А что будет за невыполнение требований ФЗ-152 «О персональных данных»?
Ответ банальный:
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
Ну… это понятно, а что реально?
Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
А какой штраф?
Обычно 10 000 – 20 000 рублей.
У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!
Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:
В Ставропольском крае за тонировку стекол сажают.
Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».
Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.
Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.
Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.
Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.
Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.
Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?
А изменилось очень многое. И, на мой взгляд, в лучшую сторону.
Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.
Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.
Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:
1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
3) Для защиты персональных данных можно использовать любые средства защиты.
Все три мнения реально присутствуют на рынке.
Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!
Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?
Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».
В заключении.
Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…
Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…
Читал контент Cio-world.ru (о причинах сообщу позже). Привлекло внимание интервью с заместителем Председателя Банка России Михаилом Сенаторовым. Очень качественный материал, рекомендую. Особенно понравилась заключительная часть. Выложу ее как есть:
« - А Роскомнадзор?
Задача Роскомнадзора – надзор за соблюдением требований и правил. А устанавливают эти правила ФСБ и ФСТЭК. Поэтому гражданской организации-регулятора сегодня нет. Есть некий вакуум, который должен быть чем-то заполнен. Этот вакуум могут заполнить как раз Саморегулируемые (СРО) организации, возможно, ассоциация таких организаций. Эти СРО, я надеюсь, будут создаваться различными структурами, работающими в тех или иных областях использования информации. Такими, как сотовые операторы, медики, страховщики. Эти группы могут создавать свои отраслевые требования, объединяться в некие структуры. По существу, речь идёт об одном из этапов построения гражданского общества, построения системы защиты информации, которая циркулирует в гражданском обществе, от неправильного использования.
Я считаю, что это серьезная общественная задача, которая не может быть решена двумя регуляторами, которые были созданы для решения других задач. Та полемика, которая в этом году проходила, как раз и выявила этот конфликт интересов. И в этом плане она была очень полезной. Потому что законодатель понял, что не может быть одного универсального закона. Закон может быть общего плана. Но под него необходимы документы, определяющие особенности тех или иных рынков, необходимы отраслевые стандарты.
- Есть шанс успеть провести эту серьёзную организационную работу всего за год?
Не знаю. Но отодвигать еще дальше действие закона будет очень трудно. Поэтому в течение будущего года необходимо будет предпринять самые активные усилия по формированию саморегулируемых организаций и по созданию отраслевых стандартов защиты персональных данных. Мы должны активно двигаться в этом направлении. Другого пути просто нет!
»
Саморегулируемые организации – это инструмент, который лучше любого регулятора способен контролировать быстроменяющиеся и спекулятивные отрасли. В слове «спекуляция», в данном случае, нет негативного оттенка, а подразумевается слабая связь между прямыми издержками и конечной ценой. В таких отраслях первичен баланс спроса и предложения (яркий пример – строительство).
В случае подготовки отраслевых стандартов и их дальнейшее внедрение в рамках отрасли через СРО, все персональные данные будут хорошо защищены, причем РЕАЛЬНО. При таком раскладе Роскомнадзор сможет спокойно и в полном объеме выполнять свои функции как Уполномоченного органа по защите прав субъектов персональных данных. Не сложится ситуация, когда нужно контролировать 7 миллионов неопытных операторов, а активностей в виде проверок всего 6 тысяч в год.
Оговорюсь, что СРО реально существуют и хорошо работают при, так называемом, Гражданском обществе. Если говорить честно, положа руку на сердце, гражданское общество в России развивается, хоть и медленно. Примером могут быть наши с вами дискуссии. Тема персональных данных вызвала серьезный резонанс и вот, пожалуйста, появилось целое сообщество людей, которые без какой-либо внешней мотивации стали совместно искать выход из сложившейся ситуации. Если кто-то думает, что все что происходит на ресурсах в интернете – это сотрясание воздуха, то глубоко ошибается. Те выкладки, которые можно найти на моем блоге и на других, эволюционируют, учитываются, а иногда без какой либо правки используются всеми от простых граждан до регуляторов. Как следствие начинает вырисовываться вполне конкретный пул задач, которые требуют решения. Это ли не гражданское общество?
Поэтому я считаю, что вся предыдущая работа не прошла зря, и в течение 2010 года у нас есть хорошие шансы найти адекватные решения защиты прав субъектов персональных данных.
Под названием «Частотный ревизор» Российская газета опубликовала интервью с руководителем Роскомнадзора господином Ситниковым. На самом деле, ничего нового сказано не было, но все равно приведу часть интервью, которая касается персональных данных:
РГ: Как работает закон о защите персональных данных? Вы говорили, что большинство операторов до 1 января 2010 года не успеют привести свои системы в соответствие с этим законом. На какой стадии сейчас эта работа?
Ситников: Действительно не успеют, поэтому в Госдуме в стадии принятия находится законопроект, предусматривающий годовую отсрочку. Но думаю, что эта отсрочка не принесет желаемых результатов без внесения серьезных поправок в Закон “О персональных данных”. Соответствующие предложения минкомсвязи должно внести в начале следующего года.
Уверен, что закон должен защищать не систему, не некие данные, а гражданина. Не должно быть закона о персональных данных ради самих персональных данных.
Нынешний закон, методология его исполнения предусматривают достаточно серьезные затраты. Даже для банков, которые, кстати, еще до принятия Закона “О персональных данных” осуществляли защиту конфиденциальной информации о своих клиентах в соответствии с имеющимися на тот момент законодательными актами.
Понятно, что работу по созданию информационных систем, позволяющих обеспечить сохранность персональных данных, очень тяжело вести бюджетным организациям. Но решать проблему все равно придется.
Нужно понять одну принципиальную вещь: защитить информацию проще, когда она локальна. На мой взгляд, оператор, обрабатывающий персональные данные, не должен собирать избыточную информацию. Простой пример. Я посетил один из магазинов в Москве. Мне предложили заполнить карту – фамилия, имя, отчество, место жительства, мобильный телефон и в том числе место работы. Я сказал: извините, я не буду писать место работы – зачем? Год рождения, дата рождения. Зачем? Отвечают: поздравить вас с Новым годом, днем рождения. Возникает вопрос: кто нужен магазину – лояльный покупатель или персональные данные гражданина?..
Зачастую идет сбор информации о гражданине, количество которой превышает необходимую для того или иного оператора персональных данных. Поэтому должны быть приняты отраслевые нормативы, которые ограничивают сбор информации.
На волне рейдерской активности и последующего вмешательства государства в решение вопроса с недружественными поглощениями, появился журнал Экономические преступления. Название говорит само за себя. Одна из основных фишек издания – контент о коррупционных законах. Закон «О персональных данных» можно смело отнести к их числу.
Редакция журнала «Экономические преступления» обратилась ко мне с просьбой написать для них статью по проблеме персональные данных. Учитывая формат журнала, упор был сделан на коррупционную составляющую закона и подзаконных актов. В результате получилась статья “Подводные камни” закона о персональных данных: как не стать нарушителем.
Сразу скажу, что статью я писал еще в конце октября (до парламентских слушаний, поправок и т.п.) и специально под читательскую аудиторию издания.
По правилам журнала все статьи номера будут выложены в свободный доступ через месяц.
Под названием «Частотный ревизор» Российская газета опубликовала 
На волне рейдерской активности и последующего вмешательства государства в решение вопроса с недружественными поглощениями, появился журнал Экономические преступления. Название говорит само за себя. Одна из основных фишек издания – контент о коррупционных законах. Закон «О персональных данных» можно смело отнести к их числу.
Последние комментарии