Pages - Menu

Страницы

28.9.09

Об активности и пассивности операторов ПДн

Участвуя в последнее время в различных публичных и не очень мероприятиях по тематике персданных обратил внимание на интересный момент - абсолютная пассивность операторов персданных ;-(

Задавая вопрос регуляторам мало кто называет свою организацию, опасаясь, что придут и проверят (хотя это малореализуемо на практике). Спорные вопросы федерального закона и постановлений правительства тоже никто не спрашивает официальным путем. А ведь, отвечая на вопросы на публичных мероприятиях, представитель регулятора в общем-то не озвучивает никакой официальной позиции, на которую можно сослаться в будущем. Такая позиция может быть получена только при официальном запросе в федеральной орган исполнительной власти. А этого опять никто не делает, опасаясь, что "придут и накажут за инициативу". При выступлениях представителей АРБ и ЦБ все пытаются узнать их мнение, а на прямой вопрос со стороны этих организаций "А вы присылали нам официальный запрос на получение рекомендаций?" все отвечают "А вы разве ответите?" ;-) Т.е. все ждут рекомендаций, как вести себя и что делать, но никто не хочет проявить инициативу и спросить самому у регулятора, МинЮста и т.п. разъяснение. А ведь мы живем не в той стране, чтобы регуляторы самостоятельно разъясняли какой-то нормативный акт и давали какие-то рекомендации.

Вот и получается полный вакуум. Операторы хотят разъяснений, но не готовы их запрашивать от своего имени, а регуляторы и иные "весомые" организации готовы (или обязаны) их давать, но не хотят делать это по собственной инициативе. А в итоге пострадают сами операторы, которые чего-то побоялись спросить.

А 1-е января близится...

10 комментариев:

  1. Регуляторы тоже не идут на встречу с разъяснениями, пусть даже с неофициальной позицией. Недавно у нас в Новосибирске прошел круглый стол с участием представителей ФСТЭК по региону, и участие регуляторов состояло в том, что они просто вслух читали законы и постановления. А на все насущные вопросы, как же выполнять требования, например, в банках, когда конфигурации постоянно меняются, но все должно быть сертифицировано и аттестовано, уважаемый руководитель ФСТЭК угрожающе отвечал "Думать надо!" а потом "Выполнять требевония", и все, позиция - как у военных - есть устав, читайте, а как уж его понимать, сами решайте, но чтобы все соответствовало. Вот все и прячутся, идут по пути наименьшего сопротивления.

    ОтветитьУдалить
  2. Тут прикол следующий - за все эти выполнения требований отвечает оператор, за течки отвечает оператор, деньги платит опять оператор. Какая-то дойная корова (и так у нас везде). А вот, например, мелкий вопрос. При сертификации-аттестации фиксируем среду, замораживаем её изменение. И вдруг выясняется, что есть дыра размером с ворота. Кто отвечает в случае утечки - производители систем, оператор или аттестующий?

    ОтветитьУдалить
  3. Регуляторы тоже не идут на встречу с разъяснениями, пусть даже с неофициальной позицией.

    Не бывает "неофициальной позиции регулятора" :)

    Если товарищ Иванов на встрече с общественностью что-то заявляет, то это по определению личное мнение товарища Иванова. Если это мнение впоследствии разойдется с таким же личным мнением старших товарищей, он будет иметь бледный вид :)

    А товарищ Иванов обычно дорожит своим креслом и подставляться не хочет.

    ОтветитьУдалить
  4. Кто отвечает в случае утечки - производители систем, оператор или аттестующий?

    Оператор :)

    Весь фокус сертификации и аттестации в том, что ни органы по аттестации, ни испытательные лаборатории, ни экспертные организации за подобные ошибки ответственности не несут :)

    ОтветитьУдалить
  5. malotavr'у: я подозреваю. ))
    потому оператор и стоит в пассивной позиции. его уже в неё поставили и объявили срок начала имения. потому у операторов вопрос стоит скорее как отделаться малой кровью, а не заниматься защитой ПД

    ОтветитьУдалить
  6. Чтобы отделаться малой кровью надо спрашивать. Если не регулятора, то своих кураторов в виде, например, ЦБ или АРБ или сразу в МинЮст. А они и этого не делают ;-(

    ОтветитьУдалить
  7. Алексей, наши кураторы в головном офисе прозевали момент и не заложили денег в бюджет ни на этот, ни на следующий год и теперь встают в позицию "а где вы сами были?" и заставляют филиалы в срочном порядке получать лицензию ФСТЭК на деятельность по защите КИ. На все остальные вопросы - тишина. Сами мы-бы и рады официально спросить у регуляторов, но с вероятностью 100% получим по башке от московских товарищей за самодеятельность - примеры уже есть.

    ОтветитьУдалить
  8. А вот мы спросили регуляторов... правда было это в апреле и ответы получены только в августе.

    Вопросов было задано 16, ответили только на 11. Поскольку Документ ДСП), выкладывать тут его дословно не буду, но несколько интересных моментов перескажу).

    1. Вывод о необходимости лицензии на ТЗКИ предъявлен по следующим цепочкам:
    А)ФЗ152 обязал защитить ПДн, которые в свою очередь по перечню 1997 года являются сведениями конфиденциального характера.
    Б)Требование о лицензировании деятельности по ТЗКИ установлено ФЗ128 от 2001.
    Всё... дальше по их официальному письму сразу идёт вывод о необходимости лицензии на техзащиту при обработке ПДн.. Все в очередь за лицензией. и бабки готовим. Стоимость по ключ аттестованного АРМ в районе 65тр. Причём как видите из вывода необходимость лицензии инварианта по отношению к качеству и количеству ИСПДн, т.е. все 7млн операторов должны её иметь.

    2. Интересная трактовка хвостика про "дополнительную информацию" при различении 2 и 3 категории ПДн, привожу почти дословно - "Определение состава персональных данных, позволяющих идентифицировать субъекта ПДн, не входит в компетенцию ФСТЭК России". По мне, так очевидно, что исходя из такой логики 2й категории не бывает.

    3. Был вопрос про ответственность регулятора в случае провала сертифицированных им средств защиты. Ответа нет.

    Итого: можно конечно спрашивать регуляторов, но толку мало - здравый смысл, равно как методическая поддержка отсутсвует.

    ОтветитьУдалить
  9. В добавление к первому комментарию: когда я задал вопрос руководителю ФСТЭК по СФО, он в дополнение ответов "Думать надо" и "Выполнять надо" сказал "а мы придем и проверим как вы выполняете". Было бы желание, а основания проверки и состряпать можно. Если возвращаться например к вопросу проверки Роскомнадзором УРСА Банка.
    Я понимаю, что это не официальная позиция, но все же заставляет задуматься.
    А официальная версия ответа не дала бы необходимых разъяснений в силу специфики вопроса.

    ОтветитьУдалить
  10. Только вот регулятор не может просто так взять и придти. Нужны основания. Правовые. Серьезные. И кучу всяких вещей нужно соблюсти, чтобы не нарушить ФЗ-294 и не попасть в поле зрения прокуратуры.

    А вот лицензиат обязан выполнять внутренние нормативные документы ФСТЭК. Поэтому всех и наклоняют на это ;-)

    Надо не тупо бежать выполнять все, что неофициально наговорят регуляторы, а почитать законы про права и обязанности регуляторов. И все встанет на свои места ;-)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.