В четверг 22 ноября 2012 я посетил мероприятие " III международная конференция "Защита ПДн"". Оно меня заинтересовало тем, что проводится по инициативе РКН, и можно было послушать мнения этого и других регуляторов (ФСТЭК России и ФСБ России) по вопросам обработки и обеспечения безопасности персональных данных. А с учетом того, что буквально за несколько дней до мероприятия было утверждено Постановление Правительства №1119и опубликовано информационное сообщение ФСТЭК России, то стало совсем любопытно...
Народу на конференцию собралось довольно много, я бы ориентировался человек на 400-600. И это при том, что для большинства присутствие было платным (~7 000 руб. для "заказчиков" и ~ 18 000 для "интеграторов").
Конференция началась с приветственных слов руководителя РКН, министра связи и массовых коммуникаций РФ, заместителя секретаря Совета Безопасности РФ, председателя Банка России, первого заместителя начальника Центра ФСБ России. К сожалению, эти люди не смогли присутствовать на конференции, поэтому мы с удовольствием послушали, как их представители монотонно с бумажки читали общие фразы. А с учетом того, что кофе дали только к 12.00 (регистрация была с 9.00, старт докладов с 10.00), все это планомерно погружало слушателей в сон...
Дальше стало лучше, начались "смысловые выступления" (по крайней мере так они были представлены слушателям). Сначала выступали представители РКН и ФСБ России, далее были доклады зарубежных коллег (ФРГ, Чили, Венгрия), потом секции делились на 2 потока: «Защита персональных данных и право» и «Защита персональных данных и технологии».
Не смотря на то, что по мнению авторов приветственных слов в начале конференции о том, что она "пройдет на высоком содержательном уровне" и "все участники достигнут своих целей", и пожеланий "успешной и плодотворной работы", "результативных дискуссий", этого не произошло. Большинство официальных лиц ограничивались общими словами о выполнении требований по ПДн и планами, а также просто "самовосхищались" своей работой. Конструктивных предложений и примеров не было, на вопросы отвечали крайне неохотно и неконкретно.
Вот 3 ключевых вопроса/темы, которые постоянно поднимались слушателями и спикерами:
- Использование сертифицированных криптографических средств:
- при взаимодействии ИСПДн и удаленного пользователя (например госуслуги)
- при трансграничной передаче
- Создание, утверждение и использование отраслевые стандартов по ПДн
- Анализ угроз НДВ
Вот какие моменты я для себя отметил из выступления представителя РКН:
- Ключевое направление деятельности РКН - правовое обеспечение деятельности в области ПДн. Рассказали о том, что будут выпущены новые документы и повышены штрафы за ПДн ( об этом я, кстати, уже писал). При этом РКН ориентируется на "неотвратимость наказания"... Бойтесь, операторы ПДн, нарушающие права субъектов ПДн!!! :)))
- Актуальные вопросы работы РКН (а значит и тренды на ближайший год): ПДн и электронное правительство, трансграничная передача ПДн, ПДн при пассажирских перевозках. Также упоминали ПДн в интернет-магазинах. Операторы, занимающиеся обработкой ПДн в этих "группах риска", готовьтесь, вероятно, к вам придут к первым.
- Кстати, про то, когда появится "перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" я ничего не услышал. Только то, что, вроде ФСБшникики говорили, туда НЕ попадут Бразилия и Китай...
- Очень умильнула логика РКН. Не дословно, но суть такая: если нет заявлений и жалоб от субъектов ПДн, то система защиты ПДн работает хорошо и соответствует требованиям. Коллеги (и в особенности, Руслан Пермяков), поделитесь аудиозаписью выступления, получится отличный ПДн-мем :)))
А эти из выступления представителя ФСБ Росссии:
- ФСБшники считают новую (из ПП 1119) процедуру оценки защищенности ИСПДн "простой и прозрачной", а также искренне полагают, что теперь "упростился" выбор мер защиты ИСПДн. Также принципиально подходы к СЗПДн меняться не будут, необходимо лишь внести минимальные правки в документы.
- Основным положительным (по мнению ФСБ) ментом введения новых уровней защищенности стало то, что для медицинских ПДн ИСПДн не будут однозначно определяться как К1, а уровень защищенности может быть УЗ1, УЗ2 и "даже" УЗ3.
- ФСБ России ориентируется на проверку лишь в отношении государственных ИСПДн, использующих криптографические СЗИ. Для проверки остальных ИСПДн ФСБшники практически не привлекаются. Основными нарушениями, которые ФСБшники обнаруживают в ходе проверок являются:
- ошибки в составлении модели нарушителя;
- истечение сертификатов для СКЗИ;
- отличие версии СКЗИ от сертифицированных;
- высокая текучесть кадров и низкий уровень знания сотрудников организаций.
Таким образом можно сделать следующие выводы:
- Конференции такого типа проводить необходимо, общение (даже в режиме монолога) с регуляторами дает "пищу для ума".
- В ближайшее время я бы не рекомендовал ждать ни конкретных требований по ПДн, ни рекомендаций по их выполнению. Выигрышной будет следующая стратегия для операторов ПДн: выполнить простые требования, связанные с обработкой ПДн (определить перечень ПДн, назначить ответственных, разработать политику и пр.), частично выполнить требования по защите ПДн (только те, что выполнить просто, дешево и понятно, а также гарантированно не придется переделывать).
Материалы конференции (доклады и презентации) можно скачать тут.
