Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

IX международная конференция Роскомнадзора: самое интересное. Часть 2

  20 ноября 2018 Страница персоны

 Как обещал, продолжение про IX международную конференцию Роскомнадзора. Часть 1 здесь.

В заключение по традиции проходил круглый стол «Свободный микрофон с регуляторами» - мероприятие, на котором предоставляется редкая возможность задать вопрос представителям всех надзорных органов. К представителям Роскомнадзора (Ю. Контемиров), ФСБ России (А. Бодров), ФСТЭК России (Е. Торбенко) присоединился А. Сычев из Центробанка.

К сожалению, на Круглый стол не пришли представители Минкомсвязи России, а министерство все-таки, как указано в Положении о нем, – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Вопросов к уполномоченному органу было много, особенно в связи с реализацией программы «Цифровая экономика» и многочисленными законодательными инициативами в области персональных и больших пользовательских данных. Ответы на них получить не удалось.

По приглашению Роскомнадзора модерировал круглый стол я и заранее готовил и собирал вопросы для регуляторов, но получил их немного. Вопросов, в том числе из зала, было много, традиционно больше всего – к Роскомнадзору, но и остальные участники вниманием не были обделены.

Как и обещал, пишу, на мой взгляд, о наиболее интересном или на что стоит обратить внимание. Курсивом – мои комментарии к некоторым ответам.

Ю. Контемиров (Роскомнадзор). 

Роскомнадзор надзирает за законодательством о персональных данных в целом, включая нормы других законов, таких, например, как глава 14 Трудового кодекса.

За этот год всеми территориальными управления Роскомнадзора составлено 98 протоколов по административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ в новой редакции. Для сравнения – по статье19.7 (неуведомление об обработке или неполучение ответа на запрос) протоколов составляется 7 тысяч и более в год.

Законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку персональных данных, в том числе неавтоматизированную в полном объеме (мною был приведен пример с вывешиванием списков должников за услуги ЖКХ в подъезде, написанным от руки; этот случай тоже подпадает, поскольку есть алгоритм выявления неплательщиков из общего списка должников).

Дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Это первое, на мой взгляд, публичное заявление надзорного органа по этому вопросу. Я писал об этом еще два с половиной года назад и высказывал именно эту позицию.

Подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной законом 63-ФЗ, а не только усиленной квалифицированной, как недавно настаивало Минкомсвязи.

Типовые формы, предусматривающие внесение в них персональных данных (их несоответствие п.7 Постановления № 687 выявляется в последнее время практически при каждой проверке), должны соответствовать требованиям п.7, только если они созданы оператором самостоятельно. На формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, эти требования не распространяются (мною были приведены примеры рецепта на лекарство и форм ПФР). Это был самый неожиданный для меня ответ, поскольку в Постановлении № 687 прямо требуется от госорганов привести свою работу в соответствие постановлению в течение месяца, а прошло 10 лет. Но позиция ведомства такова, и она высказана.

Сам по себе (без привязки к конкретному субъекту) номер телефона или госзнак автомобиля – не персональные данные.

А. Сычев (Банк России)

Кредитно-финансовое учреждение может самостоятельно определять, относить ли конкретную информационную систему банка к ИСПДн или нет. Но смысла уклоняться от отнесения к ИСПДн нет, поскольку требования к банковским системам жестче, чем к персональным данным. Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к ИСПДн конкретных систем Роскомнадзор не проверяет.

Сроки оснащения подразделений банков системами биометрической идентификации сдвигаться не будут, несмотря на проблемы с приобретением модуля HSM, размещением клиентских программ в App Store и работоспособностью решения «Ключ Ростелеком». Однако топ-менеджментом Банка России высказываются и иные точки зрения на этот процесс (см., например, здесь). Создание ЕБС – это мощный толчок рынку средств ИБ, который должны поддержать заказчики (банки в данном случае).

Подготовлено и передано на регистрацию в Минюст Указание Банка России об осуществлении надзора за соблюдением банками порядка размещения и обновления сведений в Единой биометрической системе. Так что Банк России скоро станет для кредитных финансовых учреждений основным надзорным органом при работе с биометрией. Если учесть наличие Приложения Б, определяющего для банков состав оргмер при обработке персональных данных в ГОСТе Р 57580.1–2017 по безопасности финансовых операций, а также вспомнить письмо Центробанка от 14.03.2014 № 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», контроль, похоже, будет выходить за пределы использования биометрии. 

А. Бодров (ФСБ) и Е. Торбенко (ФСТЭК)

Модель угроз безопасности действительно законом и НПА по персональным данным не предусмотрена, вместо нее можно составить просто перечень актуальных угроз, но такой подход усложнит жизнь тем, кто должен согласовывать угрозы с регуляторами.

А. Бодров. Разъяснения на сайте ФСБ о необязательности сертификации средств шифрования при массовой передаче данных в сети Интернет не распространяется на персональные данные, поскольку к ним требования об использовании средств защиты, прошедших процедуру оценки соответствия, установлены законом. На мою реплику о том, что в разъяснении исключения не упоминаются, ответ был простым – этого делать и не надо, действует прямая норма закона.  

От ответа на вопрос о необходимости получения лицензии ФСБ на работу со средствами шифрования для поднятия протокола TLS с алгоритмом RSA представитель ведомства уклонился, указав на то, что это компетенция Центра по лицензированию, сертификации и защиты гостайны ФСБ. Я предложил на круглый стол на следующей конференции пригласить и их, организаторы обещали. А. Сычев в своем комментарии обратил внимание на необходимость более активной работы по внедрению российских алгоритмов в протокол TLS, в том числе – за рубежом.

Е. Торбенко. Подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты персональных данных, но владелец системы должен осознавать свою ответственность за качество и обоснованность такой оценки. А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе.

Сертификация прикладного программного обеспечения, используемого для обработки персональных данных, не требуется, если оно не реализует функции защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если считает ее необходимой.

В блоге Сергея Борисова приведены ответы регуляторов на круглом столе и выложена ссылка на 

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.