понедельник, 28 июня 2010 г.

Шексна-2010: итоги конференции


Завершилась очередная конференция по вопросам обеспечения безопасности персональных данных в органах государственной власти, местного самоуправления, муниципальных и коммерческих организациях, по уже сложившейся традиции проводимая Череповецким государственным университетом и Правительством Вологодской области. На этот раз местом проведения стал город Шексна Вологодской области.

Сразу отмечу, что я очень давно не был в Шексне (в основном - проездом по пути в областную столицу), и город (точнее - поселок городского типа) меня приятно удивил. Хорошие дороги, красивые дома, торгово-развлекательные центры, кругом чистота и порядок: во время поездки впечатления создались самые позитивные - и такой же позитивный настрой был на конференцию (и, соответственно, на выступление). Так держать, Шексна!

По традиции, на конференции присутствовали все те же люди (оно и хорошо): начальник отдела по защите прав субъектов ПДн управления Роскомнадзора по Вологодской области М.Н.Васильев, представители ЧГУ В.В.Плашенков, А.А.Кузьмин и А.Н.Зуев, сотрудники аппарата Правительства ВО и руководители местной администрации. Собственно с докладами помимо меня выступали трое: Роскомнадзор и ЧГУ (2 доклада). Материалы докладов размещены здесь, я же остановлюсь на трех важных положительных моментах, не отметить которые я просто не мог.


Первым, и самым важным фактом, отмеченным мной во время доклада Максима Николаевича Васильева (Роскомнадзор), является профессиональный рост Роскомнадзора в области организации защиты информации в общем и персональных данных в частности. Грамотная, продуманная презентация, "живой" доклад, яркие примеры типичных и новых нарушений, тренд "системного подхода" (как сказал сидевший по соседству А.А.Кузьмин - "твой хлеб кушают" - но это же хорошо - для того хлебушек и пек) - все это свидетельствует о том, что регуляторы не только воспитывают операторов, но и сами учатся у них. Так что Роскомнадзор порадовал - без малейшей тени "популизма".

Вторым фактом, отмеченным мной во время собственного доклада, является рост уровня квалификационной подготовки аудитории. Если год назад слушатели сидели с выпученными от испуга и удивления глазами и лихорадочно пытались запомнить и записать материал, что приводило к "перегрузу" аудитории и "ступору" после 20 минут выступления, то сейчас, после полутора часов презентации, слушатели были бодры и веселы, задавали адекватные и четкие вопросы и что самое главное - горел огонь в глазах :) Значит, интерес к теме все-же не угас, да и операторы что-то делают, а не сидят на месте.

И напоследок хочется отметить некоторое сближение регулятора и операторов: готовность к диалогу и обоюдное понимание проблем друг друга. При ответе на вопрос слегка раздраженного представителя одного из операторов по поводу сомнительных требований сотрудника Роскомнадзора в отношении необходимости получения согласия субъекта на передачу ПДн третьей стороне (был частный случай, и по его мнению, предусмотрен законодательством РФ) М.Н.Васильев, к общему удовлетворению, сказал: "Коллеги, давайте вести диалог - если вы считаете что наш требования неправомерны, подготовьте четкое обоснование, будем разговаривать и обсуждать".

Самым главным итогом я считаю нашу общую с М.Н.Васильевым мысль, озвученную в конце моего доклада и горячо им поддержанную: четкое знание операторам ПДн законодательной базы поможет избежать многих проблем в общении с регуляторами хотя бы потому, что оператор будет находиться с ними на одном уровне. Чем выше уровень подготовки оператора - тем эффективнее проверка и адекватней ее результаты, потому как регулятор в начале проверки досконально не знает процессов обработки ПДн оператора, а для проведения детального их анализа ограничен во времени. Поэтому, дорогие читатели, ВНИМАТЕЛЬНО изучайте законы и иные нормативные документы, ведите с регуляторами ДИАЛОГ и помогайте им во время проверок. Не стоит "бычить" - в Роскомнадзоре и ФСТЭК работают точно такие же люди как и мы.

З.Ы. В приватной беседе я получил ответ на вопрос по поводу разделения полномочий между ФСТЭК и РКН в отношении актов классификации и модели угроз: не смотря на то, что РКН проверяет все до акта классификации включительно, а модель угроз составляется "до" него, РКН не проверяет модель - этим занимается ФСТЭК. Видимо, ведомства тоже "бодаются" :). Также узнал, что РКН никак не относится к процессам изменения законодательства РФ: дескать, примут - будем работать. Хотел написать здесь о примерах нарушений ПДн, приведенных Роскомнадзором, в банковской сфере, в ЖКХ, у операторов сотовой связи... но не буду - лучше приезжайте на последующие конференции :)

1 комментарий :

  1. topless_freak28.6.10

    Доклады уже на http://mmite.3dn.ru/index/materialy_dokladov/0-26. Требуется регистрация.

    ОтветитьУдалить