы информационной безопасности". Семинар прошел в офисе Cisco, а также транслировался в Интернет через Cisco WebEx. Все презентации доступны на сайте организаторов, а запись на сайте WebEx.
Я на своих курсах по персданным всегда начинаю с общей рекомендации привлекать к проектам по персданным юристов, т.к. любая тема, связанная с законодательством, не может обойтись без их помощи. ФЗ-152 не является исключением. Возьмем к примеру вопрос с получением согласия субъекта ПДн. Обычно считается, что согласие может быть либо в письменной, либо в устной форме. Так нам подсказывает здравый смысл. А вот любой юрист подскажет, что есть и третья форма согласия - конклюдентные действия.
Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158).
Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно.
Другой пример конклюдентных действий:
оплата платежек
регистрация на форумах и Интернет-сервисах
оплата товаров в Интернет
приобретение билетов на транспорт
предоставление удостоверения личности для прохода на территорию.
Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн.
Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.
Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.
Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора - 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги ;-)
Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:
Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из "Базовой модели", но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
Модуль "Техническое задание" позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
Система позволяет сформировать целый набор документов - Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.
В заключение хочу еще раз порадоваться за специалистов НТЦ "Сфера", которые выпустили нужный продукт в нужное время. Сегодня это редкость ;-)
ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.
Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:
помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
снизить барьеры для электронной коммерции
активно использовать инновации при обработке ПДн в ИСПДн
дать компаниям понимание лучших практик в части защиты ПДн.
Стандарт разбит на 4 части:
предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
требования к обработке ПДн
принципы обработки ПДн (их 11)
защитные меры ПДн.
Последние делятся на 7 ключевых направлений:
политики
инвентаризация и классификация
процедуры и защитные меры
корпоративное управление
соответствие
документация
обучение и повышение осведомленности.
Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.
В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.
Компания Cisco объявила о покупке SaaS-провайдера в области безопасности Web - компанию ScanSafe. Цена сделки - 183 миллиона долларов. Решения ScanSafe дополнят систему IronPort Web Security Appliance, предлагаемую Cisco своим заказчикам. Защита Web-трафика на уровне периметра и в качестве SaaS позволит выстроить эшелонированную оборону от Web-угроз. Также планируется внедрение технологий ScanSafe в VPN-клиент нового поколения Cisco AnyConnect VPN Client.
В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных.
Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом". Страшилка, не более. Ведь любой умеющий читать, давно прочел в ФЗ-152, что уведомлять надо за рядом исключений. И таких исключений немало. При правильном подходе можно вообще не уведомлять РКН, что, кстати, соответствует и европейской практике защиты прав субъектов ПДн.
Но это не единственный случай. Вернусь опять к ESET. Многие его партнеры на днях получили письмо следующего содержания (выдержка): "Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных".
Ну это уже пошел откровенный обман и надувательство. Я понимаю, что вписать в ТУ требования к антивирусу для ИСПДн К1, а потом сертификационной лаборатории проверить их реализацию, - это глубоко интеллектуальная работа. Но зачем же врать и называть свой продукт единственным? То, что у него одного в сертификате есть приписка про ИСПДн К1, еще не делает его единственным подходящим продуктом. Зато клиенты и партнеры напуганы уголовной ответственностью... Наступает замечательное время для втюхивания любого merde (как говорят французы).
ЗЫ. А еще на сайте ispdn.ru слово "персанальные" почему-то пишут через "а", а не "о" ;-(
Тут на bankir.ru возник вопрос и я понял, что сформированного ответа на него так и нет. Поэтому я решил выложить сюда кусок своей презентации с курса "Что скрывает законодательство по персональным данным?". Он перечисляет возможные наказания за несоблюдение требований ФЗ-152 и подзаконных актов.
ЗЫ. Речь идет о действующих наказаниях. Роскомнадзор внес на рассмотрение Госдумы вопрос о внесении изменений в ст.13.11 с целью появления наказания не только за нарушение требований ФЗ, но и за нанесение реального ущерба субъектам ПДн (там и приостановление деятельности, и штраф до миллиона рублей, и т.д.).
Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.
Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.
Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:
Осуществление оператором ПДн деятельности по обработке персональных данных
Истечение 3-х лет с момента государственной регистрации оператора ПДн.
Т.е. если этот проект будет принят, РКН получит право приходить с плановой проверкой в любой момент, а не только тогда, когда это разрешено законом.
Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:
нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.
Опять же РКН стелит соломку под свои действия. С выходом 294-ФЗ он потерял право проверять даже внепланово, т.к. нарушение прав субъектов ПДн очень сложно притянуть к нанесению вреда жизни и здоровья и нарушению прав потребителя (об этом заявлялось и на парламентских слушаниях). И вот нате вам два новых основания, которые развязывают руки РКН по полной программе.
В остальном ничего интересного в проекте регламента я не заметил.
ЗЫ. Также в рекомендациях парламентских слушаний говорится о том, что должен появиться совместный регламент проверок РКН, ФСТЭК и ФСБ. Какой тогда будет статус этого проекта регламента непонятно.
Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:
уточнить понятия и термины
сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
разрешить обработку ПДн, предшествующую заключению договора
уточнить случаи, когда согласие на обработку не требуются
дополнить случаи, когда обеспечение конфиденциальности не требуется
определить порядок адекватности защиты прав субъектов при трансграничной передаче
ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
конкретизация условий обработки ПДн при директ-маркетинге
ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
исключение требования обязательного использования шифрования
обязательные требования по защите ПДн распространять только на государственные ИСПДн
разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
уточнение полномочий регуляторов в части контроля и надзора
уточнение порядка и сроков уничтожения
включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
отодвинуть срок вступления в силу ст.25.3
исключить требование получения лицензии на ТЗКИ для собственных нужд
внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу - много "приятного")
обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
учитывать международные стандарты по ИБ
разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.
Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.
Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:
жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требований
переносить сроки нельзя, но надо (на один год)
необходимы отраслевые стандарты
необходимо пересматривать обязательные требования по сертификации, аттестации и лицензированию (например, лицензия дает право заниматься определенной деятельностью, а защита ПДн - это обязанность).
закрытость регуляторов.
Затем выступал глава думского комитета по финансовым рынка Резник. Со многим согласился. Он тоже считает, что закон надо менять, а ст.19 должна носить рекомендательный характер. Интересно было предложение персонифицировать ответственность оператора ПДн, как это сделано в 29-й статье ЕвроКонвенции.
После Резника выступал представитель комитета по конституционному законодательству. Он согласился с Гришанковым и Резником и добавил, что права субъекта ПДн абсолютизированы.
Затем было выступление депутата Аксакова (президента Ассоциации региональных банков "Россия"). Живо, по делу и без бумажки. Учитывая, что он банкир, его выступление изобиловало примерами недостатков ФЗ из финансовой сферы. Он первый заявил про коррупциогенность документов ФСТЭК, про направленность требований ФСТЭК на интересы регулятора и интеграторов, про возможность использовать ФЗ для рейдерства. Также считает нужным переносить сроки реализации 19-й статьи на год. Так уж сложилось, что предложения в разработке которых я принимал участие наряду с рядом достойных джентльменов и дам озвучивались от имени Аксакова, а в раздаточные материалы попали от имени РСПП.
Потом выступал Шередин из РКН. По делу почти ничего - зачитал отчет о деятельности РКН за 9 месяцев этого года. Зато у него проскользнуло два интересных пассажа:
внеплановая проверка по обращению субъекта ПДн согласно ФЗ-294 запрещена
судебная практика по ПДн очень незначительна - суды предпочитают считать эту проблему несущественной. Наказаний очень мало, а сумма штрафов измеряется тремя-четырьмя десятками тысяч рублей за этот год.
Потом выступал замминистра юстиции Костенников. Он заявил интересную вещь - несмотря на принятие ФЗ-160, ЕвроКонвенция юридически так и не ратифицирована Россией и мы не входим в список стран, обеспечивающих адекватную защиту ПДн для стран Евросоюза.
Затем выступал представитель ФСБ. Он дистанцировался от ФСТЭК в части закрытости документов (заявил, что их документы публичны). Из интересных вещей сказал, что лицензия на криптозащиту ПДн не нужна (исключая предоставление услуг и распространение шифрсредств). Также ФСБ сейчас готовит регламент проверок по данной теме. Было интересное заявление, что шифровальные средства не являются обязательными для защиты персданных и ФСБ не настаивает на их обязательном применении (в ФЗ хотят внести соответствующий пункт). Также было сказано, что оператор сам определяет какие СКЗИ использовать, но т.к. большинство операторов неквалифицированы, то лучше использовать сертифицированные СКЗИ. Более подробно см. ниже.
Материалы ФСБ по персональным данным Затем выступал г-н Русаков из Московской области. Он высказал интересную мысль, что в российском законодательстве есть требование уведомлять пострадавших субъектов ПДн о факте утечки их ПДн. Видимо он спутал наше законодательство с американским ;-)
Было два выступления страховщиков - от РСА и от Национальной страховой гильдии. От вторых были политически корректные высказывания, от первых конкретика в предложениях. В раздатке были материалы от РСС.
Затем выступал Андрей Емелин из АРБ. Тоже четко и по делу, с цифрами в руках. Учитывая, что он юрист, аппелировал к законодательству и использовал юридически корректные термины. Из ключевых проблем выделил:
что делать с исторически накопленными данными?
как идентифицировать субъекта ПДн?
что делать с выгодоприобретателями?
отзыв согласия
вопросы уничтожения ПДн (особенно из взаимосвязанных и взаимопополняемых БД) и т.д.
Затем вне программы выступил человек от Минздрава. Тоже по делу и с описанием конкретных проблем своей отрасли. Сказал, что если ситуацию не изменить, то с 1-го января все здравоохранение встанет, т.к. ни рецепт выписать, ни больного принять нельзя будет. Он вообще предложил отменить "приказ трех".
Потом выступал Курило Андрей Петрович (Банк России). Опять банкир и опять по делу, живо и без бумажки. Предпоследним выступал Слепаков из Ассоциации региональных операторов связи (ничего нового не сказал, только уточнил ряд вопросов). Больше операторы связи не выступали, как и сидящий в президиуме представитель Минкомсвязи ;-( А вот предложения от операторов связи были - от МТС и Инфокоммуникационного союза.
Завершал слушания Михаил Якушев (от имени АП КИТ). Сказал, что в первончальной версии ФЗ многих этих проблем не было - они появились в результате правки в Госдуме. Предложения от АП КИТ хороши тем, что ориентированы на Интернет-компании и Интернет-сервисы.
ЗЫ. Были еще материалы от Минюста и Рособрнауки, но они у меня плохо отсканировались - завтра выложу, как и проект итоговых рекомендаций с их анализом. Эти рекомендации интересны тем, что это то, что будут пробивать депутаты в итоговую новую версию ФЗ.
