Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

Состоялась 2-я Международная конференция «Защита персональных данных»

  27 октября 2011 Страница персоны

Сегодня открылась, состоялась и закрылась 2-я Международная конференция «Защита персональных данных». Полный рабочий день. Один зал, один поток.

16 стран-участниц. Более 250 заявившихся участников (начинали, похоже, чуть меньше, но примерно так). 22 выступления (из них 4 – от зарубежных стран, Украина, Польша, Эстония, Германия). Часовой «круглый стол» вопросов и ответов с участием представителей всех трех регуляторов на весьма высоком уровне (ВРИО и зам. начальника управления Роскомнадзора, начальники управлений ФСБ и ФСТЭК).

Порадовало: почти без пафоса (несколько приветствий из рабочего графика не вывели, и даже в них была информация), без отчетов о проделанной работе, расшаркивания делегаций. Интересная информация в выступлениях представителей госорганов. Особо порадовало: блестящее выступление Каи Пуссеп, заместителя генерального директора Инспекции по защите данных Республики Эстония. О нем подробнее – в конце.

Огорчило. Выступления спонсоров. Без изюминок, правда, почти без рекламы. Отсутствие выступлений не-госов, не-объединений и не-спонсоров, за исключением двух от ИГП РАН. Иллария Лаврентьевна говорила, как всегда интересно, но слабо верится, что ее услышат законодатели, к которым это обращалось. «Научный» доклад от того же ИГП про персданные и СОРМ навел жуткую тоску. Два выступления от представителей объединений операторов (Всероссийский союз страховщиков и Российская ассоциация маркетинговых услуг) были похожи на импровизации неофитов, узнавших про что-то новое и интересное. Особо огорчило: неспособность Роскомнадзора разъяснить не только положения закона, но и свою позицию.

Самое интересное.

Замминистра связи И.И.Массух сказал про две главные проблемы: (1) ослабление давления на операторов класса «школа-больница», необходимость защиты информации и у них, поиска баланса; (2) необходимость решения до конца года(!) проблемы обработки персональных данных с использованием облачных технологий. Здорово. Не будем запрещать, будем искать пути решения. Очень хочется надеяться, что так и будет.

Замначальника управления Минкомсвязи А.П.Гермогенов. Про сложности доработки закона, межведомственную группу с представителями 80 организаций и обсуждением 400 предложений. Проанализировал (системно, с анализом интересов оператора и субъекта) изменения закона. Похоже, Россия убедила Евросоюз в независимости Роскомнадзора и ратификационные грамоты у нас примут. Рассказал про перспективы. Будет четыре постановления Правительства: (1) про перечень мер для госов и муниципалов, (2) про уровни защищенности в зависимости от угроз, (3) про требования к защите, обеспечивающие заданные уровни защищенности и (4) про порядок согласования с ФСБ и ФСТЭК предложений объединений операторов по дополнительным угрозам.

ФСБ и ФСТЭК определят состав и содержание защитных мер, а Роскомнадзор – перечень адекватных стран.

Также сказал про облачные сервисы и необходимость регулирования отношений при их предоставлении (кто оператор, как соотносится ответственность поставщика и потребителя облачных услуг, кто несет ответственность за неправомерную обработку персданных, в том числе – за передачу их за рубеж).

Подчеркнул важность исследований по рискам и разработки механизмов оценки ущерба при инцидентах с персданными.

Сказал про необходимость международного сотрудничества по предотвращению распространения незаконно полученных персданых (про пресечение всяких там RusLeaks и  Zhiltsy, мигрирующих из ru в com, net и далее много и правильно говорил и Р.В.Шередин), про критерии оценки защищенности за рубежом при трансграничной передаче.

Начальник Управления ФСБ О.А.Залунин подчеркнул, что ФСБ будет проверять только госы до делегирования полномочий Правительством. Все новые документы должны появиться к середине 2012 года. Главный принцип их разработки – максимальная преемственность по отношению к существующим (ПП-781 и П-58, в частности). Все, что сделано операторами, надо сохранить. До выхода новых действуют все ранее принятые НПА (ПП-781, П-78, два документа ФСБ).

Три главных недостатка, выявляемых при проверках ФСБ:

1.  Несоответствие используемых классов СКЗИ определенным в модели нарушителя (в сторону снижения, естественно).

2. Истечение сроков действия сертификатов ФСБ.

3.       Отличие используемых версий СКЗИ от тех, которые проходили сертификацию.

Особо остановился на низкой квалификации персонала из-за высокой текучести кадров (видимо, в госах).

В целом, по мнению ФСБ, ситуация с использованием СКЗИ стала лучше, а через год будет совсем хорошей.

Интересные особенности украинского законодательства про ПДн отметил В.Ф.Козак, замглавы Госслужбы по вопросам защиты ПДн Украины, но нам это как-то фиолетово, поэтому опущу. Может быть, как-нибудь позже.

А.П.Курило из ГУБЗИ Банка России, как всегда, системно, разобрал ситуацию по косточкам. Отметил мировой тренд – операторы все делают по защите сознательно и сами, а главное в обеспечении безопасности – правильная организация аудита. В России все отраслевые требования и методики контроля должны удовлетворять регуляторов. Похоже, меняется позиция ЦБ относительно лицензий по ТЗКИ, аттестации и сертификации. Появился новый подход: движение в сторону комфортных требований. Про СТО БР – мнение регуляторов запрошено, ЦБ ждет ответов, пока все, о чем договаривались раньше (письмо шестерых) в силе.

Интересно. Будем наблюдать за развитием событий.

Борис Рейбах, адвокат из Германии, назвал Россию неадекватной и обидел Роскомнадзор. Потом быстро стушевался и ответил «Абсолютно!» на филиппику Ю.С.Забудько.

Из спонсоров. Самый интересный доклад был у С.В.Вихорева из ЭЛВИС-Плюс про аутсорсинг обработки, но в конце Сергей Викторович озадачил фантастическим выводом об отсутствии необходимости согласия субъекта на передачу. Комментируя его выступление, Ю.С.Забудько сделала не менее интересное заявление о том, что обработчиков в ФЗ-152 нет, все, кто обрабатывает – операторы. Обсуждать этот тезис отказалась резко и категорично, подчеркнув, что не будет обсуждать его и на круглом столе. Остался в полном недоумении.

На круглом столе было грустно. Вопросы, практически все, вызывали у представителей Роскомнадзора затруднения, точка зрения по мере поступления допворосов из зала менялась на противоположную. Спросил про согласие субъекта на доступ к ПДн юрлица, назначенного ответственным за организацию обаработки, про статус персданных ответственного физлица при размещении их в общедоступном Реестре, про исключительно автоматизированную обработку персданных в ЖКХ (Мосэнергосбыт, Мосгортепло, Мосводоканал) не только без письменного согласия, но и без договора с субъектом-жильцом. Ответы не привожу. Бесполезно. Попытка уточнить встретила жесткий отпор: «Все, закончили». Как-то стало не по себе. Вроде не на ковер ходил, а на оплаченное мероприятие. За ответами.

В заключении – о хорошем. Об отличном. Позавидовал белой завистью жителям Эстонии, имеющим такого регулятора и уполномоченного. Кая Пуссеп: «Мы работаем с горящими глазами, и вдруг узнаем, что о нас знает всего 18% жителей страны. Позор. Нам было очень стыдно, мы пали духом и решили радикально поменять подход. В офисе инспекции запретили использовать термин «субъект». Это же люди, наши граждане! Они должны нам верить, идти к нам. Теперь мы не возбуждаем дела по жалобам. Мы защищаем конституционные права граждан. Нас мало, а дел много. Надо сосредоточиться и вмешиваться только там, где риски инцидентов выше. Оценка – по британской модели: тяжесть нарушения, уязвимость потерпевшего, степень и продолжительность вмешательства. В системе мер воздействия – наказания на последнем, пятом месте. Выше них: (1) разъяснение и информирование, (2) формирование правовых обычаев, (3) политические консультации [операторов], (4) досудебное разбирательство (омбудсмен). Публикация информации о долгах, в том числе – в подъездах домов о не внесших квартплату. При максимальном наказании 32 тысячи Евро за 2010 г. выписано два (!) штрафа. Остальное – профилактика. Между прочим, Билл Гейтс и его Excel Эстонии для персданных не годятся, т.к. нельзя сказать, кто, когда и как их обрабатывал. А для персданных нужны специальные решения. С логированием. Главное – добиться изменения отношения граждан и операторов к Инспекции (не враг, а компетентный помощник в решении проблем)».

Я слушал, конспектировал и млел. Давненько я не получал такого удовольствия от выступления про персданные. Разительный пример того, как ратификация одной и той же конвенции в разных странах может привести к радикально разным законам и практике их правоприменения.

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.