ФСБ опубликовала проект приказа «Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных» (HTML и PDF).Правда, почему-то не у себя на сайте, а на сайте РКН.
Первое, что бросается в глаза, — тему биометрии ФСБ прибрало к своим рукам (собственно, это не первый факт «захвата» темы биометрии со стороны ФСБ). Итак, краткое резюме по проекту:
- Контроль и надзор осуществляют представители 8-го Центра и территориальных управлений (а позиция у них, кстати, часто разнится).
- Неавтоматизированной обработкой ФСБ не занимается.
- ФСБ может не только выдать предписание об устранении нарушений, но и составить протокол об административном правонарушении (правда, непонятно по какой статье), а также направить кляузу в РКН.
- Сам регламент составлен в соответствии с ФЗ-294.
- Основанием для включения оператора в План проведения проверок является истечение трех лет со дня начала осуществления оператором деятельности в соответствии с представленным в Роскомнадзор уведомлением о начале осуществления деятельности по обработке персональных данных с использованием средств криптографической защиты информации или со дня окончания проведения последней плановой проверки оператора.
- Внеплановая проверка со стороны ФСБ практически невозможна в нынешней формулировке.
В целом ничего сверхествественного в проекте регламенте нет.
ЗЫ. А у ФСТЭК пока проекта такого регламента нет.
Ну биометрия только если вкупе с СКЗИ: 4. Исполнение государственной функции осуществляется в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации.
А вот ссылка на 781 ПП???
это про 125 постановление Правительства — биометрические паспорта
Этот комментарий был удален автором.
Пункт 4: 4. Исполнение государственной функции осуществляется в
отношении государственных органов, муниципальных органов, юридических
лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации
Ч. 8 ст. 19: 152-ФЗ: Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных
Означает ли указанная выше формулировка регламента, что ФСБ уже знает, что правительство позволит им контролировать ВСЕХ юрлиц и ИП, в соответствии с ч. 9 ст. 19 152-ФЗ, вне зависимости от вида деятельности ?
Мне это тоже бросилось в глаза. Тут два варианта: либо, Алексей (Волков), Вы правы, либо это только в части тех юридических лиц, в отношении которых будет соответствующее постановление правительства.
Но в том виде, в котором формулировка дана сейчас, она, мягко говоря, противоричит закону.
На мой взгляд, ФСБ контролирует и будет контролировать только передачу ПДн по открытым каналам, используя СКЗИ, как и сказано в пункте 4. Просто его (пункт) надо читать целиком. Это кажущаяся неоднозначность…
Четкое указание на область проверки, только вот один вопрос остался — экспертизу записей камер видеонаблюдений (проверка подлинности записи) теперь будет делать 8 Центр ФСБ России или все-таки это оставят за МВД? Судя по проекту и 152-ФЗ эта деятельность перейдет в ведение 8 Центра со всеми вытекающими требованиями по сертификации.
Это следовало ожидать, т.к. требования по антитеррористической защищенности у 8 Центра есть, а средства видеорегистрации входят в список используемых средств.
При условии, что результат работы видеокамер будут признаны биометрией. А есть немало сценариев, когда это можно не делать.