Операторы большой тройки забили болт на регуляторов по персданным

Еще когда только вышел ФЗ-152, а затем и первая версия четверокнижия (сейчас выпущена вторая версия), многие операторы связи (и не только) справедливо возмутились, т.к. для них ФЗ-152 невыполним и надо что-то делать. И вот что-то сделали 😉

В Ведомостях опубликовали статью, согласно которой Инфокоммуникационный союз выбрал разработчика стандарта для всей телекоммуникационной отрасли. Им стала компания ReignVox, созданная осенью 2008 года двумя интеграторами — Bell Integrator и РНТ.

Эта очень интересная новость и вот почему:

  1. По словам представителя Инфокоммуникационного союза ReignVox выбрали по совокупности параметров — наличие лицензий, опыт работы и квалификция персонала. Какой опыт может быть у компании, созданной осенью прошлого года, непонятно. Или точнее все понятно ;-(
  2. По словам представителя Инфокоммуникационного союза поучаствовать в разработке стандарта предложили компаниям, специализирующимся на защите ПДн. Правда Информзащита, Infowatch, LETA, Perimetrix и др. таких предложений не получали. Кто же тогда у нас специализируется на защите?
  3. Разработка стандарта начнется с обследования МТС, Мегафона и Вымпелкома. Цена контракта — около 500000 долларов. Есть за что бороться и становится понятно, почему был выбран абсолютный новичок на рынке, а не серьезная компания.
  4. ReignVox будет разрабатывать технический стандарт, который видимо заменит шестикнижие ФСТЭК/ФСБ, но только для операторов связи. Остальным заказчикам по-прежнему придется работать с текущими творениями регуляторов.

Очень интересная ситуация возникает. Вместо того, чтобы поменять документы ФСТЭК, операторы будут использовать свой стандарт. Понимая, что поменять что-то в такой структуре, как ФСТЭК, невозможно, они решили пойти своим путем, повторив опыт ЦБ, РЖД, Газпрома, которые забили на документы ФСТЭК и стали делать собственные стандарты и нормативные документы по ИБ. Решение может и правильное, но показывает в какой … находятся у нас законодатели по ИБ.

ЗЫ. В Ведомостях есть комментарий от представителя LETA-IT, который говорит, что т.к. сегодня операторы вынуждены получать письменное согласие от каждого абонента то, якобы, новый стандарт позволит обойти эту проблему. Но… ReignVox разрабатывает технический стандарт, а требование получения письменного согласия прописано в ФЗ-152, которое пока никто менять не собирается.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    хмм… распилят бабки и в лучшем случае переведут какой-нибудь западный стандарт.

    Ответить
  2. Анонимный

    Спасибо за комментарии — вчера только хотел Вас просить прокомментировать )))
    Мне например кажется что только дополнения к ФЗ могут внести изменения и только через силовые структуры…
    Новость действительно выглядит как в названии про болт — как бы не оказались выброшенными эти деньги…
    Во всяком случае сделают для операторов регламенты и все…

    Ответить
  3. Анонимный

    Предпоследний абзац (про то, что технический стандарт спасает от федерального закона) полностью дискредитирует для меня все остальные.
    Надо подождать какого-то более вменяемого сообщения.

    Ответить
  4. Алексей Лукацкий

    Ну предпоследний абзац — это высказывание гендиректора интегратора, а не регулятора или оператора.

    Ответить
  5. Анонимный

    «Представители […] говорят, что приглашений от ИКС не поступало. Менеджер Infowatch […] от комментариев отказался», «представители сотовых компаний не раскрывают стоимость контрактов», «Представитель ФСБ отказался от комментариев»…Партизанщина какая-то, ей богу. Вот где настоящая безопасность! По крайней мере в части обеспечения конфиденциальности междусобойчика:)

    Ответить
  6. Анонимный

    2 Pleasure Dome:

    Раз открытого тендера не проводилось, то молчанка вполне логичная. Почему не проводилось — это все-таки другой разговор.

    Ответить
  7. Анонимный

    Звонит чел из ведомостей — вас приглашали на конкурс? Нет, говорю, мы программы пишем, а не стандарты разрабатываем. Как вы это прокомментируете? Никак, я даже не в курсе, кто выиграл :). Для общего развития, я, конечно, интересуюсь событиями на рынке ИБ, но в этом конкретном случае, событие из пальца высосано — это не госторги, выбрали операторы за свои деньги себе писателя стандарта, который никому не близок и работает пток лет со всеми сотовыми операторами в области ИБ. Форма собственности и дата регистрации вообще не при чем — писать стандарт будут конкретные люди, если, чтобы оплатить их труд, нужно, чтобы они работали в одной компании — получите.

    Ответить
  8. Анонимный

    ФСТЭК, допустим, они понятно как заткнут — разработают свою модель угроз. Но как они собираются обойти требования 152-ФЗ — большой вопрос.

    Ответить
  9. Анонимный

    to AndrewZ:
    Не получится так ФСТЭК заткнуть. Как минимум операторам в конце свою систему аттестовать придется, а это для них все равно немыслимые затраты.
    И не надо говорить что т.к. нет порядка классификации специальных систем, то и аттестовывать их не надо. Я уверен, что в одном из следующих обновлений тетралогии это упущение будет исправлено. И тогда этим операторам не поможет их «стандарт».
    Честно говоря вообще непонятно зачем он им нужен — это как быка красной тряпкой дразнить. Лучше бы сами разработали по-тихому свой стандарт. Не знаю как МТС и Мегафон, но для Вымпелком это плевое дело.

    Ответить
  10. Анонимный

    to manaraq:
    Согласно книжечкам ФСТЭК аттестации подлежат типовые ИСПДн 1 и 2 классов. Основная идея стандарта забить на всякие классы.

    Ответить
  11. Unknown

    Этот комментарий был удален автором.

    Ответить
  12. Анонимный

    to AndrewZ:
    Вы же понимаете, что «забитие» на классы с юридической точки зрения означает несоблюдение федерального закона. Думаю не нужно объяснять какие риски это влечет за собой для любой из сотовых компаний. Я понимаю, если бы создание собственного стандарта освобождало от необходимости выполнения требований ФСТЭК. Ан нет!
    Согласно книжечкам ФСТЭК аттестации подлежат ИСПДн 1-го и 2-го классов, и нигде не указано что аттестация касается только типовых ИСПДн.

    Вообще же, мне кажется что эта новость — утка.

    Ответить
  13. Алексей Лукацкий

    Это не утка

    Ответить
  14. Анонимный

    to Алексей Лукацкий:
    Но выглядит очень странно 🙂

    Ответить
  15. Анонимный

    to manaraq:
    Согласен, неточно выразился.
    781 постановление правительства гласит:
    «Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации». Ключевой участник здесь — последний, поскольку свое слово он еще не сказал. Исторически Министерство информационных технологий плотно связано с ​Инфокоммуникационным союзом, который инициировал тему с собственым стандартом. Поэтому я полагаю, там все продумано.

    Ответить
  16. Алексей Лукацкий

    Минкомсвязь свое слово уже сказал. Оно называется Постановление 687

    Ответить
  17. Анонимный

    to Алексей Лукацкий:
    Сошлись ведь во мнении, что 687 не о том, о чем мечтали большевики. Думаю Минкомсвязь решила забирать хоть небольшой кусочек пирога у регуляторов. А вот другие отрасли защищать очевидно никто не будет.

    Ответить
  18. Анонимный

    Сейчас у меня на столе лежит брошюра по защите ПДн от ReignVox, причем брошюра качественная — видно, что они этой теме уделяют много внимания. Есть конечно глупости типа уголовной ответственности за незаконную предпринимательскую деятельность (как будто ТЗКИ ей является). Но в целом очень даже гуд. Так что я погорячился насчет утки.
    to AndrewZ:
    Он свое слово сказал в совместном приказе ФСБ, ФСТЭК и МИТ. Не думаю, что МИТ имеет полномочия самостоятельно издавать приказы по классификации ИСПДн или определению перечня организаций на которых закон не действует.

    Ответить
  19. Алексей Лукацкий

    Незаконная предпринимательская деятельность — это как раз оттуда, кстати.

    19.20 КоАП — Осуществление деятельности без лицензии или с нарушением ее условий

    171 УК — Осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий.

    Исходим из того, что 504 постановление правительства действует.

    Ответить
  20. Анонимный

    to manaraq:
    Речи не идет о том, что МИТ имеет полномочия что-то перекроить в огороде ФСТЭК. Просто, как тут уже говорилось, были преценденты, когда при наличии обоснованной алтернативной схемы — принималась именно она.
    зы. о чем вообще брошюра?

    Ответить
  21. Анонимный

    to Алексей Лукацкий:
    Если Банк оператор обеспечивает защиту своих персональных данных, то ему нужна лицензия на ТЗКИ. С этим я не спорю — это следует из 504 ПП и документов ФСТЭК. Однако Банк при этом не занимается предпринимательской деятельность, т.к. не получает прибыли. Поэтому ст. 171 УК к нему не применима. З.Ы. На всякий случай сходил к юристу — она сходу не ответила, но обещала выяснить.
    to AndrewZ:
    Брошюра с одной стороны объясняет что такое ПДн, почему их нужно защищать, что будет если не защищать и т.п. А с другой, рекламирует ReignVox, представляя его услуги в этой и не только этой областях. В общем, все стандартно для брошюр такого типа, но выполнено на 5 баллов. Еще бы сайт нормальный сделали и люди бы к ним потянулись.

    Ответить
  22. Анонимный

    Газпром не забил на ФСТЭК, а сделал проще — купил институт при головном институте ФСТЭКа в Воронеже….а вы говорите забил.. — пол СБ Газпрома выходцы из ФСТЭКа

    Ответить
  23. Алексей Лукацкий

    Отчасти забили — стали свои правила под себя ваять. ФСТЭК только визу на них ставит.

    Ответить
  24. mtrx

    Вот выдержка из ответа компании ReignVox об участии в конкурсе на построение и аттестацию ИСПДн для оператора связи:
    "1. Основная часть работ по конкурсу не является профильной для нашей компании (лицензирование, сертификация)"

    участвовать в конкурсе они отказались.

    Ответить
  25. Алексей Лукацкий

    Так они действительно именно этими видами и не занимаются

    Ответить