Телепрограмма «Область доверия» о персональных данных и киберпреступности в России

Запись телепрограммы начала месяца с моим участием. Программа приурочена к принятию нового старого закона о персональных данных и последним утечкам, но речь зашла и о киберпреступности в России.

Административный регламент ФСБ по надзору в области персональных данных

Появился проект приказа ФСБ России «Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных«.

В первую очередь важен предмет контроля и надзора:

ФСБ проверяет «выполнение требований Правительства к автоматизированной обработке ПДн в ИСПДн, а также работе с материальными носителями биометрических ПДн и хранению таких данных вне ИСПДн с использованием средств криптографии». Требований Правительства пока нет.

В регламенте ФСБ, как и в регламенте Роскомнадзора есть разделение на плановое и внеплановые проверки. В приложении есть блок-схема последовательности действий регулятора.

Т.к. проект приказа готовился в соответствии с 294-ФЗ, все соответствующие ограничения в приказе есть. Важно обратить внимание, что о плановой проверке оператора должны уведомить «не позднее чем в течение трех рабочих дней до начала ее проведения». Фраза стандартная, также используется в документах Роскомнадзора, но от этого не менее пугающая. Что значить «не позднее чем в течение трех рабочих дней»? Если за час до приезда проверяющего, то это тоже «не позднее чем в течение трех рабочих дней»!

Очевидно, это издержки нашей нормативки. Будем считать, что оператора о плановой проверке должны уведомить за 3 дня. О внеплановой проверке достаточно уведомить за 24 часа. В случае, если в результате деятельности оператора «причинен или причиняется вред жизни, здоровью граждан, безопасности государства» уведомление о проверке не требуется вовсе.

В проекте приказа хорошо раскрыто, что обязан делать проверяющий (п.33), а что делать не имеет права (п.37). Поэтому по факту неожиданного приезда регулятора, не нужно впадать в панику, а необходимо взять регламент и ознакомиться с ним. К слову проверяющий обязан ознакомить оператора с целями, задачами, основаниями, сроками и условиями проведения выездной проверки, видами и объемом мероприятий по контролю.

В целом в приказе нет ничего нового. Требования к акту проверки, предписанию, обжалованию и т.п. логичны. Единственное, на что еще стоит обратить внимание, так это на декларируемый результат или цель исполнения ФСБ своих функций по контролю и надзору. Служба видит результатом «обеспечение соблюдения операторами установленных требований к обеспечению безопасности ПДн». Т.е. если будут проверки ФСБ, то будет дисциплина в части выполнения требований по защите ПДн. В какой-то степени это так. Чем жестче будут проверки, тем больше ресурсов пойдет на техническую защиту. Вопрос только в том, что это за требования и во сколько это обойдется экономике? Есть хоть какая-нибудь официальная экономическая проработка цены технической защиты в масштабах страны? МЭР этим вообще занимается?