Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.
Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.
Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:
Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.
Вот так.
В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.
Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.
По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.
Ну вырвали они комментарий из контекста, так это ж не со зла :
Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.
Проснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:
- Привет! Завтракаю и смотрю тебя по телевизору…)))
- Сколько?
- Что сколько?
- Времени сейчас сколько?
- Уже 7 утра.
- А в Москве?
- …. Ой! А ты спишь?..
- )))
Пришлось просыпаться, т.к. следом позвонил еще один зритель Первого канала.
Недавно помогал коллегам с Первого канала в съемке репортажа по теме защиты персональных данных. Так вот сегодня этот репортаж вышел.
Помимо самого интервью, мы съездили на Савеловский рынок и со скрытой камерой пообщались с продавцами баз данных. Найти их оказалось совсем не трудно. Прямо при входе на рынок висит табличка «БАЗЫ ДАННЫХ», тут же стенд с дисками. Чего там только нет… базы ФНС, ФССП, ГИБДД, Пенсионный фонд, МТС, Билайн и т.п. Видимо «до кучи» продается база vkontakte.ru . Продавцы оказались настолько милы, что показали заинтересовавшие базы в работе. «Наколки» не нашел, все что запускали – работает. На прилавке есть как старые базы, вроде базы ГИБДД до 2008 года, так и совсем свежие. Для некоторых есть обновления вплоть до марта месяца текущего года. Цены порядка 1500 рублей за диск. Дешевле купить оптом, а еще лучше принести свой винчестер для записи на месте. В этом случае за терабайт всех баз данных, которые у них есть, с меня попросили 25 000 руб. Думаю, что если поторговаться, то можно легко скинуть до 10 000-15 000 руб. Как показал этот случай, именно столько сейчас стоит исчерпывающая информация о гражданах РФ.
Получил письмо от Майи Ольшанской с интересной ссылкой:
В Череповце есть такой сайт http://mmite.3dn.ru , на нем выкладывают результаты конференций и семинаров по ПДн, которые проводятся при участии Череповецкого Государственного Университета. На последнем семинаре “Обеспечение безопасности персональных данных в органах государственной власти и местного самоуправления” у представителя университета был доклад, в котором он постарался представить шаблонный вариант внутренних документов по ПДн.
Доклады, перечень документов и сами шаблоны можно скачать с сайта (прикрепляю к письму два предложенных пакета документов). Ссылка 1, Ссылка 2
PS Печально, что то, что по идее должно быть сделано регулирующими органами в сфере ПДн, делают сами операторы или “деятели” (которые заполнение этих документов продают за немалые деньги).
Часть документов потеряли актуальность в связи с отменой 2-х документов ФСТЭК, но все таки могут оказаться полезными при написании организационно-распорядительной документации.
Появилась первая информация, что самые спорные и «противные» документы ФСТЭК:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Отменены!
.
P.S. Решение ФСТЭК выложено в разделе “Постановления Правительства Российской Федерации”. Знаково
Вышел первый в этом году журнал “Information Security/Информационная безопасность“. В журнале есть статья “Построение и защита многопользовательских территориально распределенных ИСПДн 2-го и 3-го класса“, ее писал я совместно с отличным специалистом в области технической защиты информации и просто хорошим человеком – Дмитрием Артеменковым. Чему очень рад и надеюсь, Дмитрий также остался доволен небольшим совместным творчеством.
Давно не писал статьи в соавторстве, но чувствую теперь, буду практиковать такой подход чаще.
Нас очень сильно ограничили по объему, поэтому методика проведения работ представлена “верхнеуровнево”.
Есть разделы:
особенности защиты персональных данных в территориальных системах;
обобщенная методика проведения работ;
практика применения методики (из реального кейса).
С последним пунктом возникли сложности. Редактура не разрешила указать конкретные технические средства, применяемые в реальных кейсах.
Как нельзя указывать?! Ради этого и писалась статья!
Мы «по-сопротивлялись» такому решению, (не сильно ), и опубликовали, как просили в редакции. Благо есть интернет и всегда можно выложить авторский вариант. Раздел «Практика применения методики», в первоначальном виде выложен здесь:
Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.
:
Проснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:
Последние комментарии