Проект административного регламента ФСБ по персданным

ФСБ опубликовала проект приказа «Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных» (HTML и PDF).Правда, почему-то не у себя на сайте, а на сайте РКН.

Первое, что бросается в глаза, — тему биометрии ФСБ прибрало к своим рукам (собственно, это не первый факт «захвата» темы биометрии со стороны ФСБ). Итак, краткое резюме по проекту:

  1. Контроль и надзор осуществляют представители 8-го Центра и территориальных управлений (а позиция у них, кстати, часто разнится).
  2. Неавтоматизированной обработкой ФСБ не занимается.
  3. ФСБ может не только выдать предписание об устранении нарушений, но и составить протокол об административном правонарушении (правда, непонятно по какой статье), а также направить кляузу в РКН.
  4. Сам регламент составлен в соответствии с ФЗ-294.
  5. Основанием для включения оператора в План проведения проверок является истечение трех лет со дня начала осуществления оператором деятельности в соответствии с представленным в Роскомнадзор уведомлением о начале осуществления деятельности по обработке персональных данных с использованием средств криптографической защиты информации или со дня окончания проведения последней плановой проверки оператора.
  6. Внеплановая проверка со стороны ФСБ практически невозможна в нынешней формулировке.

В целом ничего сверхествественного в проекте регламенте нет.

ЗЫ. А у ФСТЭК пока проекта такого регламента нет.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

    1. Сергей

      Ну биометрия только если вкупе с СКЗИ: 4. Исполнение государственной функции осуществляется в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации.
      А вот ссылка на 781 ПП???

      Ответить
    2. ZZubra

      это про 125 постановление Правительства — биометрические паспорта

      Ответить
    3. Unknown

      Этот комментарий был удален автором.

      Ответить
    4. Unknown

      Пункт 4: 4. Исполнение государственной функции осуществляется в
      отношении государственных органов, муниципальных органов, юридических
      лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации

      Ч. 8 ст. 19: 152-ФЗ: Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных

      Означает ли указанная выше формулировка регламента, что ФСБ уже знает, что правительство позволит им контролировать ВСЕХ юрлиц и ИП, в соответствии с ч. 9 ст. 19 152-ФЗ, вне зависимости от вида деятельности ?

      Ответить
    5. Артур Котылевский

      Мне это тоже бросилось в глаза. Тут два варианта: либо, Алексей (Волков), Вы правы, либо это только в части тех юридических лиц, в отношении которых будет соответствующее постановление правительства.

      Но в том виде, в котором формулировка дана сейчас, она, мягко говоря, противоричит закону.

      Ответить
    6. Андрей Абрамов

      На мой взгляд, ФСБ контролирует и будет контролировать только передачу ПДн по открытым каналам, используя СКЗИ, как и сказано в пункте 4. Просто его (пункт) надо читать целиком. Это кажущаяся неоднозначность…

      Ответить
    7. Dmitry Leviev

      Четкое указание на область проверки, только вот один вопрос остался — экспертизу записей камер видеонаблюдений (проверка подлинности записи) теперь будет делать 8 Центр ФСБ России или все-таки это оставят за МВД? Судя по проекту и 152-ФЗ эта деятельность перейдет в ведение 8 Центра со всеми вытекающими требованиями по сертификации.
      Это следовало ожидать, т.к. требования по антитеррористической защищенности у 8 Центра есть, а средства видеорегистрации входят в список используемых средств.

      Ответить
    8. Алексей Лукацкий

      При условии, что результат работы видеокамер будут признаны биометрией. А есть немало сценариев, когда это можно не делать.

      Ответить