Новости ФСТЭК по линии персданных

Был я на прошлой неделе на 4-м Алтайском ИТ-форумев городе Барнауле с выступлением по решениям Cisco в области персональных данных (сама презентация доступна на SlideShare).И выступал передо мной представитель ФСТЭК по СФО, который сделал несколько интересных заявлений, которыми я и хотел бы поделиться: На вопрос о том, нужна ли лицензия на ТЗКИ ответ был заковырист, но предсказуем. Итак логика ФСТЭК следующая. Вы видите в термине "обработка ПДн" слово "защита"? Нет. Значит множество операторов ПДн не равно множеству лицензиатов ФСТЭК. Дальше последовало разъяснение, что такое "защита информации" и был взят за основу ГОСТ 50922 (я лет 15 назад имел некоторое отношение к первой редакции этого ГОСТа, как его критик). Т.к. под данное определение подпадают все виды конфиденциальной информации, а ПДн также относится к ней, то лицензия на ТЗКИ нужна всем. Но не потому, что вы обрабатываете ПДн или являетесь оператором. А потому что то, что вы делаете, совпадает с тем, что написано в ГОСТ 50922, т.к. является лицензируемым видом деятельности. Вот такая сложная цепочка рассуждений, итог которой прост - лицензия ФСТЭК на ТЗКИ нужна всем. К слову замечу, что ФСТЭК УрФО утверждает, что лицензия нужна только тем, кто представляет услуги по ТЗКИ на платной основе; а для собственных нужд лицензия не нужна.Часть подзаконных актов по ПДн будут разработаны, ВНИМАНИЕ,... ко 2-му кварталу 2012 года, а вся нормативка к концу 2012 года.На закономерный вопрос о том, как жить до принятия новой нормативки, представитель ФСТЭК ответил, что жить по-старому, т.е. по 58-му приказу и двум документам по моделированию угроз. Кстати, представитель ФСТЭК считает, что моделированием угроз по-прежнему должны заниматься операторы ПДн. И это несмотря на то, что в новом старом ФЗ этой привилегии операторы лишены.Кстати, "приказа трех" как и 58-го приказа не будет - им на смену придут другие документы.По поводу оценки соответствия представитель ФСТЭК заявил классическую фразу: "оценка соответствия - это сертификация" и сослался на ПП-330. Также он проговорился, что к оценке соответствия установленного порядка относится еще и госконтроль и надзор (по ПП-330), но, мол, это не дело операторов и их не касается. И вообще, по поводу  ПП-330, представитель ФСТЭК заявил, что оно касается только разработчиков СЗИ и к операторам никакого отношения не имеет. На каком основании он сделал этот вывод я не понял.Ну и наконец, ФСТЭК всех пугала наказаниями по ст.13.12 (применение несертифицированных СЗИ) и 13.13 (безлицензионзионная деятельность).Вот такие новости. Выступавший РКН ничего нового не говорил; окромя заявления, что все обработчики ПДн - это все равно операторы. ЗЫ. Раз уж зашел разговор о форуме, то не могу не сказать об отличной организации мероприятия. 4-й год подряд мероприятие становится все лучше и лучше, что оценивается и участниками. В этом году было 443 участника при 500 зарегистрированных. Организацией занималась компания Галэкс, за что ей огромная благодарность. К слову сказать, организовать такое мероприятие в до сих пор несданном помещении театра, где на все фойе с выставкой было три розетки... Это, я вам скажу, уметь надо ;-)