3.8.11

Пишите письма

Сейчас очень много вопросов задается относительно новой 19-й статьи и ситуации с уже принятыми отраслевыми стандартами (СТО БР ИББС, НАПФ, НАУФОР и т.д.). Что применять? Действуют ли отраслевые стандарты? И т.д.

Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.

19 коммент.:

Анонимный комментирует...

Писали, президенту.

Алексей Лукацкий комментирует...

Президенту писали про другое. Его ни о чем не спрашивали. А регуляторов можно и нужно спрашивать. Они обязаны отвечать. Другой вопрос, что они ответят. Но под лежачий камень вода не течет...

Alexey Volkov комментирует...

Это они издеваются, Алексей.

Dmitry Leviev комментирует...

Странная рекомендация - ответ то очевиден

Алексей Лукацкий комментирует...

Чей ответ очевиден и кто издевается?

Алексей Лукацкий комментирует...

Я вам доношу прозвучавшую позицию регулятора. Она проста - хотите официальный ответ - присылайте официальный запрос. Позиция ЦБ - заставить набраться критическую массу, чтобы вновь начать договариваться с регуляторами о признании СТО. Для этого нужны письма от банков.

В других отраслях чуть сложнее - там нет ЦБ. Значит надо писать только регуляторам. Они обязаны ответить по закону в 30 дней.

Вот был у меня вопрос - достаточно ли встроить в западный VPN сертифицированный криптопровайдер или нет? Я получил от ФСБ официальный ответ - нет, недостаточно, сертифицируйте все изделие целиком. Нужно было иностранным банкам уточнить, нужна лицензия на СКЗИ для собственных нужд или нет, они направили запрос. Получили развернутый ответ. Нужно было кому-то из операторов понять, что такое обезличивание, они направили в РКН вопрос и получили разъяснение, которым можно прикрыться. Ну и т.д.

Под лежачий камень вода не течет...

Алексей Лукацкий комментирует...

Что меня всегда удивляло (хотя раньше я и сам такой был), так это позиция большинства - обсуждать и ругать что-то, даже не спросив официальную позицию автора этого "что-та" ;-(

Вот мы тут три дня уже перетираем и трактуем некоторые статьи ФЗ. По сути, какая разница, как это трактуем мы. Важно, как это трактуют регуляторы. Даже если мы с ней не согласны, знать ее надо. Как минимум, чтобы противопоставить ей свои аргументы.

ZZubra комментирует...

Только вот РКН не имеет право толковать законные нормы. ФСБ свои нормативные документы - имеет. РКН свои под законники - имеет. А вот закон трактовать - нельзя. Они должны были обратиться в Конституционный суд и уже его трактовку транслировать. Превышеньеце полномочиев.

Alexey Volkov комментирует...

> Важно, как это трактуют регуляторы.

По предыдущему опыту, "в курилке" они могут трактовать по одному, на людях - по другому, а в официальных ответах - вообще никак (уклончиво и непонятно). Так что те же грабли.

Алексей Лукацкий комментирует...

А дело не столько в том, как они это трактуют сами в курилке. Важно, что они пишут в официальных ответах. При проверках этими ответами можно прикрыться (если ответ выгоден).

Алексей Лукацкий комментирует...

Ни один регулятор не может трактовать законы... Они трактуют. У меня уже кипа документов от ФСБ с трактовкой законодательства по криптографии. Есть документы от ФСТЭК. По РКН их меньше, но они есть. Они не могут не трактовать, т.к. они эти трактовки используют при проверках. Так что на бумаге они только фиксируют то, что говорят.

doom комментирует...

Полностью поддерживаю.

Я всегда в пример строительную отрасль приводил: там регулятор достаточно "воспитанный". Мало того, что адекватно реагирует на официальные запросы, дак еще и ответ до всех лицензиатов доводит. И судится с регулятором там не боялись никогда - по всем спорным моментам были разъяснения верховного суда. Может поэтому им саморегуляцию и разрешили (а, ИМХО, строительство куда более нуждается в жесткой регуляции, чем вопросы защиты ПДн).

Алексей Т. комментирует...

Алексей, самая здравая мысль за последнее время - не выдумывать мифические злые спецслужбы, а спросить наконец-то у регуляторов, если у ВАс есть сомнения и опасения. Это и к последующему посту относится. А то у Вас с каждым днем все мрачнее и мрачнее, тяжело работать в такой обстановке. Кстати ФСБ по идее Ваши посты раскручивать в поисковиках должны - Вы им такую рекламу делаете... ;-)

Алексей Лукацкий комментирует...

Алексей, мне вчера открытым текстом сказали, что на запросы западных компаний ФСБ реагирует уклончиво и формально. Ибо непонятно, что там западная компания себе придумывает и зачем она что-то спрашивает. Спрашивать должны только отечественные компании и только потребители.

Алексей Т. комментирует...

Ну и правильно, Алексей, не надо на западные компании работать!!! Поддержим отечественного производителя. Я уверен, что истина находится где-то посередине - и с западными производителями надо бороться, но как-нибудь более демократичнее и рыночнее, с конкуренцией.

Алексей Т. комментирует...

Кстати, а почему Вы себя называете западной компанией? Вы же вроде ООО "Сиско", или не так?

Alexey Volkov комментирует...

> При проверках этими ответами можно прикрыться (если ответ выгоден).

Сразу на ум приходит письмо ФСТЭК в ответ на запрос о том, нужно получать лицензию или нет. Все его хорошо знают. То, 2010 года, Селиным подписанное. И это - ответ ГОСУДАРСТВЕННОЙ структуре, МИНИСТЕРСТВУ! Прикроешься?

Алексей Лукацкий комментирует...

Алексею Т.: ООО. Только вот для ФСБ мы все равно западная контора ;-( А ведь у нас еще и лицензии ФСБ есть.

doom комментирует...

2 Алексей

Ну уж как лицензиат вы имеете право на обращение в ФСБ и получение от них вразумительного ответа - если вопрос затрагивает лицензируемую деятельность, то им формально не отъехать.