По результатам вчерашней конференции в Челябинске, организованной Аста-Информ, была получена очень интересная информация. Не всегда новая, но это тоже важно - подтвердить худшие опасения или направления деятельности регуляторов. Кстати, что касается регуляторов, то это, на моей памяти, единственное мероприятие, где присутсвовали в полном составе представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Итак новости следующие:
- ФСТЭК подтвердил свою позицию, что лицензия должна быть у каждого оператора ПДн. Обосновать не смогли, но позицию высказали.
- Под оценкой соответствия ФСТЭК понимает только сертификацию и ничего другого. Доказать не смогли, но с дороги не сворачивают.
- На одной из секций ФСТЭК заявил, что аттестация тоже обязательна. На второй секции у него уточнили этот вопрос и ФСТЭК заявил, что на СЕГОДНЯШНИЙ день аттестация не нужна. Но я уже писал про планы ФСТЭК к концу года подвести под это законную базу. Так что ждем-с...
- РКН по прежнему считает, что публикация списков должников ЖКХ, а также работа коллекторов незаконна. Даже несмотря на пункт в ФЗ об отсутствии необходимости получения согласия защиты законных интересов оператора ПДн. РКН вообще читает эту норму не так, как написано в ФЗ. Они ее читают как "законные основания", а не "законные интересы", и считают, что либо в законе должно быть прописано, либо не имеете права. Кстати, про коллекторов и обработку ими персданных я буду писать в понедельник - там есть много новостей интересных.
- РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках. Т.е. оснований у самих технических регуляторов для проверок коммерческих компаний нет, но это можно сделать, если выступать в качестве эксперта у РКН на побегушках. При этом предписание об устранении выдает не ФСТЭК/ФСБ, а РКН и придраться к незаконности проверок этих "технических" регуляторов почти невозможно ;-(
- Очень понравился мне подход Челябинского управления ФСБ. Ну очень... Они действуют так, как должен регулятор. Ничего лишнего не требуют. Например, т.к. в законе написано про оценку соответствия СКЗИ, а не про сертификацию, то они в Челябинске не требуют сертификатов на СКЗИ у коммерческих организаций - смотрят на соответствие модели нарушителя. Они не горят желанием привлекаться со стороны РКН как эксперты по части технической проверки по линии ПДн. Челябинская ФСБ не считает невыполнение 152-й инструкции основанием для отказа в выдаче лицензии. Ну и т.д. Очень здравый взгляд. При этом госов они контролируют активно - уже и наказаний по 13.12 КоАП за отсутствие сертифицированных СКЗИ выписали больше чем другие управления в УрФО.
- На вопрос РКН, надо ли переделывать уже разработанные в организации документы по старому ФЗ, они ответили, что нет, не надо. Мол, дождемся новой нормативной базы - тогда и будем смотреть.
- На вопрос РКН, надо ли классифицировать ИСПДн, они ответили, что если уже классифицировано, то и пусть будет. Но если только в процессе, то лучше приостановить этот процесс, т.к. по новой нормативке классификации ИСПДн нет.
- На вопрос РКН, должны ли быть ответственные в филиалах организации, они ответили, что да. Иначе они не смогут проводить проверки без ответственного (это из ФЗ-294 вытекает).
- На вопрой РКН, как обрабатывать ПДн ближайших родственников, они ответили, что только по явному согласию.
- На вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО.
- В согласии на передачу ПДн третьим лицам, а также обработчикам, РКН требует указания конкретных наименований и адресов этих лиц. Только в крайних случаях они готовы воспринимать типы третьих лиц (страховые компании, курьеры и т.д.).
20 коммент.:
Всегда считал и считаю из всех регуляторов ФСБ наиболее адекватной, как пример, подход к лицензированию, тут вам и собственные нужды, и подъемные затраты на получение лицензий (кроме производства). Да и в интересах ведомства, чтобы доступ к ПДн был попроще, чтоб лишний раз не заморачиваться:). ФСТЭК - чудо в перьях, динозавр советских времен. РКН - почитал на их сайте проект регламента проверок, юрслужбу надо разогнать, основание внеплановых проверок - берут на себя функции прокуратуры, куда она смотрит?
>Мол, дождемся новой нормативной базы - тогда и будем смотреть.
Какие-то хоть ориентировочные сроки ее появления не назывались?
2 tiger-66
Могу со 100% уверенность назвать срок внесения изменений в ч.2 прим. ст. 25 закона - ноябрь 2012 г. в части переноса сроков предоставления сведений в РКН.
Алексей, ФСТЭК, ФСБ и РКН - кем они были представлены? Насколько эти люди осведомлены о планах центральных аппаратов? Это не праздный вопрос, дельного много в их ответах, неясно насколько все это соответствует реальности а не мечты сотрудников соответствующих управлений. А с чего возник вопрос про акт уничтожения ПДн тысяч субъектов???
Все, посмотрел состав участников, я бы не относился серьезно к их ответам, хотя конечно Челябинцам прислушиваться придется. :-)
По пункту 9. Это бред Сивокобылина. Они не могут проводить проверки в филиале (обособленном подразделении), если он не имеет статуса самостоятельного юридического лица, так как оператором в этом случае является юрлицо-родитель, со всеми вытекающими, в том числе и ответственным.
2 Сергей
1. У РКН не проект регламента, а действующий регламент, прошедший Минюст. Основания в основном взяты из 294-ФЗ, дополнительные основания вполне разумны с их точки зрения
2. По поводу вашей 100% уверенности о переносах сроков, Алексей Волков уже писал об утверждении новой формы уведомления, да и на сайте РКН лежит электронная форма, в которой все сведения из ч.2.1 ст.25 №152 почему-то являются обязательными для заполнения.
2 Алексей Волков
п.9 не такой уж и бред. По имеющимся сведениям на следующий год прокуратура уже утвердила в плане плановых проверок проверки филиалов (не юр. лица), которые проводятся одновременно с проверкой головного юридического лица.
Алексей Волков
Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют?
Каковы на ваш взгляд задачи ответственного за ПДн в филиале?
Выполнять команды головного офиса и все?
> которые проводятся одновременно с проверкой головного юридического лица
Это ключевой момент.
> Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют?
"Не проводить никаких мероприятий раз не проверяют" - порочная практика и непотребная позиция вцелом. Но если ее занимать, то раньше можно было этого не делать. Чтобы это искоренить и придумали то о чем пишут выше.
> Каковы на ваш взгляд задачи ответственного за ПДн в филиале?
Филиал - это такое же подразделение оператора как и любое другое, со своим руководителем. руководитель априори отвечает за соблюдение сотрудниками и собой лично приказов, нормативов и т.д. (у него это в ДИ прописано), к которым, собственно, относятся приказы и док-ты по обработке и защите ПДн. Однако закон требует назначить ответственного у ОПЕРАТОРА, коим является юрлицо. Вот этот ответственный и должен курировать работу с руководителями подразделений и филиалов.
я там был как слушатель.
озвученные позиции это именно мнения регуляторов одного конкретного региона, а они вообще довольно разнятся от региона к региону.
а про новости центральных аппаратов они не в курсе.
про лицензии фстэк чувак не ответил прямо, а изложил что-то вроде:
"58 приказ говорит о том, что если привлекаете для организации защиты стороннюю контору, то у нее должна быть лицензия на техзащиту, а если вы просто-напросто обрабатываете персональные данные, то лицензия вам не нужна и мы ее не требуем.", а на последующий вопрос про "а для защиты?" он улыбаясь сказал "ну а для защиты вы же все равно привлекаете кого-то" :)
по поводу проверки обособленных подразделений:
территориальный ркн присылает запрос в голову с формулировкой "проверка обязательных требований при обработке пдн на территории такого-то региона", ну а дальше голова должна отправить в тот территориальный ркн то, что посчитает нужным и относящимся к данному региону и тому основанию для проверки (жалобе субъекта например).
если нормативка едина на всю сеть, отправляется она, если есть отдельная по оп - то она.
таким образом, если жалоба клиента по обработке его пдн при заключении договора в регионе, то ркн не будет интересовать обработка пдн работников в голове и т.д.
Tiger-66: ФСТЭК говорит о втором квартале следующего года.
Алексей Т.: У одного из коллекторских агентств возник вопрос про уничтожение 100 тысяч записей. Я чуть уменьшил число и задал вопрос ;-)
Что касается несерьезности, то это в любом случае их частное мнение. Но оно важно именно в том регионе, в котором звучало, т.к. там оно будет превалирующим.
Про проверки филиалов, РКН сказал, что они пишут письмо в филиал и головную структуру. Т.е. головняка всегда оповещают. Проблема в другом. По ФЗ-294 проверка может проводиться только в присутствии ответственного. Я поэтому и спросил - если ответственный назначен в головной структуре и в филиал он на проверку не едет, то как будет осуществляться проверка?
а так это вроде разные ответственные:
есть по фз-152 - за организацию обработки
есть по фз-294 - уполномоченное лицо при проверке
ответственный за обработку это к примеру босс организации,
а ответственный за проверку - это например рукль филиала или вообще хоть кто - он назначается приказом после получения уведомления о проверке от РКН и нужен чтобы было кому акт проверки вручить.
Очень странно...
Управление ФСТЭК у нас с челябинцами одно - дак они иной раз по-другому говорят...
Про ФСБ - тут видать повезло челябинцам, у нашего позиция принципиальная - 152-й приказ, сертифицированные СКЗИ, всякие токены запирать в пеналы и т.п.
Алексею Лукацкому (а заодно и Евгению Цареву)
Коллеги, крутая, видимо, эта фирма – Межрегиональный консалтинговый центр «АСТА-информ» - за три года “окучили” более 1500 организаций! (http://asta74.ru/article/clients-partners). Честь ей и хвала за те мероприятия, которые она проводит, в т.ч. и вышеупомянутый форум. Только вот, похоже, они эти 1500 организаций на своем сайте вольно или невольно вводят в заблуждение, выдавая свою ущербную точку зрения за истину:
“В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы ….Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования” (http://asta74.ru/article/)
“Декларирование представляет собой упрощённый аналог аттестации и может проводиться силами оператора без привлечения лицензиата. Проблема на сегодняшний день заключается в том, что технические регламенты, на положения которых следует опираться при декларировании соответствия, находятся в разработке” (http://asta74.ru/article/_1).
Насколько я в теме, вопрос декларирования соответствия госрегуляторами уже давным-давно даже не обсуждается и технические регламенты в области ИБ – дела давно минувших дней, преданья старины …. Статью 5 закона “О техническом регулировании” пока никто не отменял.
Алексей и Евгений, Вы явно пользуетесь у этой фирмы непререкаемым авторитетом, употребите его во благо, подскажите господину Астахову А.Г.
"...на вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО..." - таким образом акт об уничтожении сам становится ПДн? Правильно ли я понял, что уничтожение ПДн порождает те же самые ПДн, соответственно ПДн уничтожить невозможно?
Нет. На этот вопрос РКН ответил, что в акт включаются только ФИО и РКН не считает их ПДн ;-)
Кстати, Алексею, как близкому к банковскому сектору и другим блогерам ;-)
http://dolboeb.livejournal.com/2202718.html
Прокомментируете как нибудь?
А чего там комментировать. Банк по 26-й статье закона о банках имеет право передавать банковскую тайну без согласия клиента. Тут вопрос не в нарушении закона - его нет. Тут вопрос в том, нафига банк это сливает при отсутствии претензий к субъекту сливаемой информации - т.е. это репутационные риски.
Отправить комментарий