#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.

Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.

Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:

  • Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
  • По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
  • В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
  • Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.

Вот так.

В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.

Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.

По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.

Ну вырвали они комментарий из контекста, так это ж не со зла ;-) :

Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.

Автор статьи: Царев Евгений

5 комментариев

    Алексей Волков:

    Наконец-то и я посмотрел репортаж :).

    Евгений, не ругайте ФСТЭК. Не стоит обижаться и оскорбляться. ФСТЭК — структура государственная, Вам не на что больше на государство пообижаться, что ли?

    Все эти «высказывания недовольства» и вся «тяжесть работы» — следствия объективных причин. Вы, раз уж ведете журналистскую деятельность, должны понимать, что означают такие заявления: они формируют у людей ложное представление о том, что над ФСТЭК присутствует некий ореол недоброжелательности.

    Уверяю всех, это далеко не так. Те конференции, на которых мне довелось побывать с участием представителей ФСТЭК (а их, уверяю, немало), включая прошедшую 14 апреля (смотрите предыдущий пост), говорят об обратном. 14 апреля представитель ФСТЭК по СЗФО присутствовал на конференции с самого начала и до обеда, ответил на ВСЕ (!) заданные вопросы, в кулуарах вел активные беседы, дал желающим контактную информацию и разрешил задавать вопросы ему лично в частном порядке (!!!)

    Не будем забывать о том, что ФСБ есть в каждом городе, РКН — в каждой области, а ФСТЭК распределена по окружному принципу и поэтому, как говорили герои фильма 12 друзей Оушена, «людей маловато», а задач немерено. А вопросы расширения штата — это не их компетенция, а государства. Поэтому и работают как могут.

    Обиды уважаемых коллеги из АРБ мне вообще не понятны. ФСТЭК соголасует их фактически отраслевой стандарт — они и так прописали в нем все что им угодно. Проверять их будут именно по положениям этого стандарта. Чего ФСТЭКу на конференции-то делать, если и так все понятно?

    Давайте не будем нагнетать недоброжелательную обстановку вокруг ФСТЭК. Я по-человечески понимаю сотрудников этой службы, поскольку чем дальше, тем опаснее ходить на конференции с участием активной составляющей операторов — рискуешь быть закидан чем-нибудь неприятным только за то, что ты представитель этой госструктуры.

    Не будем забывать, что ФСТЭК стоит на страже государства. Не сами для себя они ваяют эти требования. Да, есть недостатки, есть проблемы, есть недопонимание и рассогласованность. А где, в какой сфере этого всего в государстве Российском нет?

    Так что спокойнее, коллеги. Доброжелательнее. В России живем.

    Dan:

    И вот вы мне скажите..
    1. Почему органы не изымают из оборота данные базы?
    2. Почему не проведено расследование откуда это все богатство утекло и не наказаны виновные?
    3. И главный вопрос на 100 тыс. дол. Вот пусть операторы все провели мероприятия и приняли все необходимые меры во исполнение ФЗ№152.
    Теперь внимание вопрос — Все эти базы после этого уже не будут продаваться на этом же рынке в этом же месте.. как и в других впрочем??

    А если будут — то что реально дает этот закон для защиты ПДн субъекта??
    Риторический вопрос, не так ли?

    Vinch:

    Коллеги — наверное, не следует отождествлять декларируемые цели и результаты деятельности. Очень часто в практике госорганы выбирают как раз такие средства, которые исключают достижение заявленных целей, а непосредственные исполнители еще и саботажем занимаются. И это на всех уровнях.Так что не надо удивляться, что самые верхние руководители то бабке Маланье пробки меняют, то за группу разбора ДТП занимаются, то канаву под газ в деревне подводят. А 152-ФЗ был все-таки нужен — но в действующей редакции невозможен. Ну а базы — какие-то останутся, каких-то не будет (ни по Налоговой, ни по «Зеленому проспекту» обновлений после 2003-2004 не было и не будет, а ГАИ-шка, телефонка там и другие — аккуратно попадают на рынок). По банкам отчетность тоже закончилась безвозвратно — жаль, но все-таки правильно.

    Андрей:

    Про согласование СТО БР ИББС ничего нового не слышно?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.