среда, 25 апреля 2012 г.

Записки провинциального оператора. Послесловие (updated).


Я искренне верю в то, что Вы, дорогие читатели, все выводы для себя уже сделали. Поэтому, чтобы долго не толочь воду в ступе и не злоупотреблять Вашим терпением (и так растянул, словно кота за хвост), привожу последние слайды своей презентации, так толком и не показанной на 5 межотраслевом форуме директоров по ИБ, где она потерялась практически на все время моего выступления (поэтому я выступал в роли артиста разговорного жанра, но зрители были довольны).



Смотреть другие презентации Алексея Волкова.
Самое главное, что Вы должны запомнить: не пишите лишнего, а раз уж написали - будьте добры, исполняйте. Но даже если такая неприятность случилась, и вам вменяют в вину неисполнение собственных локальных актов - запомните: любое такое нарушение можно устранить двумя способами. Первый - сделать все, что вы сами же и написали. Второй - немедленно (но официально) исправить локальный акт и представить проверяющим откорректированный вариант!

Именно так и поступил другой оператор, проверка которого обошлась без предписаний. По какой-то причине оператор в уведомлении указал, что обрабатывает ПДн без передачи по сети Интернет. Проверяющие обнаружили наличие систем "банк-клиент" и "контур-экстерн", и указали на это оператору:


Тот, недолго думая, в течение получаса подготовил информационное письмо о внесении изменений в уведомление, зарегистрировал его и направил регулятору экспресс-почтой, а копию тут же представил проверяющим. Результат:


Поэтому, дорогие читатели-операторы, ничего не бойтесь, ведите себя хорошо, конструктивно и требуйте этого от регулятора, будьте готовы оперативно устранять недостатки, а в случае чего - смело отстаивайте свои права в суде.

В заключении, не могу не отметить две тенденции, первая из которых связана с полномочиями регуляторов по проверкам в области ПДн. Как известно, часть 8 статьи 19 закрепляет право ФСБ и ФСТЭК контролировать государственных операторов, а часть 9 говорит о том, что их полномочия могут быть расширены и на остальные виды деятельности. Возникает резонный вопрос: значат ли такие формулировки, что только ФСБ и ФСТЭК могут контролировать исполнение оператором требований, указанных в статье 19? Роскомнадзор считает, что нет: ведь этого в явном виде в законе нигде не написано, и потому усердно тянет одеяло на себя, всеми правдами и неправдами выбивая полномочия и влезая в эту статью, как штопор в тугую пробку, в части контроля ее исполнения негосударственными операторами.

Вторая тенденция вытекает из первой. Помните тот вопрос про полномочия, связанные с оценкой достаточности принимаемых оператором мер, на который регулятор так и не ответил? А знаете ли Вы, в каком документе есть такое слово? Это пресловутое ПП-781, пункт номер 3:

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Обратите внимание, что и здесь не написано в явном виде, какой именно регулятор может оценивать эту самую достаточность в ходе госконтроля и надзора, но из логики документа следует, что тот же самый, который и устанавливает требования. Тем не менее, в новом административном регламенте Роскомнадзора, пока не опубликованном и потому не вступившем в силу, но уже вывешенном на их сайте под другим названием (старого, но действующего, там уже не найти) присутствует любопытный пункт под номером 42.1:

Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.

Итак, Роскомнадзор тихой сапой влазит в контроль технических мер в негосударственных ИСПДн: после принятия нового регламента он может это делать ТОЛЬКО с участием аккредитованного эксперта, включенного в реестр. Об экспертах и экспертных организациях, включенных в этот самый реестр, я уже писал - повторяться не буду. Здесь дело в другом - в Законе нет термина "эффективность", но есть "достаточность":

ч. 1 ст. 18.1: Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

Анализируя правоприменительную практику законов, предусматривающих проведение экспертизы (например, "О защите прав потребителей"), можно с уверенностью сказать, что любое мнение "карманного" эксперта может быть оспорено путем проведения второй (третьей, четвертой) независимой экспертизы. Но вот как между собой коррелируют "эффективность" и "достаточность", и что будет, если оператор сам определил "необходимые и достаточные" меры, а эксперт посчитал их "неэффективными" - на эти вопросы еще предстоит ответить, к сожалению или к счастью - практическим путем.

Удачи вам, дорогие читатели, в этом нелегком деле.

ЗЫ. По последним данным, новый регламент Роскомнадзора, все же, вступил в силу, так как опубликован в "Бюллетене нормативных актов федеральных органов исполнительной власти", N 9, 27.02.2012 (прил. 1 см. в "Бюллетене нормативных актов федеральных органов исполнительной власти", N 5, 2012, стр. 72 - 80, прил. 2 к Регламенту не приводится), и благополучно действует с 7 марта этого года (спасибо Михаилу Емельянникову за корректировку). Однако я, готовя пост, ссылался не на абы что, а на слова и действия "провинциального" Роскомнадзора, усердно продолжающего указывать в приказах о проведении проверки старый Регламент и действовать по нему. Видимо, еще не до всех дошло, а это операторам на руку ;) Почему "под катом" приказа № 18 на сайте Роскомнадзора скрывается приказ №312 и совсем другой регламент - по-прежнему остается загадкой.

Комментариев нет :

Отправить комментарий