понедельник, 19 ноября 2018 г.

ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн. UPDATE


8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке. 


Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):
·         Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

·         Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

·         Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

·         Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.

·         Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия.  Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

·         Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

·         Вопрос к Роскомнадзору: могут ли суммироваться штрафы по статье 13.11. Например, если пострадало 10 тыс. субъектов.  
Ответ Роскомнадзора: За этот год составлено всего лишь 98 протоколов о правонарушении. В большинстве случаев, когда сталкиваются с нарушением – истекает срок давности привлечения к ответственности.
Но текущие формулировки статьи 13.11 позволяют трактовать её так что если факты нарушений выявлены по нескольким лицам, то по каждому факту можно привлекать. Но сейчас у РКН нет задачи массового поражения. На текущий момент массовых наказаний не зафиксировано.  

·         Вопрос к Роскомнадзору: согласно обновленным правилам услуг связи – телефонный номер относится к аппаратному средству. Будет ли теперь считаться что телефонный номер теперь не ПДн?   
Ответ Роскомнадзора: Мы всегда внимательно следим за изменениями законодательства, если уж подход поменялся, мы не будем против. Теперь считаем, что просто телефонный номер – это не ПДн, а атрибут аппаратного средства связи, так же как номер авто – это атрибут транспортного средства.

·         Вопрос к ЦБ РФ: как ЦБ РФ будет осуществлять надзор за ПДн в сфере ПДн (упоминаются в ЕБС, письме 42-Т и приложение Б к ГОСТ Р 57580.1-2017)? Сроки, порядок, глубина контроля. Регламентов же пока нет.
Ответ ЦБ РФ: Все просто. ЦБ РФ осуществляет свои полномочия в соответствии с существующими НПА, формирует также, как и все график контрольных мероприятий, указывает тематику, включает соответствующих сотрудников, выходят на место, принимают решение о соответствии/несоответствии, принимают решение о воздействии в случае нарушений.

·         Вопрос у ЦБ РФ: можно ли признать платежную систему, содержащую ПДн не ИСПДн.
Ответ ЦБ РФ: требования к платежным системам жёстче, чем к ИСПДн. Так делать нелогично.
Роскомнадзор: мы корректность перечней ИСПДн не проверяем.   

·         Вопросы к ФСТЭК России и ФСБ России: закон 152-фз требует определить перечень актуальных угроз. Почему ФСТЭК и ФСБ требуют модель угроз или предположения о совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак? 
Ответ ФСТЭК России и ФСБ России: для выполнения требований 152-ФЗ достаточно только перечня угроз (без всего). Но когда вы будете отправлять нам на согласование, то вам придется написать пояснительную записку, информации в которой будет достаточно для согласования – почему именно эти угрозы. Например, так сделал Минюст.

·         Вопросы к ФСТЭК России: в приказе 235 ФСТЭК по КИИ явно указал что можно проводить оценку СЗИ, в иной форме, отличной от сертификации. Значил ли это что и для ПДн можно использовать такие же методы.  
Ответ ФСТЭК России: также можно использовать другие формы оценки соответствия СЗИ.
ФСБ России: если СКЗИ используются для защиты персональных данных, то это могут быть только сертифицированные СКЗИ.

·         Вопросы к ФСБ России: по методическим рекомендациям по МУ от 2015 года. Обязательный ли это документ? Можно ли совмещать МУ по ФСТЭК и ФСБ?   
Ответ ФСБ России: Это же рекомендации - поэтому не обязательный. Но существенно упрощает процедуру согласования.            152-ФЗ в обязанностях оператора упоминает один документ, поэтому считают что МУ по ФСТЭК и ФСБ может быть совмещен.

·         Вопрос к ФСБ России: недавно ФСТЭК России обновили Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае наличия уязвимостей можно экстренно устанавливать патчи. Бывает, что в организациях одновременно используются СЗИ сертифицированные в системе ФСТЭК и ФСБ. Планируется ли внесение аналогичных изменений положение о сертификации СЗИ ФСБ России?
Ответ ФСБ России: Как только мы решим поменять НПА – выложим законопроект на согласование, и вы сразу об этом узнаете. Пока его нет.


Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись >>> она доступна по ссылке <<<

Напоследок поделюсь общим впечатление о конференции ЗПДн:
·         Кроме круглого стола, обычным специалистам по ИБ, руководителям отделов ИБ, консультантам и интеграторам нечего делать на этом форуме
·         Конференция может быть полезна тем, кому по каким-то причинам важно знать куда может двинуться регулирование РФ в области защиты данных (инвесторы?), для участников групп по совершенствованию законодательства (те, кто пишет законопроекты или рецензии на них) и представителей СМИ, которым нужно раз в год написать статью про ПДн и потом забыть об этом ещё на год
·         Частично создалось впечатление, что все это делается в том числе для европейских коллег, чтобы показать, что мы "адекватная" страна, а участники конференции статисты в этой постановке
·         Слишком короткие 10ти минутные доклады – тему просто не успевают раскрыть
·         Много докладов иностранных коллег не применимых для ИБшника
·         Регуляторы были, но возможность пообщаться с ними отсутствовала
·         Моя оценка 3 из 5 в плане полезности (единичные доклады, секция А. Волкова и Круглый стол с Регуляторами)
·         Моя оценка 1 из 5 по удобству общения с коллегами и питанию (на этом платном для участников мероприятии за целый день был всего один кофе-брейк)

В общем не рекомендую - для общения сходите лучше на какое-то нормально организованное мероприятие (soc, phd, bis, уральский форумы или подобные) а для получения информации.  А за знаниями - в учебный центр.
Может быть конференцию ЗПДн надо транслировать в онлайне. Так хотя бы не жалко будет потраченного на проезд времени и денег.

PS: Также можете почитать отчет Михаила Емельянникова с интересностями данного мероприятия. 


вторник, 13 ноября 2018 г.

КИИ. Блогеры. ФСТЭК


На прошлой неделе состоялась встреча блогеров (С. Борисов, А. Комаров, В. Комаров, А. Кузнецов, А. Лукацкий, П. Луцик), регулярно пишущих по теме КИИ с руководством и специалистами ФСТЭК России ответственными за КИИ. Коллеги (под давлением общественности) поспешили скорее опубликовать свои статьи чтобы донести до Вас добытую информацию.  Я же в этой заметке хочу поделиться некоторыми общими мыслями и впечатлением, а по конкретике пройдусь отдельными статьями. 

Про блогеров. В комментариях под статьями коллег, есть комментарии от читателей типа “почему вообще позвали этих блогеров?”, “да они же теоретики”, “зачем нам вообще ваше мнение”, “да зачем нам вообще мнение ФСТЭК, они и прав разъяснять ФЗ не имеют”. Уж так сложилось что в области КИИ уже действует большое количество НПА (уже 17, а будет больше). Ответственные за ИБ в своих организациях, в силу своего опыта и квалификации пытаются разобраться как им выполнять эти НПА – в чем-то у них возникают вопросы и сложности, в чем-то хотят узнать, как делают коллеги, в чем-то хотят не делать самим, а взять готовое и в чем-то хотят узнать, мнение регулятора.
Блогер – это тот, который добывает и доносит до читателей нужную им информацию. Как добывает информацию? Проводит собственный анализ, отбирает возможное для публикации из практики своей компании, посещает мероприятия с интересными ИБ докладами и круглыми столами, смотрит лучшие вебинары ИБ, обменивается информацией с ИБ специалистами, задает вопросы регулятору.  Но главное, что блогер публикует эту информацию.
Вы можете быть большим экспертом, вы можете знать все про КИИ, СЗИ и киберугрозы. Может быть у вас уже проведено категорирование и создана эффективная система защиты ЗОКИИ. Но какая польза от этого другим ИБ специалистам, если вы не поделитесь подробностями и держите это в себе?
Приглашенные на встречу блогеры регулярно писали на тему КИИ. Иногда даже пересказывали позицию ФСТЭК. Но не всегда правильно. Одна из целей встречи дать правильную позицию. Чтобы если уж взялись доносить позицию ФСТЭК, то доносили правильно.  

Про ФСТЭК. Исходя из озвученной на встрече позиции ФСТЭК по ключевым вопросам, а также по их планах корректировки ПП 127 и своих приказов создалось впечатление что ФСТЭК хочет, чтобы у субъектов КИИ осталось как можно меньше вариантов для сомнений, чтобы категорирования прошло как можно быстрее, владельцы значимых объектов уже приступили к их защите, и чтобы сам ФСТЭК мог эффективно исполнять свои обязанности и реализовывать свои права.
Поэтому по некоторым пунктам позиция ФСТЭК может показаться в чем-то несправедливой отдельным операторам, но именно такая позиция позволит большинству субъектов как можно быстрее и проще выполнить возложенные на них обязанности.
Аналогичное мнение я слышал и от ИБ блогеров, с которыми удалось пообщаться: надо меньше рассуждать, а просто взять и начать делать то, что требуется НПА. Будете подавать сведения в ФСТЭК, заодно и получите отзыв, правильно или нет.

Про вопросы КИИ. Опыт встречи показал, что ФСТЭК готова обсуждать в таком формате, только общие вопросы, касающиеся всех субъектов КИИ в целом. Частные случаи, касающиеся выполнения требований в отдельных организациях, ФСТЭК обсуждать с нами не будет (а таких было много среди 150 подготовленных заранее вопросов к ФСТЭК)
Но будет обсуждать эти вопросы с вами – субъектами КИИ, а также с лицензиатами, проводящими работы по контракту. Поэтому не откладывая проводите работы по категорированию, не стесняйтесь звонить и писать в ФСТЭК. Если сочтете возможным, делитесь полученной информацией. Не знаете как – передайте одному из упомянутых блогеров, помогут опубликовать.    

PS: Рекомендую ознакомится с подготовленными по итогам встречи со ФСТЭК публикациями в блогах у Алексея Комарова, Александра Кузнецова, Павла Луцика, Алексея Лукацкого.
Я планирую сделать несколько статей, которые будут доступны по тегу КИИ. Также стоит ожидать полезной информации в блоге Валерия Комарова.