27 Ноября, 2012

Вести с полей. Мнения регуляторов по ПДн

Andrey Prozorov

В четверг 22 ноября 2012 я посетил мероприятие " III международная конференция "Защита ПДн" ". Оно меня заинтересовало тем, что проводится по инициативе РКН, и можно было послушать мнения этого и других регуляторов (ФСТЭК России и ФСБ России) по вопросам обработки и обеспечения безопасности персональных данных. А с учетом того, что буквально за несколько дней до мероприятия было утверждено Постановление Правительства №1119 и опубликовано информационное сообщение ФСТЭК России , то стало совсем любопытно...

Народу на конференцию собралось довольно много, я бы ориентировался человек на 400-600. И это при том, что для большинства присутствие было платным (~7 000 руб. для "заказчиков" и  ~ 18 000 для "интеграторов").

Конференция началась с приветственных слов руководителя РКН, министра связи и массовых коммуникаций РФ, заместителя секретаря Совета Безопасности РФ, председателя Банка России, первого заместителя начальника Центра ФСБ России. К сожалению, эти люди не смогли присутствовать на конференции, поэтому мы с удовольствием послушали, как их представители монотонно с бумажки читали общие фразы. А с учетом того, что кофе дали только к 12.00 (регистрация была с 9.00, старт докладов с 10.00), все это планомерно погружало слушателей в сон... 

Дальше стало лучше, начались "смысловые выступления" (по крайней мере так они были представлены слушателям). Сначала выступали представители РКН и ФСБ России, далее были доклады зарубежных коллег (ФРГ, Чили, Венгрия), потом секции делились на 2 потока: «Защита персональных данных и право» и «Защита персональных данных и технологии».

Не смотря на то, что по мнению авторов приветственных слов в начале конференции о том, что она "пройдет на высоком содержательном уровне" и "все участники достигнут своих целей", и пожеланий "успешной и плодотворной работы", "результативных дискуссий", этого не произошло. Большинство официальных лиц ограничивались общими словами о выполнении требований по ПДн и планами, а также просто "самовосхищались" своей работой. Конструктивных предложений и примеров не было, на вопросы отвечали крайне неохотно и неконкретно.

Вот 3 ключевых вопроса/темы, которые постоянно поднимались слушателями и спикерами:
  1. Использование сертифицированных криптографических средств:
    • при взаимодействии ИСПДн и удаленного пользователя (например госуслуги)
    • при трансграничной передаче
  2. Создание, утверждение и использование отраслевые стандартов по ПДн
  3. Анализ угроз НДВ
Но мы так и не получи на них ответы. А конструктивные идеи звучали лишь в кулуарах, а не с трибун. Печально...

Вот какие моменты я для себя отметил из выступления представителя РКН:
  • Ключевое направление деятельности РКН - правовое обеспечение деятельности в области ПДн. Рассказали о том, что будут выпущены новые документы и повышены штрафы за ПДн ( об этом я, кстати, уже писал ). При этом РКН ориентируется на "неотвратимость наказания"... Бойтесь, операторы ПДн, нарушающие права субъектов ПДн!!! :)))
  • Актуальные вопросы работы РКН (а значит и тренды на ближайший год): ПДн и электронное правительство, трансграничная передача ПДн, ПДн при пассажирских перевозках. Также упоминали ПДн в интернет-магазинах. Операторы, занимающиеся обработкой ПДн в этих "группах риска", готовьтесь, вероятно, к вам придут к первым.
  • Кстати, про то, когда появится "перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" я ничего не услышал. Только то, что, вроде ФСБшникики говорили, туда НЕ попадут Бразилия и Китай...
  • Очень умильнула логика РКН. Не дословно, но суть такая: если нет заявлений и жалоб от субъектов ПДн, то система защиты ПДн работает хорошо и соответствует требованиям. Коллеги (и в особенности, Руслан Пермяков), поделитесь аудиозаписью выступления, получится отличный ПДн-мем :)))
А эти из выступления представителя ФСБ Росссии:
  • ФСБшники считают новую (из ПП 1119)  процедуру оценки защищенности ИСПДн "простой и прозрачной", а также искренне полагают, что теперь "упростился" выбор мер защиты ИСПДн. Также принципиально подходы к СЗПДн меняться не будут, необходимо лишь внести минимальные правки в документы.
  • Основным положительным (по мнению ФСБ) ментом введения новых уровней защищенности стало то, что для медицинских ПДн ИСПДн не будут однозначно определяться как К1, а уровень защищенности может быть УЗ1, УЗ2 и "даже" УЗ3. 
  • ФСБ России ориентируется на проверку лишь в отношении государственных ИСПДн, использующих криптографические СЗИ. Для проверки остальных ИСПДн ФСБшники практически не привлекаются. Основными нарушениями, которые ФСБшники обнаруживают в ходе проверок являются:
    • ошибки в составлении модели нарушителя;
    • истечение сертификатов для СКЗИ;
    • отличие версии СКЗИ от сертифицированных;
    • высокая текучесть кадров и низкий уровень знания сотрудников организаций.


Таким образом можно сделать следующие выводы:
  • Конференции такого типа проводить необходимо, общение (даже в режиме монолога) с регуляторами дает "пищу для ума".
  • В ближайшее время я бы не рекомендовал ждать ни конкретных требований по ПДн, ни рекомендаций по их выполнению. Выигрышной будет следующая стратегия для операторов ПДн: выполнить простые требования, связанные с обработкой ПДн (определить перечень ПДн, назначить ответственных, разработать политику и пр.), частично выполнить требования по защите ПДн (только те, что выполнить просто, дешево и понятно, а также гарантированно не придется переделывать). 


Материалы конференции (доклады и презентации)  можно скачать тут .