Сейчас очень много вопросов задается относительно новой 19-й статьи и ситуации с уже принятыми отраслевыми стандартами (СТО БР ИББС, НАПФ, НАУФОР и т.д.). Что применять? Действуют ли отраслевые стандарты? И т.д.
Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.
Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.
Писали, президенту.
ОтветитьУдалитьПрезиденту писали про другое. Его ни о чем не спрашивали. А регуляторов можно и нужно спрашивать. Они обязаны отвечать. Другой вопрос, что они ответят. Но под лежачий камень вода не течет...
ОтветитьУдалитьЭто они издеваются, Алексей.
ОтветитьУдалитьСтранная рекомендация - ответ то очевиден
ОтветитьУдалитьЧей ответ очевиден и кто издевается?
ОтветитьУдалитьЯ вам доношу прозвучавшую позицию регулятора. Она проста - хотите официальный ответ - присылайте официальный запрос. Позиция ЦБ - заставить набраться критическую массу, чтобы вновь начать договариваться с регуляторами о признании СТО. Для этого нужны письма от банков.
ОтветитьУдалитьВ других отраслях чуть сложнее - там нет ЦБ. Значит надо писать только регуляторам. Они обязаны ответить по закону в 30 дней.
Вот был у меня вопрос - достаточно ли встроить в западный VPN сертифицированный криптопровайдер или нет? Я получил от ФСБ официальный ответ - нет, недостаточно, сертифицируйте все изделие целиком. Нужно было иностранным банкам уточнить, нужна лицензия на СКЗИ для собственных нужд или нет, они направили запрос. Получили развернутый ответ. Нужно было кому-то из операторов понять, что такое обезличивание, они направили в РКН вопрос и получили разъяснение, которым можно прикрыться. Ну и т.д.
Под лежачий камень вода не течет...
Что меня всегда удивляло (хотя раньше я и сам такой был), так это позиция большинства - обсуждать и ругать что-то, даже не спросив официальную позицию автора этого "что-та" ;-(
ОтветитьУдалитьВот мы тут три дня уже перетираем и трактуем некоторые статьи ФЗ. По сути, какая разница, как это трактуем мы. Важно, как это трактуют регуляторы. Даже если мы с ней не согласны, знать ее надо. Как минимум, чтобы противопоставить ей свои аргументы.
Только вот РКН не имеет право толковать законные нормы. ФСБ свои нормативные документы - имеет. РКН свои под законники - имеет. А вот закон трактовать - нельзя. Они должны были обратиться в Конституционный суд и уже его трактовку транслировать. Превышеньеце полномочиев.
ОтветитьУдалить> Важно, как это трактуют регуляторы.
ОтветитьУдалитьПо предыдущему опыту, "в курилке" они могут трактовать по одному, на людях - по другому, а в официальных ответах - вообще никак (уклончиво и непонятно). Так что те же грабли.
А дело не столько в том, как они это трактуют сами в курилке. Важно, что они пишут в официальных ответах. При проверках этими ответами можно прикрыться (если ответ выгоден).
ОтветитьУдалитьНи один регулятор не может трактовать законы... Они трактуют. У меня уже кипа документов от ФСБ с трактовкой законодательства по криптографии. Есть документы от ФСТЭК. По РКН их меньше, но они есть. Они не могут не трактовать, т.к. они эти трактовки используют при проверках. Так что на бумаге они только фиксируют то, что говорят.
ОтветитьУдалитьПолностью поддерживаю.
ОтветитьУдалитьЯ всегда в пример строительную отрасль приводил: там регулятор достаточно "воспитанный". Мало того, что адекватно реагирует на официальные запросы, дак еще и ответ до всех лицензиатов доводит. И судится с регулятором там не боялись никогда - по всем спорным моментам были разъяснения верховного суда. Может поэтому им саморегуляцию и разрешили (а, ИМХО, строительство куда более нуждается в жесткой регуляции, чем вопросы защиты ПДн).
Алексей, самая здравая мысль за последнее время - не выдумывать мифические злые спецслужбы, а спросить наконец-то у регуляторов, если у ВАс есть сомнения и опасения. Это и к последующему посту относится. А то у Вас с каждым днем все мрачнее и мрачнее, тяжело работать в такой обстановке. Кстати ФСБ по идее Ваши посты раскручивать в поисковиках должны - Вы им такую рекламу делаете... ;-)
ОтветитьУдалитьАлексей, мне вчера открытым текстом сказали, что на запросы западных компаний ФСБ реагирует уклончиво и формально. Ибо непонятно, что там западная компания себе придумывает и зачем она что-то спрашивает. Спрашивать должны только отечественные компании и только потребители.
ОтветитьУдалитьНу и правильно, Алексей, не надо на западные компании работать!!! Поддержим отечественного производителя. Я уверен, что истина находится где-то посередине - и с западными производителями надо бороться, но как-нибудь более демократичнее и рыночнее, с конкуренцией.
ОтветитьУдалитьКстати, а почему Вы себя называете западной компанией? Вы же вроде ООО "Сиско", или не так?
ОтветитьУдалить> При проверках этими ответами можно прикрыться (если ответ выгоден).
ОтветитьУдалитьСразу на ум приходит письмо ФСТЭК в ответ на запрос о том, нужно получать лицензию или нет. Все его хорошо знают. То, 2010 года, Селиным подписанное. И это - ответ ГОСУДАРСТВЕННОЙ структуре, МИНИСТЕРСТВУ! Прикроешься?
Алексею Т.: ООО. Только вот для ФСБ мы все равно западная контора ;-( А ведь у нас еще и лицензии ФСБ есть.
ОтветитьУдалить2 Алексей
ОтветитьУдалитьНу уж как лицензиат вы имеете право на обращение в ФСБ и получение от них вразумительного ответа - если вопрос затрагивает лицензируемую деятельность, то им формально не отъехать.