Был я на прошлой неделе на 4-м Алтайском ИТ-форуме в городе Барнауле с выступлением по решениям Cisco в области персональных данных (сама презентация доступна на SlideShare).И выступал передо мной представитель ФСТЭК по СФО, который сделал несколько интересных заявлений, которыми я и хотел бы поделиться:
ЗЫ. Раз уж зашел разговор о форуме, то не могу не сказать об отличной организации мероприятия. 4-й год подряд мероприятие становится все лучше и лучше, что оценивается и участниками. В этом году было 443 участника при 500 зарегистрированных. Организацией занималась компания Галэкс, за что ей огромная благодарность. К слову сказать, организовать такое мероприятие в до сих пор несданном помещении театра, где на все фойе с выставкой было три розетки... Это, я вам скажу, уметь надо ;-)
- На вопрос о том, нужна ли лицензия на ТЗКИ ответ был заковырист, но предсказуем. Итак логика ФСТЭК следующая. Вы видите в термине "обработка ПДн" слово "защита"? Нет. Значит множество операторов ПДн не равно множеству лицензиатов ФСТЭК. Дальше последовало разъяснение, что такое "защита информации" и был взят за основу ГОСТ 50922 (я лет 15 назад имел некоторое отношение к первой редакции этого ГОСТа, как его критик). Т.к. под данное определение подпадают все виды конфиденциальной информации, а ПДн также относится к ней, то лицензия на ТЗКИ нужна всем. Но не потому, что вы обрабатываете ПДн или являетесь оператором. А потому что то, что вы делаете, совпадает с тем, что написано в ГОСТ 50922, т.к. является лицензируемым видом деятельности. Вот такая сложная цепочка рассуждений, итог которой прост - лицензия ФСТЭК на ТЗКИ нужна всем. К слову замечу, что ФСТЭК УрФО утверждает, что лицензия нужна только тем, кто представляет услуги по ТЗКИ на платной основе; а для собственных нужд лицензия не нужна.
- Часть подзаконных актов по ПДн будут разработаны, ВНИМАНИЕ,... ко 2-му кварталу 2012 года, а вся нормативка к концу 2012 года.
- На закономерный вопрос о том, как жить до принятия новой нормативки, представитель ФСТЭК ответил, что жить по-старому, т.е. по 58-му приказу и двум документам по моделированию угроз. Кстати, представитель ФСТЭК считает, что моделированием угроз по-прежнему должны заниматься операторы ПДн. И это несмотря на то, что в новом старом ФЗ этой привилегии операторы лишены.
- Кстати, "приказа трех" как и 58-го приказа не будет - им на смену придут другие документы.
- По поводу оценки соответствия представитель ФСТЭК заявил классическую фразу: "оценка соответствия - это сертификация" и сослался на ПП-330. Также он проговорился, что к оценке соответствия установленного порядка относится еще и госконтроль и надзор (по ПП-330), но, мол, это не дело операторов и их не касается. И вообще, по поводу ПП-330, представитель ФСТЭК заявил, что оно касается только разработчиков СЗИ и к операторам никакого отношения не имеет. На каком основании он сделал этот вывод я не понял.
- Ну и наконец, ФСТЭК всех пугала наказаниями по ст.13.12 (применение несертифицированных СЗИ) и 13.13 (безлицензионзионная деятельность).
ЗЫ. Раз уж зашел разговор о форуме, то не могу не сказать об отличной организации мероприятия. 4-й год подряд мероприятие становится все лучше и лучше, что оценивается и участниками. В этом году было 443 участника при 500 зарегистрированных. Организацией занималась компания Галэкс, за что ей огромная благодарность. К слову сказать, организовать такое мероприятие в до сих пор несданном помещении театра, где на все фойе с выставкой было три розетки... Это, я вам скажу, уметь надо ;-)
Интересно, а мнение этого представителя ФСТЭК можно оспорить на основании ч.4 ст.8 ФЗ-99:
ОтветитьУдалить"К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта"?
Мне кажется, что с учетом внесения формулировки "за исключением случая, если ... осуществляется для обеспечения собственных нужд" в вид деятельности по криптографии и отсутствия таковой в виде деятельности по ТЗКИ, желание ФСТЭК лицензировать всех операторов ПДн очевидно.
ОтветитьУдалитьПо поводу лицензионных требований давно бы уж пора понять, что это требование к лицензиатам, а не основания для определения лицензиат он или нет.
Алексей: Ну 99-ФЗ еще не вступил в силу ;-)
ОтветитьУдалитьПроблема с российскими регуляторами не связана с их жесткими или мягкими подходами. Проблема лежит совсем в иной плоскости.
ОтветитьУдалитьХотите жесткую регуляцию - не вопрос! Подготовьте предметную политику России в области ИБ, сделайте экономический расчет (сколько это будет стоить?), опубликуйте и донесите до всех участников рынка, что вы хотите сделать и в какие сроки.
Никто не спорит, что есть вещи не для публикации, но общий-то вектор определить нужно.
У нас в среде регуляторов полный разброд и шатание. От мероприятия к мероприятию слышу противоречащие друг другу позиции. В официальных документах разных управлений хаос.
В этом наша проблема, а не в строгости законов и регуляции. Проблема в непоследовательности, отсутствии внятной политики государства, противоречие отработанным международным подходам.
Короче, у нас по прежнему 2 беды, одна связана с менеджментом, другая с инфраструктурой.
Полностью согласен с Е.Царевым. Дураки и дороги!... На месте Алексея Лукацкого не верил бы заявлениям региональных представителей регуляторов - не они нормативно-методическую работу ведут. От себя: про документы, которые будут (не важно, в 2012,13) - они сильно удивят Вас очередной помесью best practics и ПД ИТР :)
ОтветитьУдалитьto Д.Никитин:
ОтветитьУдалитьСомневаюсь, что Алексей "верит" словам регуляторов, просто транслирует услышанное ;-) .
Он "транслирует", а слушатели ВЕРЯТ!.. а потом, в процессе "оценки соответствия в форме гос.контроля и надзора" ссылаются на него и делают круглые глаза... их то проверяют именно регионалы((...
ОтветитьУдалитьНу а вот сейчас, когда на полгода или больше всё повисло в воздухе, что мы операторам посоветуем? ждать?
Например я Оператор, зачем мне Лицензя на ТЗКИ ?
ОтветитьУдалитьЯ могу обратиться к организации-лицензиату которая уже имеет лицензию на ТЗКИ, и она выдаст необходимые Оператору аттестаты соответствия
Просто как ни крути лицензия на ТЗКИ - это полгода заморочек и 1,5 млн рублей затрат как минимум
а аттестат соответствия гораздо дешевле и быстрее.
не пойму зачем, детскому саду лицензия на ТЗКИ за 1,5 млн. рублей
когда можно платить за аттестат соответствия 15 тыс/ 1 компьютер + средства от НСД
Бред?!
Евгений, корень проблем все-таки не в разброде в среде регуляторов. Это всего лишь следствие.
ОтветитьУдалитьВы видели отчет о доходах сотрудников ФСТЭК? Как вы думаете, это сильно их мотивирует на эффективную безкоррупционную деятельность?
Так что проблема в общей отсталости государственного управления в нашей стране и нежелании его совершенствовать. Хотя может это и разумно не делать все быстро, все таки даже крупный и эффективный бизнес не выстроишь за год-два, что уж тут говорить про государственную систему.
Насчет лицензии ФСТЭК предлагает альтернативу - обратиться к лицензиатам
ОтветитьУдалитьДля получения лицензии ФСТЭК необходимо выполнить ряд требований, среди которых покупка оборудования. Большинство операторов не могут "раскошелится" на ТЗИ, а тут еще и оборудование покупать. Кроме того, получить лицензию у ФСТЭК само по себе дело не простое и требует как минимум, чтобы ФСТЭК хотя бы слышало об организации. Получается что ФСТЭК загоняет себя в угол заставляя операторов получать лицензию, которую ФСТЭК им вряд-ли даст.
ОтветитьУдалить