Информационная безопасность по-русски

Пропустил я как-то новость о том, что Роскомнадзор стал проводить аттестацию граждан и организаций в качестве экспертов и для участия в проверках Роскомнадзора по теме персональных данных.

Что ж решение очень верное, как говорится: «Давно пора…»

Однако есть у этого мероприятия нюансы. В частности, что «участие экспертов и экспертных организаций в проводимых контрольно-надзорных мероприятиях будет осуществляться на БЕЗВОЗМЕЗДНОЙ ОСНОВЕ».

Понятно, что “неоплачиваемость” работы отобьет желание некоторых экспертов При этом, возможность поучаствовать «в теме» не упустят интеграторы. Интересно им это по нескольким причинам. Во-первых, банальный PR. Во-вторых, лишний шанс «подружиться» с регулятором. В-третьих, есть возможность набраться опыта в проведении реальных проверок. В сумме получается немалая помощь интеграторскому бизнесу.

Ну, это все в теории. А как же практика? А практика очень проста. Спустя 3 дня после новости на сайте регулятора о начале аттестации граждан и организаций, выходит пресс-релиз о том, что компания Кабест (Астерос) получила свидетельство об аккредитации Роскомнадзора, так же как и 10 ее сотрудников. В реестре аккредитованных граждан указано, что аккредитованы все 10 человек еще 3 недели назад, а именно 24 января 2012 г. Интересно? А еще интересно, что аккредитацию получил почти весь ТОР-менеджмент Кабеста . Но тут не нужно ерничать, все понятно, для бизнеса дружба с регуляторами полезна. Поэтому Кабест можно только поздравить с таким эксклюзивом! Молодцы!

А вот что касается Роскомнадзора, то тут не все так просто. Некоторые могут усмотреть, по меньшей мере, необъективность регулятора. Очень уж странная выборка получается. Также глубоко абсурдным выглядит факт, что Роскомнадзор реально верит, что ТОП-менеджеры крупного российского интегратора будут ездить по проверкам Индивидуальных предпринимателей или ООО из 2 человек, будут задавать им вопросы, писать экспертные заключения и т.п. Ну, смешно, коллеги, ей Богу…

И от этого становится интересно, как будет вести себя Роскомнадзор в дальнейшем? Кого будут регистрировать? Как быстро? Насколько «случайно» будет работать выборка экспертов и экспертных организаций? Будет ли вообще работать институт экспертов и экспертных организаций или останется лишь инструментом пиара? В общем вопросов много…

Кому интересно заявиться в Роскомнадзор в качестве эксперта вот документы к изучению:

• Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю
• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 8 апреля 2011 г. N 239 г. Москва “Об утверждении форм заявлений о продлении срока действия и о переоформлении свидетельств об аккредитации граждан и организаций, привлекаемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в качестве экспертов, экспертных организаций к проведению мероприятий по контролю при осуществлении проверок юридических лиц и индивидуальных предпринимателей”

Другие записи

• Парламентские слушания в Государственной думе по персональным данным
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Принципы защиты персональных данных на предприятии и подводные камни привлечения интегратора. Слайдкаст
• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Конференция IDC в Екатеринбурге

Автор: Царев Евгений | Метки: закон о персональных данных, Законодательство, защита персональных данных, Интеграторы, Информационная безопасность, Кабест, Коллеги, Новость, Проверки, Роскомнадзор, Требования

Как часто бывает, законодатель в попытках решить одну проблему, решает сразу несколько старых проблем и создает ряд новых. Примером может служить (с трудом обнаруженный) законопроект, усиливающий ответственность за мошеннические действия с персональными данными.

Законопроект № 12389-6 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» предлагает дополнить КоАП статьей:

Статья 13.111. Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных

Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных уполномоченным лицом, заключающим от имени оператора персональных данных договор, в случае если законодательством Российской Федерации предусмотрено предоставление такой информации о гражданах (персональных данных), –

влечет наложение административного штрафа на граждан в размере от двух тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысячи до пятидесяти тысяч рублей; на юридических лиц – от десяти тысяч до трехсот тысяч рублей.

В пояснительной записке необходимость данной статьи обосновывается борьбой со злоупотреблениями коммерческих представителей, оказывающих посреднические услуги в заключении договоров оказания услуг подвижной связи. Другими словами статья призвана бороться с агентами операторов связи, которые заключают договора с указанием липовых данных абонента.

В целом идея правильная, однако, действие данной статьи распространяется на всех уполномоченных лиц операторов персональных данных (не только операторов связи). Область действия настоящей статьи выходит за рамки, обозначенные в пояснительной записке.

Помните ситуацию агентами Негосударственных пенсионных фондов? Сейчас мошеннические действия агентов НПФ можно квалифицировать только по уголовным статьям. В случае принятия данного законопроекта наказание для нерадивых агентов можно будет диверсифицировать, привлекать их по 13.111 КоАП. Что в целом верно, т.к. сейчас большинство агентов-мошенников избегают уголовной ответственности и порочная практика продолжается. Да и уголовная ответственность за эти действия некоторыми воспринимается как излишне жесткое наказание.

Вот и получается, что данный законопроект помогает решить массу старых законодательных проблем и, по ходу дела, может создать новые, т.к. вопрос влияния этого законопроекта на других уполномоченных лиц (не из области телекома) профильным комитетом не прорабатывался.

Другие записи

• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Загадочный Паспорт здоровья или двойные стандарты в защите персональных данных
• Конференция IDC в Екатеринбурге
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных

Автор: Царев Евгений | Метки: безопасность персональных данных, Законодательство, защита персональных данных, Злоупотребления, Информационная безопасность, КоАП, Коллеги, Новость, обработка персональных данных, поправки в закон, Проверки, система персональных данных, УК

В среду Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных. Реформы готовились давно и вот о них объявили открыто. Суть изменений в первую очередь сводится к созданию единых правил по защите персональных данных во всей Европе. Однако помимо очевидных преимуществ интеграции, реформы несут в себе серьезные эволюционные изменения в плане регулировании этой темы.

К слову, интересен подход европейцев к решению этой задачи. В частности они сделали ряд разъясняющих и промороликов реформы. Все их можно посмотреть на официальном канале в Youtube. Вот один из роликов:

Вот ключевые тезисы по реформе:

• Создаются единые правила по защите персональных данных, действительные во всем ЕС. Исключаются излишние административные требования, такие как отправка компаниями уведомлений об обработке персональных данных в контролирующие органы. По расчетам Брюсселя это позволит сэкономить предприятиям примерно 2,3 млрд. евро в год.
• Вводятся общие принципы и правила по защите персональных данных в целях межгосударственного сотрудничества в т.ч. и по уголовным делам.
• Компании должны уведомлять национальный контролирующий орган об инцидентах с данными в кротчайшие сроки (если это возможно, то в течение 24 часов).
• Организации будет иметь дело только с одним национальным контролирующим органом по защите персональных данных. Кроме того, граждане могут обратиться в орган по защите персональных данных в стране своего пребывания, даже если их данные обрабатывает компания, базирующаяся за пределами ЕС или в других странах ЕС.
• «Право на переносимость персональных данных». По новому законодательству граждане должны получить упрощенную процедуру передавать свои персональные данные от одного поставщика услуг к другому. Это повысит конкуренцию среди поставщиков услуг.
• «Право быть забытым». По новому законодательству граждане должны получить упрощенную процедуру уничтожения своих персональных данных, если нет законных оснований для их сохранения.
• Новые правила ЕС должны приниматься также и нерезидентами ЕС, если они активно работают на рынке ЕС и предоставляют свои услуги гражданам ЕС.
• Национальные контролирующие органы по защите персональных данных получат дополнительные полномочия и ресурсы. Они будут иметь право применять меры взыскания к компаниям, которые нарушают правила ЕС по защите персональных данных. В частности смогут взыскивать штрафы в размере до 1 милл. евро или до 2% от общемирового годового оборота компании.

Комментировать и сравнивать европейский подход с нашим даже не хочу.

Другие записи

• Роскомнадзор набирает экспертов по персональным данным, но пока нашел только Кабест
• Тезисы с челябинской конференции
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Парламентские слушания в Государственной думе по персональным данным
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Статья в журнале «Банковские Технологии»

Автор: Царев Евгений | Метки: закон о персональных данных, защита персональных данных, Интеграторы, обеспечение безопасности персональных данных, персональные данные, Роскомнадзор