Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!
Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.
Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.
На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.
Теперь у кредитно-финансовых учреждений есть выбор:
1) Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).
2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.
На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.
8267 . 2591
Другие записи
Автор: Царев Евгений
| Метки: Банки, закон о персональных данных, Законодательство, защита персональных данных, Инновации, Информационная безопасность, Коллеги, Новость, РД, Роскомнадзор, система персональных данных, СМИ, Требования, ФСТЭК
 Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?
А изменилось очень многое. И, на мой взгляд, в лучшую сторону.
Пойдем по порядку. После отмены двух документов ушел вопрос:
Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.
Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.
Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:
- 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
- 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
- 3) Для защиты персональных данных можно использовать любые средства защиты.
Все три мнения реально присутствуют на рынке.
Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!
Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?
Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».
В заключении.
Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…
Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…
23253 . 7068
Другие записи
Автор: Царев Евгений
| Метки: Privacy, Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, ИСПДн, Коллеги, Консультация, Лицензирование, Новость, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, РД, СЗПД, Требования, угрозы безопасности, ФСТЭК
 Вчера был совершенно замечательный день. Настолько замечательный, что я его даже не заметил  .
Вчера исполнился 1 год моей фактически журналистской деятельности. 16 марта 2009 года был опубликован первый пост в блоге “Персональные данные по-русски”. Кстати, название было придумано за пару секунд, т.к. в livejournal есть обязательное поле “Название журнала”, которое при регистрации нужно было заполнить, вот я и написал первое что пришло в голову. Ради истории опубликую как есть первый пост, благо он был коротким:
Ждем новую четверку документов ФСТЭК к 1 июня
Вопреки всем, кто ожидал выход новой редакции в конце первого или начале второго квартала, новая редакция документов ожидается к лету. Документы станут открытыми, так что готовимся.
Tags: РД, ФСТЭК
Вот так просто и незатейливо все началось. Кстати, ФСТЭК потом тянул со второй редакцией значительно дольше “неофициальнообещанного”.
Кстати, перечитал несколько первых постов, и очень хочется надеяться, что те смутные времена остались позади.
10322 . 3515
Другие записи
Автор: Царев Евгений
| Метки: РД, Требования, ФСТЭК
 На Regions.ru появилась публикация с заголовком «НОВЫЙ ЗАКОН РАЗРЕШАЕТ НЕ ИСПОЛЬЗОВАТЬ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КРИПТОГРАФИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ». На самом деле, это не так, новый законопроект лишь устраняет прямое указание на использование криптосредств. Подзаконные акты остаются в силе, а соответственно указания к использованию криптографической защиты остаются. Если документы ФСТЭК и ФСБ еще можно оспорить, то Постановление правительства №781 – вполне легитимный документ, и в нем есть формулировка практически идентичная устраненной в ФЗ №152.
Так что, без всеобъемлющей доработки нормативной базы по персональным данным, такие точечные поправки, вряд ли принципиально улучшат положение операторов.
9721 . 3092
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, закон о персональных данных, Законодательство, Классификация ИСПДн, Коллеги, Новость, ПП 781, РД, система персональных данных, СМИ
 20 октября прошли Парламентские слушания: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных». Впечатления положительные, вернее ОЧЕНЬ положительные. Более представительного мероприятия еще не было.
Всего было прочитано около 20 докладов, и, за редким исключением, вступления получились очень интересные.
Не буду пытаться делать полноценный обзор, это почти невозможно, отмечу лишь фамилии некоторых выступавших.
В первую очередь, это Гришанков Михаил Игнатьевич (Первый заместитель председателя Комитета государственной Думы по безопасности) слушания проходили под его председательствованием и прошли очень достойно. Также Михаил Игнатьевич сделал сильный доклад в самом начале слушаний, чем задал высокую планку для всех остальных докладчиков. Из принципиального, могу выделить:
- утверждение об очевидной необходимости переноса срока на год (ст.25 п.3 ФЗ №152) при условии, что операторам, наконец, объяснят что и как необходимо делать;
- утверждение о невозможности и необоснованности использования исключительно сертифицированных средств защиты.
Выступал Анатолий Аксаков, видео с его выступлением можно посмотреть здесь. Скажу лишь, что качество доклада было гораздо выше, чем прошлые записи из видеоблога.
Заместитель руководителя Роскомнадзора Шередин Роман Валерьевич сделал обычный доклад о работе службы, который только мне приходилось слышать раза три. Однако, были интересные заявления:
Очень заинтересовало выступление статс-секретаря, заместителя Министра юстиции РФ Костенникова Дмитрия Вячеславовича, в котором я услышал подтверждение своей принципиальной позиции об отсутствии необходимости в создании стандартов защиты ПДн на уровне противодействия техническим разведкам, вместо этого необходимо создавать условия для возмещения возможного ущерба от утечек. Учитывая такую позицию, стоит задуматься о перспективах “проведения” документов ФСТЭК через Минюст.
Аристов Сергей Александрович, статс-секретарь, заместитель Министра транспорта РФ сделал качественный доклад о массе сложностей выполнения закона о персональных данных в области пассажирских перевозок.
Емелин Андрей Викторович, Исполнительный вице-президент по правовым вопросам Ассоциации российских банков напомнил о необходимости проведения комплексных проверок со стороны регуляторов. Дело в том, что любому оператору, особенно крупному с большой филиальной сетью очень сложно принимать проверочные комиссии каждого регулятора в отдельности. Например, в случае крупного банка, с проверкой может приходить Роскомнадзор, ФСТЭК, ФСБ, Прокуратура, выдавать свои предписания, затем проверять эти предписания… и так для каждого филиала!
Курило Андрей Петрович, Заместитель ГУБЗИ Банка России, помимо всего прочего указал на существующие международные стандарты в области защиты персональных данных, которые исключают необходимость написания иных стандартов. Очень популярно и доходчиво. По окончанию бурные аплодисменты (даже не понимаю, как после такого выступления люди выходили со своими докладами).
Почти все участники, кроме регуляторов, отметили невозможность проведения работ до 1 января 2010 года, следовательно, срок нужно увеличивать. Причем сам по себе перенос сроков ничего не даст, необходимо внести дополнительные поправки в закон и принципиально решить вопрос с сомнительными документами регуляторов (особенно РД ФСТЭК). К слову, представители ФСТЭК с докладом не выступали (No Comments).
В заключении Михаил Игнатьевич от имени всех участников поблагодарил главного организатора Волчинскую Елену Константиновну, благодаря которой состоялись слушания.
Уверен, что последствия такого мероприятия не заставят себя долго ждать.
13860 . 4559
Другие записи
Автор: Царев Евгений
| Метки: Банки, безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, Интеграторы, ИСПДн, Коллеги, Консультация, Новость, обработка персональных данных, Права граждан, Проверки, РД, Роскомнадзор, Семинар, СМИ, трансграничная передача, Требования
|
|
|
Последние комментарии