Участвуя в последнее время в различных публичных и не очень мероприятиях по тематике персданных обратил внимание на интересный момент — абсолютная пассивность операторов персданных ;-(
Задавая вопрос регуляторам мало кто называет свою организацию, опасаясь, что придут и проверят (хотя это малореализуемо на практике). Спорные вопросы федерального закона и постановлений правительства тоже никто не спрашивает официальным путем. А ведь, отвечая на вопросы на публичных мероприятиях, представитель регулятора в общем-то не озвучивает никакой официальной позиции, на которую можно сослаться в будущем. Такая позиция может быть получена только при официальном запросе в федеральной орган исполнительной власти. А этого опять никто не делает, опасаясь, что «придут и накажут за инициативу». При выступлениях представителей АРБ и ЦБ все пытаются узнать их мнение, а на прямой вопрос со стороны этих организаций «А вы присылали нам официальный запрос на получение рекомендаций?» все отвечают «А вы разве ответите?» 😉 Т.е. все ждут рекомендаций, как вести себя и что делать, но никто не хочет проявить инициативу и спросить самому у регулятора, МинЮста и т.п. разъяснение. А ведь мы живем не в той стране, чтобы регуляторы самостоятельно разъясняли какой-то нормативный акт и давали какие-то рекомендации.
Вот и получается полный вакуум. Операторы хотят разъяснений, но не готовы их запрашивать от своего имени, а регуляторы и иные «весомые» организации готовы (или обязаны) их давать, но не хотят делать это по собственной инициативе. А в итоге пострадают сами операторы, которые чего-то побоялись спросить.
А 1-е января близится…
Регуляторы тоже не идут на встречу с разъяснениями, пусть даже с неофициальной позицией. Недавно у нас в Новосибирске прошел круглый стол с участием представителей ФСТЭК по региону, и участие регуляторов состояло в том, что они просто вслух читали законы и постановления. А на все насущные вопросы, как же выполнять требования, например, в банках, когда конфигурации постоянно меняются, но все должно быть сертифицировано и аттестовано, уважаемый руководитель ФСТЭК угрожающе отвечал "Думать надо!" а потом "Выполнять требевония", и все, позиция — как у военных — есть устав, читайте, а как уж его понимать, сами решайте, но чтобы все соответствовало. Вот все и прячутся, идут по пути наименьшего сопротивления.
Тут прикол следующий — за все эти выполнения требований отвечает оператор, за течки отвечает оператор, деньги платит опять оператор. Какая-то дойная корова (и так у нас везде). А вот, например, мелкий вопрос. При сертификации-аттестации фиксируем среду, замораживаем её изменение. И вдруг выясняется, что есть дыра размером с ворота. Кто отвечает в случае утечки — производители систем, оператор или аттестующий?
Регуляторы тоже не идут на встречу с разъяснениями, пусть даже с неофициальной позицией.
Не бывает "неофициальной позиции регулятора" 🙂
Если товарищ Иванов на встрече с общественностью что-то заявляет, то это по определению личное мнение товарища Иванова. Если это мнение впоследствии разойдется с таким же личным мнением старших товарищей, он будет иметь бледный вид 🙂
А товарищ Иванов обычно дорожит своим креслом и подставляться не хочет.
Кто отвечает в случае утечки — производители систем, оператор или аттестующий?
Оператор 🙂
Весь фокус сертификации и аттестации в том, что ни органы по аттестации, ни испытательные лаборатории, ни экспертные организации за подобные ошибки ответственности не несут 🙂
malotavr'у: я подозреваю. ))
потому оператор и стоит в пассивной позиции. его уже в неё поставили и объявили срок начала имения. потому у операторов вопрос стоит скорее как отделаться малой кровью, а не заниматься защитой ПД
Чтобы отделаться малой кровью надо спрашивать. Если не регулятора, то своих кураторов в виде, например, ЦБ или АРБ или сразу в МинЮст. А они и этого не делают ;-(
Алексей, наши кураторы в головном офисе прозевали момент и не заложили денег в бюджет ни на этот, ни на следующий год и теперь встают в позицию "а где вы сами были?" и заставляют филиалы в срочном порядке получать лицензию ФСТЭК на деятельность по защите КИ. На все остальные вопросы — тишина. Сами мы-бы и рады официально спросить у регуляторов, но с вероятностью 100% получим по башке от московских товарищей за самодеятельность — примеры уже есть.
А вот мы спросили регуляторов… правда было это в апреле и ответы получены только в августе.
Вопросов было задано 16, ответили только на 11. Поскольку Документ ДСП), выкладывать тут его дословно не буду, но несколько интересных моментов перескажу).
1. Вывод о необходимости лицензии на ТЗКИ предъявлен по следующим цепочкам:
А)ФЗ152 обязал защитить ПДн, которые в свою очередь по перечню 1997 года являются сведениями конфиденциального характера.
Б)Требование о лицензировании деятельности по ТЗКИ установлено ФЗ128 от 2001.
Всё… дальше по их официальному письму сразу идёт вывод о необходимости лицензии на техзащиту при обработке ПДн.. Все в очередь за лицензией. и бабки готовим. Стоимость по ключ аттестованного АРМ в районе 65тр. Причём как видите из вывода необходимость лицензии инварианта по отношению к качеству и количеству ИСПДн, т.е. все 7млн операторов должны её иметь.
2. Интересная трактовка хвостика про "дополнительную информацию" при различении 2 и 3 категории ПДн, привожу почти дословно — "Определение состава персональных данных, позволяющих идентифицировать субъекта ПДн, не входит в компетенцию ФСТЭК России". По мне, так очевидно, что исходя из такой логики 2й категории не бывает.
3. Был вопрос про ответственность регулятора в случае провала сертифицированных им средств защиты. Ответа нет.
Итого: можно конечно спрашивать регуляторов, но толку мало — здравый смысл, равно как методическая поддержка отсутсвует.
В добавление к первому комментарию: когда я задал вопрос руководителю ФСТЭК по СФО, он в дополнение ответов "Думать надо" и "Выполнять надо" сказал "а мы придем и проверим как вы выполняете". Было бы желание, а основания проверки и состряпать можно. Если возвращаться например к вопросу проверки Роскомнадзором УРСА Банка.
Я понимаю, что это не официальная позиция, но все же заставляет задуматься.
А официальная версия ответа не дала бы необходимых разъяснений в силу специфики вопроса.
Только вот регулятор не может просто так взять и придти. Нужны основания. Правовые. Серьезные. И кучу всяких вещей нужно соблюсти, чтобы не нарушить ФЗ-294 и не попасть в поле зрения прокуратуры.
А вот лицензиат обязан выполнять внутренние нормативные документы ФСТЭК. Поэтому всех и наклоняют на это 😉
Надо не тупо бежать выполнять все, что неофициально наговорят регуляторы, а почитать законы про права и обязанности регуляторов. И все встанет на свои места 😉