воскресенье, 20 февраля 2011 г.

Защита персональных данных на финансовом и пенсионных рынках, отраслевые стандарты и новый приказ ФСБ

В минувшую пятницу мне довелось поучаствовать в конференции "Защита персональных данных на финансовом и пенсионных рынках 2.0", организованной ассоциацией НАПФ. Получилось довольно интересно и познавательно. Что порадовало, так это то, что из зала задавались конкретные вопросы, было понятно,что публика пришла знающая и уже попробовавшая реализовать требования закона (год назад на подобных мероприятиях из зала шли вопросы, которые скорее говорили о незнании нормативной базы). Но обо всем по порядку.

Одним из первых выступлений был доклад представителя РКН - Кантемирова Юрия Евгеньевича. Чего-то принципиально нового я для себя не услышал, доклад был посвящен опыту проверок за прошедший год. Были обозначены основные ошибки операторов, к которым отнесены:
  • отсутствие уведомления в РКН или его некорректное заполнение
  • отсутствие согласия на обработку ПДн
  • отсутствие утвержденного списка лиц, имеющих доступ к персональным данным в организации.
По опыту отработки претензий со стороны субъектов одной из наиболее частых причин таких претензий была обозначена "несанкционированная реклама", т.е. когда оператор добыв где-то контакты физических лиц начинал им рассылать письма или смс-ки с предложением своих услуг, что далеко не всегда вызывало их восторг.

Далее последовал доклад представителя 8-го Центра ФСБ - Тачкова Юрия Владимировича. К сожалению по тех. причинам мне не удалось сделать нормальную запись выступления, поэтому напишу, что услышал. Доклад был главным образом касался нового приказа ФСБ, посвященного описанию порядка применения средств криптографической защиты для обеспечения безопасности персональных данных (тому, который должен прийти на смену 2м методическим документам, имеющимся сейчас). Доклад был интересным и вот почему: Юрий Владимирович начал выступление с того, что обозначил, что существующие документы ФСБ по персональным данным были разработаны как компиляция из других документов ФСБ (читай на скорую руку, методом копи-пейст (комментарий автора)) и поэтому к разработке этого приказа и вводимого им положения подошли со всей серьезностью. Документ получается аж на 60 страниц (!) и в него планируется включить методику составления модели нарушителя и класса криптосредств (соответственно), порядок применения СКЗИ (необходимые орг. мероприятия), а также разъяснения о том, в каких случаях необходимо получение лицензий ФСБ. Вот тут самое интересное. Лицензия ФСБ на техническое обслуживание СКЗИ не нужна (!), если СКЗИ используется в соответствии с эксплуатационной документацией (читай если просто используете для своих нужд, то лицензия не нужна). Лицензия ФСБ на распространение средств СКЗИ не нужна, если один оператор передает СКЗИ другому оператору для осуществления защищенного обмена информацией (почему же тогда банки заставляют получать лицензию на распространение криптографии среди своих клиентов?). Также Юрий Владимирович коротко коснулся вопросов проведения проверок ФСБ по линии использования СКЗИ. Из основных замечаний были обозначены:
  • использование СКЗИ не отвечающих эталонным образцам (не совпадают контрольные суммы)
  • несоблюдение порядка использования (нет необходимой документации, не проводятся необходимые мероприятия)
  • использование несертифицированных СКЗИ
Последний пункт меня конечно же заинтересовал больше всего, на мой прямой вопрос о том, являются ли средства VPN, используемые практически во всех организациях, незаконными, Юрий Владимирович ответил, что согласно постановлению правительства - да. (кстати уже второй раз слышу со стороны регуляторов камень в огород правительства, дескать это не мы такие драконовские меры вводим, это все в постановлениях прописано, и доля правды в их словах есть). Позже на кофе-брейке Юрий Владимирович сказал, что он сам не против либерализации (читай использования западной криптографии), но является ли его мнение отражением мнения ФСБ по этому вопросу я не знаю.

Далее было выступление Федосенко Андрея Владимировича, ведущего советника Комитета Госдумы РФ по конституционному законодательству и государственному строительству (записи также нет). Он еще раз обозначил проблемы применения 152-ФЗ, которые коротко можно описать словами "закон написали не так, а поняли еще хуже". В законе планируется править определение ПДн (сделать его более широким как в евроконвенции), формы и условия получения согласия на обработку ПДн (конклюгентные действия ?), возможные основания для обработки ПДн. С точки зрения обеспечения безопасности планируется дать "большую свободу оператору", но за эту свободу придется расплатиться большей ответственностью. Законодатели не хотят вводить норму по которой (как в Америке) оператор обязан будет уведомить субъектов, чьи данные были скомпрометированы, планируется ввести норму по которой оператор обязан будет уведомить регулятора (РКН), а тот уже далее будет либо публиковать эту информацию (доска позора ?), либо подавать в суд...
Про РКН тоже возник вопрос, эта служба не является "независимой" как того требует евроконвенция. Что это означает я не понял, но возможно РКН будет реформироваться снова в некий иной орган, отвечающий за вопросы соблюдения прав субъектов ПДн.

Далее был обед, после которого прошли выступления представителей ассоциаций НАПФ и НАУФОР и спонсоров конференции.
В рамках доклада НАПФ было совместное выступление вашего покорного слуги и Касиной Светланы Алексеевны, исполнительного директора "Национального НПФ" - члена совета НП "НАПФ". Светлана Алексеевна очень интересно поделилась практикой исполнения закона в пенсионном фонде, я же подробнее представил стандарты НАПФ, в разработке которых принимал непосредственное участие. Запись нашего выступления здесь (рекомендую послушать представителям пенсионных фондов). А вот и сама презентация:
Последний доклад, который я послушал, касался отраслевых стандартов, разработанных ассоциацией НАУФОР. Честно говоря про стандарты я ничего не услышал, Пома Сергей Иванович, заместитель председателя Правления НАУФОР просто поделился своими рекомендациями по выполнению закона и защите информации. Из основных тезисов - большинство утечек закрывается организационными мерами, и примерно половина из них связана с неумышленными действиями (Как специалист по информационной безопасности я не согласен с этими заявлениями полностью....) Запись выступления можно скачать здесь.

Стандарты НАУФОР доступны на их сайте, но скачать их могут только (!) участники НАУФОР. Не понимаю я такой скрытности..... НАПФ свои стандарты выложил в публичный доступ. Если среди моих читателей есть те, кто работает в организациях, входящих в НАУФОР, скиньте стандарты.... интересно почитать.

После наших выступлений была короткая секция вопросов и ответов. Далее в программе планировалось выступление представителя ассоциации НЛУ о разработанных ими стандартах, но выступления не было и на сайте НЛУ я не смог найти никакого упоминания о таких стандартах.

В завершение хочу отметить профессиональный уровень ведения мероприятия со стороны модератора - Короткова Андрея Викентьевича, д.э.н, заведующего кафедрой МГИМО (У), заведующего кафедрой РАНХ при Президенте РФ.

3 комментария:

  1. > Законодатели не хотят вводить норму по которой
    > оператор обязан будет уведомить субъектов, чьи
    > данные были скомпрометированы

    Не первый раз это читаю из уст "летовцев". А 3й пункт 21ой статьи 152го ФЗ уже четыре года действует ;)

    ОтветитьУдалить
  2. На самом деле указанный пункт написан довольно неконкретно и большинством операторов (и получается и законодателей) не воспринимают его смысл как обязанность уведомлять о компрометации. Потому что, читаем первый пункт этой статьи:
    В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных....
    т.е говорится о неправомерных действиях оператора

    а потом в п.3 говорится: В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные....

    чьих неправомерных действий ? вообще действий ? тогда что значит "устранить нарушения" в ситуации с кражей данных ? и как это "уничтожить" если устранить не получится ? Т.е украли данные, устранить проблему нельзя, и их надо уничтожить ?

    Ооочень неоднозначный пункт

    ОтветитьУдалить
  3. Да мало ли, кто что в соседней (?!) фразе не воспринимает.
    "Об устранении допущенных
    нарушений или об уничтожении персональных данных оператор обязан
    уведомить субъекта персональных данных или его законного представителя" - это буква закона. Действующего.

    ОтветитьУдалить