Начнем с верхов: единственная возможность не исполнять требования РД – суд, в рамках которого вами должно быть доказано, что юридической силы документ не имеет, вследствие чего, требования по его исполнению неправомерны. Получить решение суда и показывать бумажку случайно забредшим сотрудникам ФСТЭК. До этого момента все наше желание отказаться от исполнения остается всего лишь желанием (штрафовать и проверять нас будут с особым размахом, причем не только ФСТЭК). Есть ли прецеденты таких судов? Если кто-то в курсе сообщите. А если таких процессов не было, сомневаюсь, что у заявителя будет шанс.
Как бы мне хотелось сказать своим клиентам: «Плюньте вы на эти РД. Давайте мы вам сделаем НОРМАЛЬНУЮ систему защиты персональных данных!». Ан нет, мы еще с головой дружим, ведь ФСТЭК далеко не единственный регулятор которому с 1 января 2010 года все станут «должны». Тут тебе и Роскомнадзор, и ФСБ (не говоря про УБЭП, СВР, которым очень нравится ФЗ №152).
Коллеги, давайте посмотрим на вещи критично – документы есть и их нужно соблюдать. Не нужно соблюдать все требования подряд – это практически нереально, а вот «принцип разумной достаточности» никто не отменял.
Взглянув на практику работы регуляторов это далеко не единственный случай формального несоблюдения процедур. Кто занимался защитой конфиденциалки раньше, должен знать, что такой документ как СТР-К также не проходил согласование в Минюсте, при этом никому даже в голову не приходило отказаться от соблюдения его требований.
Поэтому, коллеги, давайте будем дружить с нашими регуляторами, тем более что у них теперь есть ВСЕ инструменты уничтожать бизнес и нас с вами.
Коллега, а вы читали постановление о самом ведомстве ФСТЭК и осознаете, какая направление деятельности ведет данное ведомство, а также какими силами оно обладает в целях регулирования всего правового поля по защите информации?
ОтветитьУдалитьИ если читали, то в таком случае, как вы думаете, должен ли весь бизнес в России выполнять требования по защите информации, которые исторически формировались для противодействия иностранным разведкам и защите государственной тайны?
Я понимаю, что данный комментарий не конструктивен, а по большей части эмоционален.
Но как вы думаете, что нужно в первую очередь сделать, чтобы 1. область действительно была правильно зарегулирована, 2. клиенты действительно стали дружить с законами, а не избегали бы их??
Системный подход говорит что нужно начинать с основ, а основами, в данном случае, являются определения: персональные данные, оператор ПДн и т.д, это первое. Второе, должны быть в корне переработаны РД ФСТЭК и ФСБ, в частности на предмет снятия жестких требований к аттестации и технической защите. (Вы правы, ФСТЭК никогда не уйдет от жестких требований в части утечки по техническим каналам, эта практика ими отрабатывалась десятилетиями). Третье, уполномоченный орган по защите прав субъектов ПДн должен выйти из структуры исполнительной власти. (Одним словом должны быть созданы условия для внедрения эффективных систем защиты ПДн)
ОтветитьУдалитьВ принципе список можно продолжать, но даже таких действий будет достаточно для для снятия напряженности и ведения нормальной и конструктивной работы.
Я согласен с такими основными мероприятиями.
ОтветитьУдалитьА как Вы думаете, каким образом все можно сдвинуть с мертвой точки? Т.е. каким образом потенциальная законодательная инициатива может быть доведена до соответствующих поправок в законопроекте?
Кстати, не совсем понял про выведение органа по защите прав субъектов ПДн из исполнительной власти. Нужно его в какую-ту другую иерархию власти перевести? Или принципиально вывести в некоммерческую независимую организацию?
И еще, кстати, теоретически у нас еще есть гост 15408. Не кажется ли вам, что его развитие могло бы значительно снять напряженность в части защиты конфиденциальной информации. В частности в негосударственном секторе?
Что касается таких регуляторов как ФСТЭК и ФСБ, то максимум что можно добиться, это снятие столь тяжелых требований РД (кстати говоря, многие оправдано ругают регуляторов за закрытые документы, но от того они и закрыты, что это не последняя редакция). К сожалению, по той информации, которая есть, новая редакция не будет революционно облегчена, и это плохо. РКН почувствовал запах власти, которой никогда не обладал, и активно лоббирует расширение своих полномочий. Лично я не против сильного регулятора в области защиты прав субъектов ПДн, но даже в Европе, где злоупотребления большая редкость, уполномоченный орган редко входит в структуру исполнительной власти, для этого существуют общественные организации и саморегулируемые организации, в нашем случае это мог бы быть МОПО "Гражданский контроль" (например). Что касается ГОСТа, то знаю о нем на уровне общего представления, скажу только одно, мне категорически нравятся документы, на которые сильно повлияли западные стандарты, и очень не нравится, когда наши регуляторы начинают "изобретать велосипед".
ОтветитьУдалитьСуть то в том, что ФСТЭК и ФСБ - это криптография, конфиденциальная информация (причем в контексте государства) и государственная тайна. А вот банковская тайна, коммерческая тайна, персональные данные - это немного другое. ФСТЭК и ФСБ физически не смогут ничего сделать для регулирования перечисленных областей, принципиально отличающиеся от "защиты от НСД" и "защите от утечек по техническим каналам". Поэтому, как мне кажется оптимально было бы идти в развитие именно 15408. И, возможно, создания новой системы аттестации/сертификации.
ОтветитьУдалитьЧто касается РКН, так на них тоже есть законы и регламенты. Есть такой закон - ФЗ-294 2008 года, он направлен на защиту юрлиц именно в части проверок от исполнительной власти. А то, что кто-то не выполняет элементарные организационные меры по соблюдению ФЗ-152 - это, как мне кажется, его личная проблема. Интересней будет, когда пойдет проверка технических регламентов.
И все же, повторяю свой вопрос. Вы видите какой-либо способ изменения сложившейся ситуация?
Поправлю "ФСТЭК и ФСБ - это криптография", криптография исключительно в рамках полномочий ФСБ, а "утечки по техническим каналам" и "защита от НСД" в рамках компетенции ФСТЭК.
ОтветитьУдалитьЧто касается выхода из сложившейся ситуации, то смотря из чего выходить. Убрать ФСБ и ФСТЭК - не реально, а снизить требования - вполне может быть.
хорошо. какие именно требования и как их можно снизить?
ОтветитьУдалитьКак можно говорить за регулятора? Адресуйте вопрос всем. Тут оставляют сообщения представители и ФСБ и ФСТЭК. С моей точки зрения нужно вообще начинать разработку документов с нуля.
ОтветитьУдалитьочень жаль, Евгений, что у вас нет своего мнения по этому поводу
ОтветитьУдалитьКак интересно получилось. Только сказал что нужно разрабатывать с нуля, как появилась информация о разработке стандартов РКН. Совпадение.
ОтветитьУдалитьЧто касается моего мнения по предсказанию действий регуляторов, то могу представить около десятка вариантов, уверен что их намного больше, каким путем они пойдут...