По закону до начала обработки персональных данных необходимо уведомить Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о начале обработки через подачу уведомления. Но практика показывает, что Роскомнадзор желает воспользоваться своим правом «по проверке сведений содержащихся в уведомлении» сразу, и через 1-2 недели высылает уведомление о плановой проверке. Замечу, что к уведомлению о проверке, прикладывается список документов, которые необходимо предоставить при проверке. Помимо всего прочего указана необходимость предоставления Модели угроз информационной безопасности.
Вопрос следующий:
А как ее составить без документов ФСТЭК?
Документы носят гриф ДСП, и ждать их после запроса в Воронеж в ГНИИ ПТЗИ нужно не менее 2-3 мес. Вот и получается «палка о двух концах». С одной стороны, не подав уведомление, вы нарушаете ст.19.7 – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. С другой стороны, подавая уведомление, вы натыкаетесь на полноценную проверку в целях проверки сведений, содержащихся в уведомлении (ст.23 ФЗ №152).
Также непонятно, как Роскомнадзор будет оценивать предоставляемую модель угроз, учитывая, что это компетенция ФСТЭК?
В заключении хочу сказать, что мы все заинтересованы в адекватной нормативной базе и различных методиках, и учитывая что, такого рода противоречия встречаются очень часто, считаю просто необходимым создание координационных групп из представителей регуляторов или комиссий заинтересованных сторон, которые будут помогать создавать грамотную нормативную базу, качественные методики и т.д.
Рано или поздно мы все равно к этому придем, вопрос лишь в том, сколько ошибок на этом пути мы успеем совершить?.
Что-то опять все смешалось: «Модель угроз составляется с помощью документов ФСТЭК, поэтому не надо уведомлять РКН об обработке».
РКН действительно не надо уведомлять, пока не припрет, т.к. порицание за неуведомление самое меньшее из возможных зол.
Модель угроз упоминается в Приказе трех, поэтому РКН ее и вписало (ибо даже атипичная система должна быть классифицирована), но на ее отсутсвие не реагирует вообще.
«Роскомнадзор желает воспользоваться своим правом «по проверке сведений содержащихся в уведомлении» сразу, и через 1-2 недели высылает уведомление о плановой проверке»
Не согласен полностью!!! Операторы проверяются на основании плана утвержденного Главой РКН на год. И подача уведомления никак не зависит от включения в план. Другое дело если РКН придет, а оператор не подал уведомления то 19.7 КоАП РФ применяется моментально, примеров на сайте РКН больше чем надо.
SAYS: Теория, в этой части, расходится с практикой ;-) . Говорю по примеру нескольких ситуаций.
То ли РКН нарушает закон, то ли Вы, Евгений, не разобрались в ситуации…
Есть четкое постановление — привести ИСПДн операторов в соответствие требованиям регуляторов. Если ИСПДн не приведена в соответствие и время на это еще есть, то, прошу прощения, ЧТО ИМЕННО проверяет РКН? Вообще впервые за год плотной практики на проектах ПДн слышу о том, что кто-то кому-то в течение 2 недель грозит проверкой — НИ РАЗУ такого не было, хотя народ нарегистрировался по самое небалуй. Конечно, если оператор одновременно заявляет, что его ИСПДн УЖЕ СООТВЕТСТВУЕТ требованиям регуляторов, то, вне всякого сомнения, проверка с огребанием пилюлей вполне оправдана. Но если оператор только ЗАЯВИЛ о себе как об ОПЕРАТОРЕ, то никто его до 1 января 2010 года трогать не будет. Проверено ;)
Вышесказанное Вы, Евгений, косвенно подтверждаете сами. Общеизвестно, что модель угроз разрабатывается на этапе предпроектного обследования ИСПДн для последующего проектирования и внедрения ее системы защиты. И тут уже вопрос не в том, как ее разрабатывать — есть много контор, у кого документы ФСТЭК УЖЕ есть и им можно заказать проектирование и внедрение СЗИ. Вопрос в том, что РКН и ФСТЭК не могут проверять того, чего еще НЕТ — т.е. СЗИ ИСПДн! Которую, между прочим, надо еще аттестовать ;) А только потом проверять! И это вовсе, кстати, не теория ;)
Поэтому огребание пилюлей и проверок, по-видимому, связано с тем, что ребята поспешили заявить о соответствии своих ИСПДн требованиям регуляторов. А иначе бред получается.
Влад: Если позволите, пойдем по порядку:
1) «НИ РАЗУ такого не было» — зачем спорить? у меня на столе лежит уведомление о «плановом мероприятии по контролю за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных», датировано февралем текущего года, при этом уведомление в РКН подавалось в январе. И это не единственных случай, о котором получал информацию, хотя по другим фактам документов не видел.
2) «если оператор одновременно заявляет, что его ИСПДн УЖЕ СООТВЕТСТВУЕТ требованиям регуляторов» — если не секрет, где такое заявляется?
3) «если оператор только ЗАЯВИЛ о себе как об ОПЕРАТОРЕ, то никто его до 1 января 2010 года трогать не будет» — десятки случаев уже были и 1 января — это не ориентир, не смотрят на него, и не должны смотреть.
4) «РКН и ФСТЭК не могут проверять того, чего еще НЕТ — т.е. СЗИ ИСПДн» — РКН не проверяет СЗИ.
5) «надо еще аттестовать» здесь тоже подмигну ;-) , т.к. мне не известны аттестации по «полной программе», т.е. как полагается (и не дай Бог ;-) ).
6) «ребята поспешили заявить о соответствии своих ИСПДн требованиям регуляторов» — см. п.2
P.S. Коллеги, область персональных данных, лично мне интересна еще и потому, что «тут нет экспертов», и видимо еще долго не будет. Те, кто заявляют что знают все и во всем разбираются, мягко говоря, лицемерят. Суть, в том числе и этого ресурса, заключается в обмене мнениями и информацией. Если внимательно почитать блог, то можно найти достаточно много ссылок на других людей, которые что-то узнали, услышали или увидели какой-нибудь документ.
За время формирования этой области (в том числе и правовой части), очень многие эксперты «обожглись», делая прогнозы, которые потом не сбывались (вспомните хотя бы про документы ФСТЭК).
Поэтому я благодарен Влад’у и другим пользователям, за высказывание личного мнения. Кто знает, кто окажется прав ;-) ?
«Помимо всего прочего указана необходимость предоставления Модели угроз информационной безопасности.
Вопрос следующий:
А как ее составить без документов ФСТЭК?
Документы носят гриф ДСП, и ждать их…»
Всем доброго дня!
Скажу Вам больше… даже имея на руках эти документы, составить Модель угроз не так уж и просто. Вместо того, чтобы учить всех «как делать», можно было привести просто пару-тройку примеров как выглядит эта самая загадочная Модель… пускай на некой абстрактной ИСПД… что в 100 раз проще и понятней.
ИМХО, цель другая — максимально усложнить процесс, чтобы выжать побольше денег с операторов. Повторяю… это — всего лишь ИМХО!
С уважением, Евгений
В моей деятельно пригодится, спасибо за статью!
Расширил наконец-таки кругозор об обработки персональных данных.