26.8.11

О новом опусе Роскомнадзора

Многие слышали о том, что 19-го августа РКН выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Алексей Волков уже прошелся по нему и, в принципе, осветил ключевые моменты, но я со своей стороны тоже не могу обойти его вниманием.

Начну с того, что РКН не только поторопился выпускать приказ до появления новых Постановлений Правительства, которых будет 9, разъясняющих новый старый ФЗ-152, но и допустил ряд фактических ошибок в тексте приказа. Например, определение основополагающего термина "персональные данные" по версии Роскомндазора отличается от версии, указанной в Федеральном законе. Они опять зачем-то включили в определение перечисление "фамилия, имя, отчество..". Ну а кривизна рук при копировании термина "биометрические персональные данные", рзультат которой теперь попал во всем правовые системы... это отдельная песня. Вообще с русским языком у авторов приказа явно были нелады. Как вам фраза "необходимо указать без передачи полученной информации"?

А вот дальше пойдут вопросы. Что такое "лицензионные условия, закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных"? Я несколько раз перечитал этот пункт, но его не понял ;-( Идем дальше.

Про дублирование пунктов и требование указание класса ИСПДн (при отсутствии такого требования в нормативной базе) Алексей уже написал. Также он задался вопросом, с какого перепугу в приказ попали требования указания для СКЗИ уровня защиты от утечек по побочке и уровня защиты от НСД для СКЗИ. Видимо авторы приказа не знают, что эта информация имеет гриф "секретно" и она недоступна не то, что простому оператору ПДн. Она недоступна даже многим лицензиатам ФСБ, имеющим право на разработку СКЗИ. В лучшем случае эти лицензиаты имеют дело с выписками из секретных документов, а иногда и с выписками из выписок. Как указывать эту информацию РКН, конечно, же не говорит. А вот за ее отсутствие может и привлечь по ст.19.7 КоАП. Ссылка на нелегитимные методические рекомендации ФСБ - это еще один юридический нонсенс.

Забавно выглядит п.12, который не только повторяет п.10а и 10г, но и требует того, чего еще в природе нет - требования по защите ПДн Правительством пока не установлены.

Вот такие документы пишут наши уполномоченные органы... А операторам потом расхлебывать это гуано.

7 коммент.:

Michael комментирует...

Спешат зачем-то... А ведь есть положительные результаты, которых они могут достичь:
1. Что проверяемые знают о том, что они обрабатывают ПДн
2. Что есть утвержденный порядок (пусть не соответствующий несуществующей нормативке)
3. Что есть ответственный за обработку ПДн
4. Что сотрудники, обрабатывающие ПДн, знают об этом

Подобные замечания, правда со ссылками на нормативку с сомнительным статусом, уже у Алексея Волкова подробно обсуждались.

Пусть утвердят регламент (до 10 пунктов, аналогичных указанным) и каждый год пересматривают (добавляют/изменяют) по мере стабилизации ситуации и нормативки.

Тогда постепенно начнется осознание проблемы, а не как сейчас: полгода ждем, получаем кучу не самых прогрессивных документов, полгода-год думаем, что с этим делать, инициируем пересмотр закона (еще на год) и по циклу

Пока закон своей функции не выполняет, судя по выпускаемым документам и их последствиям....

Michael комментирует...
Этот комментарий был удален автором.
Павел комментирует...

То что касается уровня спец защиты от УТК:

У нас одно Министерство в котировке по переаттестации АС, в ТЗ прямо указало требование:

- определение уровня криптографической защиты персональных данных, уровня специальной защиты от утечки по каналам побочных излучений и наводок и уровня защиты от несанкционированного доступа

Позвонил в местное управление ФСБ. Там ничего не подсказали. Звоню в УФСТЭК по СФО, там говорят: "Делайте по документам ФСТЭК"

Вот такие вот дела, везде люди - "человеки" работают, не роботы.

Dmitry Leviev комментирует...

Выполнение закона в лоб все равно приведет к нарушению закона.
Фактически сейчас легализованы те пункты, которые есть в электронной форме уведомления. До этого почему никто не говорил, что электронная форма противоречит бумажной и приказу.
Надо спокойно делать последовательные действия. Все оплошности постепенно будут убираться.

ZZubra комментирует...

Эт Вы зря.
Во-первых. Эти требования были и в предыдущих приказах.
Во-вторых. Я много раз говорил, что это не правильно, секретно, и не имеет практического смысла - никто не смог мне назвать средство от ПЭМИН в продаже сертифицированное ФСБ (с уровнями НСД по ФСБ чуть по-легче: есть продукты у Информзащиты и Алкссофта).
Писал замечание-предложение через руководителя местного Роскомнадзора. Несколько раз (15-20) приводил УФСБ к Роскомнадзору и они им говорили это не собирать для конкретных организаций и вообще. НО! В итоге есть приказ и Роскомнадзор его выполняет. Все пишут фигню. Как обоснование того, что они имеют право собирать - Московское ФСБ, чтобы не дублировать реестр забирает данные от Роскомнадзора, это мол их требование. А Роскомнадзор это никому кроме ФСБ не показывает.

А Вы говорите...

Михаил Юрьевич Емельянников комментирует...

> Что такое "лицензионные условия, закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных"? Я несколько раз перечитал этот пункт, но его не понял ;-(
Алексей, все очень просто. п.6 ч.3 ст.23 ФЗ-152, права Роскомнадзора: "направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных".
Предполагается, что появятся лицензионные требования с такими сказочными словами (к телекому, банкам, страховым компаниям и пр.) Особенно сейчас актуально. Блажен, кто верует. А РКН спит и видит, когда начнет деятельность приостанавливать

Alexey Volkov комментирует...

> появятся лицензионные требования с такими сказочными словами (к телекому, банкам, страховым компаниям и пр.) ... А РКН спит и видит, когда начнет деятельность приостанавливать

Блииииин, ну как же я сам до этого не догадался.... :)