Сейчас очень много вопросов задается относительно новой 19-й статьи и ситуации с уже принятыми отраслевыми стандартами (СТО БР ИББС, НАПФ, НАУФОР и т.д.). Что применять? Действуют ли отраслевые стандарты? И т.д.
Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.
Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.
19 коммент.:
Писали, президенту.
Президенту писали про другое. Его ни о чем не спрашивали. А регуляторов можно и нужно спрашивать. Они обязаны отвечать. Другой вопрос, что они ответят. Но под лежачий камень вода не течет...
Это они издеваются, Алексей.
Странная рекомендация - ответ то очевиден
Чей ответ очевиден и кто издевается?
Я вам доношу прозвучавшую позицию регулятора. Она проста - хотите официальный ответ - присылайте официальный запрос. Позиция ЦБ - заставить набраться критическую массу, чтобы вновь начать договариваться с регуляторами о признании СТО. Для этого нужны письма от банков.
В других отраслях чуть сложнее - там нет ЦБ. Значит надо писать только регуляторам. Они обязаны ответить по закону в 30 дней.
Вот был у меня вопрос - достаточно ли встроить в западный VPN сертифицированный криптопровайдер или нет? Я получил от ФСБ официальный ответ - нет, недостаточно, сертифицируйте все изделие целиком. Нужно было иностранным банкам уточнить, нужна лицензия на СКЗИ для собственных нужд или нет, они направили запрос. Получили развернутый ответ. Нужно было кому-то из операторов понять, что такое обезличивание, они направили в РКН вопрос и получили разъяснение, которым можно прикрыться. Ну и т.д.
Под лежачий камень вода не течет...
Что меня всегда удивляло (хотя раньше я и сам такой был), так это позиция большинства - обсуждать и ругать что-то, даже не спросив официальную позицию автора этого "что-та" ;-(
Вот мы тут три дня уже перетираем и трактуем некоторые статьи ФЗ. По сути, какая разница, как это трактуем мы. Важно, как это трактуют регуляторы. Даже если мы с ней не согласны, знать ее надо. Как минимум, чтобы противопоставить ей свои аргументы.
Только вот РКН не имеет право толковать законные нормы. ФСБ свои нормативные документы - имеет. РКН свои под законники - имеет. А вот закон трактовать - нельзя. Они должны были обратиться в Конституционный суд и уже его трактовку транслировать. Превышеньеце полномочиев.
> Важно, как это трактуют регуляторы.
По предыдущему опыту, "в курилке" они могут трактовать по одному, на людях - по другому, а в официальных ответах - вообще никак (уклончиво и непонятно). Так что те же грабли.
А дело не столько в том, как они это трактуют сами в курилке. Важно, что они пишут в официальных ответах. При проверках этими ответами можно прикрыться (если ответ выгоден).
Ни один регулятор не может трактовать законы... Они трактуют. У меня уже кипа документов от ФСБ с трактовкой законодательства по криптографии. Есть документы от ФСТЭК. По РКН их меньше, но они есть. Они не могут не трактовать, т.к. они эти трактовки используют при проверках. Так что на бумаге они только фиксируют то, что говорят.
Полностью поддерживаю.
Я всегда в пример строительную отрасль приводил: там регулятор достаточно "воспитанный". Мало того, что адекватно реагирует на официальные запросы, дак еще и ответ до всех лицензиатов доводит. И судится с регулятором там не боялись никогда - по всем спорным моментам были разъяснения верховного суда. Может поэтому им саморегуляцию и разрешили (а, ИМХО, строительство куда более нуждается в жесткой регуляции, чем вопросы защиты ПДн).
Алексей, самая здравая мысль за последнее время - не выдумывать мифические злые спецслужбы, а спросить наконец-то у регуляторов, если у ВАс есть сомнения и опасения. Это и к последующему посту относится. А то у Вас с каждым днем все мрачнее и мрачнее, тяжело работать в такой обстановке. Кстати ФСБ по идее Ваши посты раскручивать в поисковиках должны - Вы им такую рекламу делаете... ;-)
Алексей, мне вчера открытым текстом сказали, что на запросы западных компаний ФСБ реагирует уклончиво и формально. Ибо непонятно, что там западная компания себе придумывает и зачем она что-то спрашивает. Спрашивать должны только отечественные компании и только потребители.
Ну и правильно, Алексей, не надо на западные компании работать!!! Поддержим отечественного производителя. Я уверен, что истина находится где-то посередине - и с западными производителями надо бороться, но как-нибудь более демократичнее и рыночнее, с конкуренцией.
Кстати, а почему Вы себя называете западной компанией? Вы же вроде ООО "Сиско", или не так?
> При проверках этими ответами можно прикрыться (если ответ выгоден).
Сразу на ум приходит письмо ФСТЭК в ответ на запрос о том, нужно получать лицензию или нет. Все его хорошо знают. То, 2010 года, Селиным подписанное. И это - ответ ГОСУДАРСТВЕННОЙ структуре, МИНИСТЕРСТВУ! Прикроешься?
Алексею Т.: ООО. Только вот для ФСБ мы все равно западная контора ;-( А ведь у нас еще и лицензии ФСБ есть.
2 Алексей
Ну уж как лицензиат вы имеете право на обращение в ФСБ и получение от них вразумительного ответа - если вопрос затрагивает лицензируемую деятельность, то им формально не отъехать.
Отправить комментарий