Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:
Конференция была разделена на три части:
- общее введение в проблему
- рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
- презентация рекомендаций для банков.
В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн 😉 Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
- ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
- лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.
ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
- четверокнижие — это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
- ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.
Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
- практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
- организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.
ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.
Отраслевые и районные документы по защите ПДн — это национальный позор, вообще говоря. Это как всем торжественно расписаться, что "консерватория" недееспособна.
Алексей, а где можно найти сам текст Рекомендаций?
А мне идея отраслевых стандартов нравится. Только не по защите исключительно ПДн, разумеется (это как стоматолог только по коренным), а по соблюдению требований ИБ в целом. Есть же PCI DCC и стандарты ITU, и они приносят пользу, так почему не быть другим, дифференциированным, например, по видам деятельности? Главное не довести до абсурда и не изобретать отдельных стандартов на каждый незначительный чих рынка и государства.
Автору +100500,
за сравнение наших и западных теоретических основ законодательства о ПД в презентации.
Еще телеком отмажут чуть попозже. В этом нет сомнений.
А стричь будут остальных.
Ригелю ++
Очередной показ — кто жирнее/сильнее/активнее — тот и прав!
Это не в упрек АРБ или ОСС — они как раз молодцы… С одной стороны горько, с другой — а по другому никак… Только вот лунопарк уже не причем получается… цель ФЗ все дальше и дальше…
P.S. "Yeah, well, I'm gonna go build my own theme park, with blackjack and hookers. In fact, forget the park!" (с) Бэндер.
Этот комментарий был удален автором.
Алексей,
Относительно этого:
"•лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна"
Речь идет об "осуществлении деятельности по техническому обслуживанию шифровальных (криптографических) средств"?
Т.е. заказчику теперь нет необходимости получать лицензию или заключать договор на обслуживание с лицензиатом?
Vladimir: Да.
Ригелю: Ты не прав. Отраслевые документы — это нормально. Ты либо пишешь в общем, либо конкретизируешь. Но тогда нужна отраслевая специфика.
2 Алексей
Отраслевая специфика все к тому и шло… но тут появляется особенность и вопрос…
Особенность:в связи с тем, что любой готов доказывать что у него своя специфика становится жаль тех, кто не может ее "продавить"
Вопрос: Теперь необходимо остановить процесс и поставить отраслям задачу — за 3 месяца выпустить и согласовать тех. требования для своих отраслей?
Опять же избранные выкрутятся…
Идет борьба между Регуляторами и операторами а субъект затих и ушел в тень…
Не стерпел. Что означает "сам для себя"?
Задача:
1. Есть главный офис и его филиал, не являющийся отдельным юр. лицом.
2. Между ними с использованием СКЗИ передается коммерческая тайна, принадлежащая этой организации.
3. Между ними с использованием СКЗИ передаются ПДн граждан, принадлежащие им самим, а не организации.
Вопросы:
1. В каком случае 1 или 2 не надо получать лицензию на предоставление услуг по СКЗИ?
2. (предвосхищая ответ) Если ни в каком, то вообще в каком случае применяется лицензирование по предоставлению услуг по СКЗИ??? Зачем вся документация ФСБ по этим вопросам? Зачем поэкземплярный учет проданных СКЗИ? Кто в организации будет выполнять требования, если можно ничего не делать???? Особенно в гос. органах. Если так, то об УЦ в том виде как оно есть можно забыть. И про ЭЦП забыть. Дорога в пропасть.
ZZubra
Вот когда ты оказываешь предпринимательские услуги со СКЗИ, то тогда нужны лицензии. За клиент-банк, например.
Алексей, без получения лицензии ФСБ, к примеру, вам не дадут ввезти (приобрести) модули безопасности для международных платежных систем.
Я и говорю. Рынок услуги ЭЦП, УЦ убивается фразой не нужна лицензия для себя. Для себя не вкладывая особых усилий, бесконтрольно можно применять СКЗИ везде, зачем тратиться на услугу?
ZZubra
> Ты не прав. Отраслевые
> документы — это нормально.
В каком случае? Когда учитывают интересы не всех тех сторон, чьи затрагивают — совершенно не нормально.
Завтра ассоциация продавцов сельхозпродукции правила санитарно-эпидемиологического контроля скорректирует, послезавтра ассоциация автоперевозчиков пешеходные переходы отменит — хорошо живем!
Они ничего не корректируют и не отменяют — они предлагают адекватные правила, учитывающие специфику своей отрасли.
Адекватные чьим целям — их собственным, не так ли?
В общем это "лицензия для себя не нужна" убивает весь институт лицензирования. Не только в крипто, ТЗКИ, но и в строительстве, медицине, образовании и во всех других областях.
Мне тут вариант трактовки этого термина предложили:
У ФСБшника (ФСТЭКовца)спрашивают: "Лицензия для себя нужна?"
Он переспрашивает:" Для себя?"
Ответ: "Да"
Ответ ФСБ/ФСТЭК: "Нет, для себя не нужна"
Проверка.
ФСБ/ФСТЭК: "Где лицензия?"
Проверяемый: "Вы же сказали что для себя не нужна!!!"
ФСБ/ФСТЭК: "Ну да. Для себя (для ФСБ/ФСТЭК) не нужна. А Ваша лицензия где?"
ZZubra
2 ZZubra
повеселило..
Работать и разговаривать с клиентом в условиях неопределенности не весело (((
Я уж про аутсортинг УЦ не говорю. Огромный объем работ, который может оказаться не нужным, но сейчас его на всякий случай делать надо.
ZZubra
С сайта ФСТЭК исчезло упоминание четверокнижия. Вместо этого появилось два документа:
— Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
— Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
С очень любопытной пометкой "(Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)"
См. вот здесь — http://www.fstec.ru/_spravs/_spec.htm