Безвозмездно - то есть, даром?

Наконец-то Роскомнадзору стало стыдно за свои почти пустые "закрома" - реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных. По поводу банального отсутствующего, но привлекаемого для проведения проверок на неведомых основаниях МВД РФ я уже писал и, судя по реестрам - с тех пор дело сдвинулось с мертвой точки. Однако, явно недостаточно хорошо, и вчерашнего дня на сайте регулятора появился недвусмысленный призыв к всеобщей экспертной мобилизации.

Предполагается, что аккредитованные граждане и организации НА БЕЗВОЗМЕЗДНОЙ ОСНОВЕ будут привлекаться к участию в мероприятиях по контролю для оценки эффективности принимаемых оператором, осуществляющим обработку персональных данных, технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных на всей территории Российской Федерации. В состав комиссий эксперты и экспертные организации будут включаться ПУТЕМ СЛУЧАЙНОЙ ВЫБОРКИ.

Зачем это регулятору - понятно: в связи с недостатком знаний, умений и собственного опыта.  Привлекать знатока-волонтера куда проще и несравнимо дешевле, чем обучать собственных сотрудников, которые, чего доброго, еще и сбегут. Но какой резон работать волонтером, да еще и за бесплатно? Давайте взглянем, собственно, на реестры. Реестр граждан, в частности. Что мы видим? Список имен, фамилий и отчеств: Бурдело И.А., Конкин Н.Е., Шолохов В.А. и др. Аккредитованы они для следующих видов деятельности:

1. Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
2. Оценка соответствия применяемых технических средств защиты информации.
3. Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
4. Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.

Лично у меня каждый из пунктов вызывает очень много вопросов. Ну скажите, например, как эксперт в рамках проверки оператора ПДн может провести оценку соответствия технических средств защиты информации, если есть закон "О техническом регулировании", который де-юре предусматривает определенные процедуры оценки соответствия, а де-факто этим всю жизнь занимается ФСТЭК и аккредитованные испытательные лаборатории? Или, например, определить уровень защищенности, если их по закону "О персональных данных" устанавливает правительство РФ? Про "достаточность", "эффективность", "расследования причинно-следственных связей" я вообще молчу. Но не в этом дело. Сравните список фамилий, приведенных в реестре, вот с этим, и найдите десять отличий. Бааааа, да все они - сотрудники одного и того же интегратора! А теперь глянем в реестр организаций. Что мы видим? Этот интегратор там - на первом месте в списке, вместе с остальными четырьмя, думаю, не последними.

Полагаю, теперь всем нам, дорогие читатели, понятно, с какой целью уважаемые эксперты так стремятся безвозмездно помочь Роскомнадзору и поработать на благо государства и субъектов ПДн - для того, чтобы потом, после "волчьего" предписания, сгенерированного при их непосредственном участии, вполне законно поработать на себя и свой собственный карман, "склоняя" оператора к собственным услугам. То, что было сделано у оператора до приезда "эксперта", может не иметь никакого значения - все равно все будет "очень и очень плохо". И "случайной выборки" здесь никакой не будет - не любят в нашем государстве всякие там "случайности".

Выход я вижу только один - становиться аккредитованным экспертом самому и, в случае явно "неадекватной" проверки, "бодаться" с таким же экспертом со стороны Роскомнадзора, ну а в случае разногласий - как всегда, искать правду в суде. Поэтому пойду изучать Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю (утв. постановлением Правительства от 20 августа 2009 г. № 689 и приказом Роскомнадзора от 8 апреля 2011 г. № 239).

Профсоюзный контроль

Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государстве "карманные", то есть имеют весьма тесные дружеские связи с работодателями членов профсоюза, и потому не выполняют свою главную функцию - отстаивание прав и законных интересов трудящихся. Однако если бы это было не так, то профсоюз смог бы стать весьма влиятельной  организацией, тем более, что все возможности для этого имеются. И вот недавно в одну организацию поступил запрос от профсоюза с требованием ежемесячно предоставлять данные о принятых и уволенных сотрудниках с указанием ФИО, табельных номеров, должностей, должностных окладов и причин увольнения, с формулировкой "в целях осуществления профсоюзного контроля в соответствии с законодательством РФ". Возник вопрос - передавать или нет, и если да, то на каком основании? Попробуем разобраться.

И снова о деятельности

На днях Алексей Лукацкий опубликовал у себя в блоге радостный пост о том, что якобы грядет либерализация законодательства в области лицензирования деятельности по ТЗКИ и шифрованию. Прочитал я этот законопроект. Внимательно. И расстроился.

Помните пресловутое выражение из письма ФСТЭК в адрес ЦБ РФ: "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке"? Конечно, как не помнить. Помните, наверное, и полемику о том, что считать деятельностью, и шумиху вокруг отсутствия формулировки "для собственных нужд" в пунктах 4 и 5 ч. 1 ст. 12 99-ФЗ.

К сожалению, все доводы пессимистов пока оправдываются на 100%. Смотрим действующую статью 19.20 Кодекса об административных правонарушениях, сначала - ее название: Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Опа! Значит, термины "деятельность" и "прибыль" способны существовать друг без друга, более того, такая постановка вопроса означает, что лицензировать "деятельность" необходимо в случае совершения хозяйствующим субъектом любых действий, подпадающих под соответствующее постановление правительства РФ. Поскольку пункты 4 и 5 ч. 1 ст. 12 99-ФЗ не предусматривают формулировки "за исключением деятельности, осуществляемой для собственных нужд...", осуществление любых действий по ТЗКИ, подпадающих под ПП-504, без лицензии является прямым нарушением ч. 1 ст. 19.20 КОАП.

Смотрим, чем грозит отсутствие лицензии:

влечет предупреждение или наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от тридцати тысяч до сорока тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток

И эта статья после принятия законопроекта никуда не исчезнет, более того, часть 3 ст. 19.20 станет куда суровее, чем сейчас. Так что радость, на мой взгляд, преждевременна, точнее - поводов для нее нет вообще.

Маленький секрет для большой компании

Пока Европа реформирует законодательство о персональных данных, Россия накануне выборов президента пересматривает штрафы за нарушение действующего законодательства и пытается отменить наказание за отсутствие лицензий на ТЗКИ и сертифицированных СЗИ, а Ваш покорный слуга принимает дела и должность на новом месте работы и потому на определенное время отошел от блогосферы, обычные "будни безопасника" идут своим чередом.

Лиха беда

Постепенно отходя от затяжных новогодних каникул я, как и многие коллеги по цеху, начал осознавать, что в нынешнем году все мы будем жить если не по-новому, то точно по-другому. Причиной этому является прошлогодняя бурная законотворческая деятельность канувшей в лету Государственной Думы 5 созыва. Краткий обзор нововведений, с которыми нам всем и как гражданам, и как специалистам, в той или иной мере еще предстоит разбираться, приведен здесь. И мне уже пришлось столкнуться с одним из таких нововведений.

Новогоднее

Уходящий год был весьма интересным и богатым на события - об этом уже написали в своих предновогодних постах мои коллеги Алексей Лукацкий и Александр Бондаренко. Не стану повторять их мысли - вместо этого пожелаю всем вам, дорогие читатели, самого главного - ЗДОРОВЬЯ. Пусть каждый из Вас сделает в новом году что-то, что поспособствует его улучшению: кто-то вылечит старую болячку, кто-то бросит курить, кто-то пойдет в спортзал и приведет себя в форму, кто-то, кто считает себя абсолютно здоровым - поможет обрести здоровье своим близким или совершенно постороннему человеку. В общем - здоровья всем нам, и если предсказания индейцев Майя верны, то лучше встретить конец света здоровыми )))

Наконец, подарки. Помните, в июне 2011 года я выступал на 4 межотраслевом форуме директоров по ИБ (я еще сказал тогда, что не могу выложить текст доклада, ибо меня связывают некоторые обязательства)? Настало время раскрыть карты:

Да-да, это именно журнал "Информационная Безопасность" и именно моя физиономия на обложке ))) Сам текст оформлен редакцией в виде интервью (10 страница), думаю, всем интересно будет почитать. Огромное спасибо главному редактору "IS" Ольге Рытенковой и замечательному фотографу Юле Поповой за такой классный новогодний выпуск. А с вами, дорогие читатели, я прощаюсь на целый год - до новых встреч в Новом 2012 году )))

Партия, в которую не стыдно вступить

Как известно, одним из основных факторов, сгубивших Коммунистическую партию Советского Союза (а позднее - и сам Союз), явился затяжной застой: полное отсутствие молодых кадров и свежих идей, современных подходов к управлению страной, неспособность адекватно оценивать картину меняющегося мира и как следствие - отсутствие какого-либо развития. Все это, один-в-один, мы наблюдаем со стороны государства и сейчас - в области, которая по определению своему должна быть, что называется, "на острие прогресса". Я говорю об ИБ (БИ, ЗИ, БИТ - называйте как хотите, здесь речь о другом). И вроде бы все ничего - на перестройку сознания нужно время, смена поколений, адаптация к новым подходам и т.д. Да вот только времени-то совсем нет: ИБ неразрывно связана с ИТ, которые развиваются семимильными шагами, и получается, что "неразвитая" ИБ сильно тормозит инновации или делает их использование небезопасными на уровне государства. Однако ИБ здесь - вторична: в нынешних условиях, когда в стране непростая ситуация с экономикой и политикой, ИТ как инструмент управления и развития государства и различных отраслей бизнеса  являются определяющими и должны диктовать условия, а ИБ под них подстраиваться, где-то в ущерб самой себе. К сожалению, на государственном уровне достичь компромисса удается крайне редко, и в результате ИТ либо не работают, либо их функционал никому не нужен но зато безопасен, либо ИТ внедрены так, что их использование само по себе представляет весьма существенную угрозу.

Как исправить ситуацию, если главные решения принимаются на уровне государственных органов, ответственных за ИТ, и фактически силовых структур, ответственных за ИБ и не особо жалующих "гражданских" экспертов? Есть несколько вариантов:

1. Не делать ничего и ждать, пока мы дойдем наконец до того, что сможем подать заявление в ЗАГС в электронной форме, в то время как развитые страны будут предлагать туры на Луну; персональные данные граждан станут общедоступными на манер Северной Кореи, где, по слухам, запрещено закрывать окна шторами, так как "рабочему классу нечего скрывать"; главным государственным секретом станет фамилия владельца нефтегазовой трубы; армия объединится с полицией в одну структуру и будет защищать государство от собственного народа. После этого все проблемы рассосутся сами собой.
2. Попытаться повлиять на ситуацию сейчас, создав некое экспертно-политическое объединение, программной платформой которого станет развитие ИТ и, как следствие, ИБ в нашем государстве. Зачем лезть в политику? Ответ прост: уже сейчас существует огромная масса экспертных объединений, но практика показывает, что никакого веса и влияния на развитие ИБ они не имеют - их (нас) попросту никто не слушает. На то, чтобы переломить ситуацию, может уйти много времени но, как говорится, вода камень точит.

Лично я - за второй вариант: необходимо использовать любой шанс, чтобы повлиять на сложившуюся в отрасли ситуацию, когда эксперты (мухи) - отдельно, а котлеты ... ну, вы понимаете. Поэтому я целиком и полностью поддерживаю инициативу Евгения Царева о создании "Партии развития информационных технологий". Тем, кто разделяет мою точку зрения - предлагаю поддержать это начинание. Пока (на радость критикам-злословам) в виде комментариев и "лайков" в Facebook: это всего лишь начало Идеи, даже не первый шаг, но без поддержки Идеи ему не суждено свершиться. Так что голосуем за Идею )))

Оппозиция Че

Писать о политике - дело неблагодарное, тем более в этом блоге. Но, как говорят, один раз в год и палка стреляет, и сегодня - именно такой раз. Вообще я - человек либеральных взглядов, сторонник демократии, свободы слова и приверженец гражданского общества: в общем, всего того, чего в нашем государстве нет и в ближайшие 12 лет, судя по всему, не предвидится. К этому я отношусь совершенно спокойно - наверное, смирился и привык. Но бывают случаи, когда, что называется, "край", и нынешние выборы - один из них. Не то чтобы я слепо поддерживал лозунг "партия жуликов и воров" - отнюдь, я считаю, что в "профильной" партии их не больше, чем в остальных. Просто "ЕдРо" - партия де-факто самая многочисленная, и в количественном выражении "их там" хватает, а вот в процентном - может, даже и поменьше, чем в остальных политических объединениях.

Информационное письмо АРБ

Алексей Лукацкий опубликовал у себя в блоге очень хорошую новость - не могу не поделиться. 2 декабря на сайте Ассоциации российских банков было размещено информационное письмо за номером 5 «Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Хоть я и не банкир, но почерпнул из него много полезного. В частности:

• Пункт 8, говорящий о том, что срок приведения ИСПДн к требованиям нового ФЗ в нем самом не определен, а потому и регулятор его не знает;
• Пункт 10, о статусе сертифицированных СЗИ и СКЗИ;
• Пункт 12, подтверждающий возможность обработки резюме и анкет соискателей без письменного согласия последних;
• Пункт 27, ставящий точку в вопросе о том, является ли фотография биометрическими ПДн: да, если она соответствует ГОСТ Р ИСО/МЭК 19794-5-2006, иначе - нет.

И много, много другого интересного. Всем рекомендую!

Защита персональных данных: что год грядущий нам готовит?

Так называется моя статья, вышедшая в декабрьском номере журнала "Директор по безопасности".

Статья в PDF, в открытом доступе. Надеюсь, будет интересно почитать :-)

Лицензия на огнетушитель

Конец года - традиционное время для аврального доделывания тех дел, которые по каким-то причинам ежемесячно "отодвигались" на более поздний срок (поэтому интенсивность постов в блоге несколько снизилась). Таких дел за год скапливается достаточно много, и в силу того, что ваш покорный слуга, помимо прочих сомнительных "достоинств", еще и обладает определенным опытом в области обеспечения технической безопасности объектов инфраструктуры (речь идет о системах пожарной сигнализации, пожаротушения и оповещения, телевизионного наблюдения, охранной сигнализации и комплексного управления доступом в различных их сочетаниях), по долгу службы мне приходится быть ответственным за выполнение определенных мероприятий, так или иначе связанных с этими вопросами. Недавно, присутствуя на ежегодной перемотке пожарных рукавов в составе комиссии и глядя на происходящее действо, мое подсознание вдруг слегка укололо меня тоооненькой иголкой: "иди и смотри" - сказало оно мне. И я пошел... Но обо всем по порядку.

С профессиональным праздником, коллеги!

"В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации. Провозглашая День, Ассоциация намеревалась напомнить всем о необходимости защиты компьютерной информации и обратить внимание производителей и пользователей оборудования и программных средств на проблемы безопасности. С тех пор в этот день по инициативе Ассоциации компьютерного оборудования проводятся международные конференции по защите информации, сопровождаемые массой интересных и полезных мероприятий. Ежегодно День проводится под определенным девизом, который помещается на плакаты и другую печатную продукцию, выпускаемую к празднику. На протяжении нескольких лет основной идеей всех проводимых мероприятий стало напоминание, что каждый пользователь должен лично отвечать, обеспечивать и поддерживать защиту информационных активов и ресурсов... "

Взято отсюда.