Конференции - это удачный повод пообщаться с регуляторами, узнать новую информацию и понять какие мысли гуляют в головах тех, кто принимает законы, напрямую влияющие на вопросы обеспечения информационной безопасности в России. Инфофорум - это не совсем профильное ИБ-мероприятие, но тем не менее в программе была целая секция посвященная вопросам безопасности персональных данных, собравшая представителей РКН, Госдумы и ФСТЭК. Я как всегда сделал аудиозаписи, которые и выкладываю в этом посте.
Первой выступала Васильева Лариса Борисовна, начальник Управления по защите прав субъектов персональных данных Роскомнадзора. Ее доклад представлял собой краткий отчет о работе РКН в 2010 г. (официальный отчет должен появится в ближайший месяц). Основные моменты: за 2010 г. проведено 1253 проверки из них 804 плановые. По итогам проверок было составлено более 3000 протоколов об административных правонарушениях. Среди основных "грехов", выявленных РКН, значатся либо не отправленное уведомление, либо ложные сведения в уведомлениях. Общая сумма штрафов по итогам проверок - 4 767 тыс. руб. Среди организаций, допускающих наибольшее нарушения - кредитные организации, организации ЖКХ и страховые компании. За 2010 г. в РКН поступило 1608 жалоб и обращений, в 2011 г. ожидают десятикратный (!) рост количества жалоб со стороны субъектов ПДн. (Аудиозапись выступления здесь).
Следующим с докладом выступал Лютиков Виталий Сергеевич, заместитель начальника Управления ФСТЭК России. Его доклад меня несколько удивил, в том смысле, что был он посвящен основным ошибкам, совершаемым операторами и сообществами, которые передавали свои "отраслевые" документы на согласование во ФСТЭК. Удивил потому, что выглядел он так, будто бы все так горячо обсуждаемые проблемы выполнения требований по обеспечению безопасности на самом деле не существуют, рынок сертифицированных средств хорошо развит, есть просто ошибки со стороны операторов, которые ФСТЭК с радостью готов помочь исправить. Система классификации является хорошей международной практикой, а методические документы на самом деле не предъявляют завышенных требований и они неодинаковы к операторам разного масштаба (видимо тут отсыл, что все по модели угроз определяется), и вообще если кто-то не умеет пользоваться методическими документами ФСТЭК, то милости просим, они вам готовы разъяснить (тут я заулыбался :) ) Аудиозапись выступления здесь. Этого нет на записи, но чуть позже я задал вопрос, а не считают ли представители ФСТЭК и Госдумы излишне завышенными требования об использовании исключительно сертифицированных средств для защиты персональных данных. На что, Виталий Сергеевич заявил, что данное требование прописано в постановлении правительства (читай, это не ФСТЭК виноват), а представитель Госдумы, Волчинская Елена Константиновна, заявила, что ближайшие изменения в законодательстве скорее всего приведут к изменению этой нормы (ну поживем увидим).
Далее с докладом выступила Храмцовская Наталья Александровна, ведущий эксперт по управлению документацией компании "Электронные Офисные Системы" на тему стыковки гос.услуг и вопросов защиты персональных данных. Доклад был очень эмоциональным и интересным и также был посвящен вопросам несовершенства пресловутого 152-ФЗ. (аудиозапись здесь).
И последний доклад, который я успел в этот день послушать, был от Федосенко Андрея Владимировича, ведущего советника аппарата Комитета Государственной Думы по конституционному законодательству и государственному строительству. Доклад был посвящен грядущим изменениям в законодательстве в области персональных данных. Общий лозунг - баланс интересов субъектов и операторов персональных данных, либерализация вопросов обеспечения безопасности персональных данных и уточнение спорных положений закона. Более подробнее в аудиозаписи. Ключевой момент (!) - по словам Андрея Владимировича, новую редакцию законопроекта Резника ко второму чтению надо ждать не раньше мая, т.к. до сих пор не достигнут консенсус по ряду вопросов.
Общие впечатления от этой сессии остались смешанные, вроде бы все говорят правильные вещи, все понимают что и как надо сделать и как должно выглядеть законодательство, но воз как известно и ныне там. Остается только надеяться, что все же "разум победит" и 2011 даст новый более качественный виток развития законодательства в области защиты информации в России.
P.S. Но все же меня по-прежнему не покидает ощущение, что в области защиты персональных данных нам еще предстоит пережить серьезное разочарование.
сделал ссылку на wikisec.net
ОтветитьУдалить