Дополнительная причина повременить с уведомлением об обработке персональных данных

Проверка персональных данныхПо закону до начала обработки персональных данных необходимо уведомить Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о начале обработки через подачу уведомления. Но практика показывает, что Роскомнадзор желает воспользоваться своим правом «по проверке сведений содержащихся в уведомлении» сразу, и через 1-2 недели высылает уведомление о плановой проверке. Замечу, что к уведомлению о проверке, прикладывается список документов, которые необходимо предоставить при проверке. Помимо всего прочего указана необходимость предоставления Модели угроз информационной безопасности.


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

Вопрос следующий:

А как ее составить без документов ФСТЭК?

Документы носят гриф ДСП, и ждать их после запроса в Воронеж в ГНИИ ПТЗИ нужно не менее 2-3 мес. Вот и получается «палка о двух концах». С одной стороны, не подав уведомление, вы нарушаете ст.19.7 – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. С другой стороны, подавая уведомление, вы натыкаетесь на полноценную проверку в целях проверки сведений, содержащихся в уведомлении (ст.23 ФЗ №152).

Проверка персональных данных

Также непонятно, как Роскомнадзор будет оценивать предоставляемую модель угроз, учитывая, что это компетенция ФСТЭК?

В заключении хочу сказать, что мы все заинтересованы в адекватной нормативной базе и различных методиках, и учитывая что, такого рода противоречия встречаются очень часто, считаю просто необходимым создание координационных групп из представителей регуляторов или комиссий заинтересованных сторон, которые будут помогать создавать грамотную нормативную базу, качественные методики и т.д.

Рано или поздно мы все равно к этому придем, вопрос лишь в том, сколько ошибок на этом пути мы успеем совершить?.

Что-то опять все смешалось: «Модель угроз составляется с помощью документов ФСТЭК, поэтому не надо уведомлять РКН об обработке».
РКН действительно не надо уведомлять, пока не припрет, т.к. порицание за неуведомление самое меньшее из возможных зол.
Модель угроз упоминается в Приказе трех, поэтому РКН ее и вписало (ибо даже атипичная система должна быть классифицирована), но на ее отсутсвие не реагирует вообще.

[Ответить]

  • «Роскомнадзор желает воспользоваться своим правом «по проверке сведений содержащихся в уведомлении» сразу, и через 1-2 недели высылает уведомление о плановой проверке»

    Не согласен полностью!!! Операторы проверяются на основании плана утвержденного Главой РКН на год. И подача уведомления никак не зависит от включения в план. Другое дело если РКН придет, а оператор не подал уведомления то 19.7 КоАП РФ применяется моментально, примеров на сайте РКН больше чем надо.

    [Ответить]

  • SAYS: Теория, в этой части, расходится с практикой 😉 . Говорю по примеру нескольких ситуаций.

    [Ответить]

  • То ли РКН нарушает закон, то ли Вы, Евгений, не разобрались в ситуации…

    Есть четкое постановление — привести ИСПДн операторов в соответствие требованиям регуляторов. Если ИСПДн не приведена в соответствие и время на это еще есть, то, прошу прощения, ЧТО ИМЕННО проверяет РКН? Вообще впервые за год плотной практики на проектах ПДн слышу о том, что кто-то кому-то в течение 2 недель грозит проверкой — НИ РАЗУ такого не было, хотя народ нарегистрировался по самое небалуй. Конечно, если оператор одновременно заявляет, что его ИСПДн УЖЕ СООТВЕТСТВУЕТ требованиям регуляторов, то, вне всякого сомнения, проверка с огребанием пилюлей вполне оправдана. Но если оператор только ЗАЯВИЛ о себе как об ОПЕРАТОРЕ, то никто его до 1 января 2010 года трогать не будет. Проверено 😉

    Вышесказанное Вы, Евгений, косвенно подтверждаете сами. Общеизвестно, что модель угроз разрабатывается на этапе предпроектного обследования ИСПДн для последующего проектирования и внедрения ее системы защиты. И тут уже вопрос не в том, как ее разрабатывать — есть много контор, у кого документы ФСТЭК УЖЕ есть и им можно заказать проектирование и внедрение СЗИ. Вопрос в том, что РКН и ФСТЭК не могут проверять того, чего еще НЕТ — т.е. СЗИ ИСПДн! Которую, между прочим, надо еще аттестовать 😉 А только потом проверять! И это вовсе, кстати, не теория 😉

    Поэтому огребание пилюлей и проверок, по-видимому, связано с тем, что ребята поспешили заявить о соответствии своих ИСПДн требованиям регуляторов. А иначе бред получается.

    [Ответить]

  • Влад: Если позволите, пойдем по порядку:
    1) «НИ РАЗУ такого не было» — зачем спорить? у меня на столе лежит уведомление о «плановом мероприятии по контролю за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных», датировано февралем текущего года, при этом уведомление в РКН подавалось в январе. И это не единственных случай, о котором получал информацию, хотя по другим фактам документов не видел.
    2) «если оператор одновременно заявляет, что его ИСПДн УЖЕ СООТВЕТСТВУЕТ требованиям регуляторов» — если не секрет, где такое заявляется?
    3) «если оператор только ЗАЯВИЛ о себе как об ОПЕРАТОРЕ, то никто его до 1 января 2010 года трогать не будет» — десятки случаев уже были и 1 января — это не ориентир, не смотрят на него, и не должны смотреть.
    4) «РКН и ФСТЭК не могут проверять того, чего еще НЕТ — т.е. СЗИ ИСПДн» — РКН не проверяет СЗИ.
    5) «надо еще аттестовать» здесь тоже подмигну 😉 , т.к. мне не известны аттестации по «полной программе», т.е. как полагается (и не дай Бог 😉 ).
    6) «ребята поспешили заявить о соответствии своих ИСПДн требованиям регуляторов» — см. п.2

    P.S. Коллеги, область персональных данных, лично мне интересна еще и потому, что «тут нет экспертов», и видимо еще долго не будет. Те, кто заявляют что знают все и во всем разбираются, мягко говоря, лицемерят. Суть, в том числе и этого ресурса, заключается в обмене мнениями и информацией. Если внимательно почитать блог, то можно найти достаточно много ссылок на других людей, которые что-то узнали, услышали или увидели какой-нибудь документ.
    За время формирования этой области (в том числе и правовой части), очень многие эксперты «обожглись», делая прогнозы, которые потом не сбывались (вспомните хотя бы про документы ФСТЭК).
    Поэтому я благодарен Влад’у и другим пользователям, за высказывание личного мнения. Кто знает, кто окажется прав 😉 ?

    [Ответить]

  • «Помимо всего прочего указана необходимость предоставления Модели угроз информационной безопасности.
    Вопрос следующий:
    А как ее составить без документов ФСТЭК?
    Документы носят гриф ДСП, и ждать их…»

    Всем доброго дня!
    Скажу Вам больше… даже имея на руках эти документы, составить Модель угроз не так уж и просто. Вместо того, чтобы учить всех «как делать», можно было привести просто пару-тройку примеров как выглядит эта самая загадочная Модель… пускай на некой абстрактной ИСПД… что в 100 раз проще и понятней.
    ИМХО, цель другая — максимально усложнить процесс, чтобы выжать побольше денег с операторов. Повторяю… это — всего лишь ИМХО!
    С уважением, Евгений

    [Ответить]

  • В моей деятельно пригодится, спасибо за статью!

    [Ответить]

  • Расширил наконец-таки кругозор об обработки персональных данных.

    [Ответить]

  • [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *