Новости ФСТЭК, ФСБ и РКН

По результатам вчерашней конференции в Челябинске, организованной Аста-Информ , была получена очень интересная информация. Не всегда новая, но это тоже важно - подтвердить худшие опасения или направления деятельности регуляторов. Кстати, что касается регуляторов, то это, на моей памяти, единственное мероприятие, где присутсвовали в полном составе представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Итак новости следующие: ФСТЭК подтвердил свою позицию, что лицензия должна быть у каждого оператора ПДн. Обосновать не смогли, но позицию высказали.Под оценкой соответствия ФСТЭК понимает только сертификацию и ничего другого. Доказать не смогли, но с дороги не сворачивают.На одной из секций ФСТЭК заявил, что аттестация тоже обязательна. На второй секции у него уточнили этот вопрос и ФСТЭК заявил, что на СЕГОДНЯШНИЙ день аттестация не нужна. Но я уже писал про планы ФСТЭК к концу года подвести под это законную базу. Так что ждем-с...РКН по прежнему считает, что публикация списков должников ЖКХ, а также работа коллекторов незаконна. Даже несмотря на пункт в ФЗ об отсутствии необходимости получения согласия защиты законных интересов оператора ПДн. РКН вообще читает эту норму не так, как написано в ФЗ. Они ее читают как "законные основания", а не "законные интересы", и считают, что либо в законе должно быть прописано, либо не имеете права. Кстати, про коллекторов и обработку ими персданных я буду писать в понедельник - там есть много новостей интересных.РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках. Т.е. оснований у самих технических регуляторов для проверок коммерческих компаний нет, но это можно сделать, если выступать в качестве эксперта у РКН на побегушках. При этом предписание об устранении выдает не ФСТЭК/ФСБ, а РКН и придраться к незаконности проверок этих "технических" регуляторов почти невозможно ;-(Очень понравился мне подход Челябинского управления ФСБ. Ну очень... Они действуют так, как должен регулятор. Ничего лишнего не требуют. Например, т.к. в законе написано про оценку соответствия СКЗИ, а не про сертификацию, то они в Челябинске не требуют сертификатов на СКЗИ у коммерческих организаций - смотрят на соответствие модели нарушителя. Они не горят желанием привлекаться со стороны РКН как эксперты по части технической проверки по линии ПДн. Челябинская ФСБ не считает невыполнение 152-й инструкции основанием для отказа в выдаче лицензии. Ну и т.д. Очень здравый взгляд. При этом госов они контролируют активно - уже и наказаний по 13.12 КоАП за отсутствие сертифицированных СКЗИ выписали больше чем другие управления в УрФО.На вопрос РКН, надо ли переделывать уже разработанные в организации документы по старому ФЗ, они ответили, что нет, не надо. Мол, дождемся новой нормативной базы - тогда и будем смотреть.На вопрос РКН, надо ли классифицировать ИСПДн, они ответили, что если уже классифицировано, то и пусть будет. Но если только в процессе, то лучше приостановить этот процесс, т.к. по новой нормативке классификации ИСПДн нет.На вопрос РКН, должны ли быть ответственные в филиалах организации, они ответили, что да. Иначе они не смогут проводить проверки без ответственного (это из ФЗ-294 вытекает).На вопрой РКН, как обрабатывать ПДн ближайших родственников, они ответили, что только по явному согласию.На вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО.В согласии на передачу ПДн третьим лицам, а также обработчикам, РКН требует указания конкретных наименований и адресов этих лиц. Только в крайних случаях они готовы воспринимать типы третьих лиц (страховые компании, курьеры и т.д.).Вот в таком аспекте, как говорилось в "Понедельник начинается в субботу" Стругацких...