понедельник, 19 ноября 2018 г.

ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн. UPDATE


8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке. 


Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):
·         Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

·         Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

·         Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

·         Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.

·         Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия.  Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

·         Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

·         Вопрос к Роскомнадзору: могут ли суммироваться штрафы по статье 13.11. Например, если пострадало 10 тыс. субъектов.  
Ответ Роскомнадзора: За этот год составлено всего лишь 98 протоколов о правонарушении. В большинстве случаев, когда сталкиваются с нарушением – истекает срок давности привлечения к ответственности.
Но текущие формулировки статьи 13.11 позволяют трактовать её так что если факты нарушений выявлены по нескольким лицам, то по каждому факту можно привлекать. Но сейчас у РКН нет задачи массового поражения. На текущий момент массовых наказаний не зафиксировано.  

·         Вопрос к Роскомнадзору: согласно обновленным правилам услуг связи – телефонный номер относится к аппаратному средству. Будет ли теперь считаться что телефонный номер теперь не ПДн?   
Ответ Роскомнадзора: Мы всегда внимательно следим за изменениями законодательства, если уж подход поменялся, мы не будем против. Теперь считаем, что просто телефонный номер – это не ПДн, а атрибут аппаратного средства связи, так же как номер авто – это атрибут транспортного средства.

·         Вопрос к ЦБ РФ: как ЦБ РФ будет осуществлять надзор за ПДн в сфере ПДн (упоминаются в ЕБС, письме 42-Т и приложение Б к ГОСТ Р 57580.1-2017)? Сроки, порядок, глубина контроля. Регламентов же пока нет.
Ответ ЦБ РФ: Все просто. ЦБ РФ осуществляет свои полномочия в соответствии с существующими НПА, формирует также, как и все график контрольных мероприятий, указывает тематику, включает соответствующих сотрудников, выходят на место, принимают решение о соответствии/несоответствии, принимают решение о воздействии в случае нарушений.

·         Вопрос у ЦБ РФ: можно ли признать платежную систему, содержащую ПДн не ИСПДн.
Ответ ЦБ РФ: требования к платежным системам жёстче, чем к ИСПДн. Так делать нелогично.
Роскомнадзор: мы корректность перечней ИСПДн не проверяем.   

·         Вопросы к ФСТЭК России и ФСБ России: закон 152-фз требует определить перечень актуальных угроз. Почему ФСТЭК и ФСБ требуют модель угроз или предположения о совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак? 
Ответ ФСТЭК России и ФСБ России: для выполнения требований 152-ФЗ достаточно только перечня угроз (без всего). Но когда вы будете отправлять нам на согласование, то вам придется написать пояснительную записку, информации в которой будет достаточно для согласования – почему именно эти угрозы. Например, так сделал Минюст.

·         Вопросы к ФСТЭК России: в приказе 235 ФСТЭК по КИИ явно указал что можно проводить оценку СЗИ, в иной форме, отличной от сертификации. Значил ли это что и для ПДн можно использовать такие же методы.  
Ответ ФСТЭК России: также можно использовать другие формы оценки соответствия СЗИ.
ФСБ России: если СКЗИ используются для защиты персональных данных, то это могут быть только сертифицированные СКЗИ.

·         Вопросы к ФСБ России: по методическим рекомендациям по МУ от 2015 года. Обязательный ли это документ? Можно ли совмещать МУ по ФСТЭК и ФСБ?   
Ответ ФСБ России: Это же рекомендации - поэтому не обязательный. Но существенно упрощает процедуру согласования.            152-ФЗ в обязанностях оператора упоминает один документ, поэтому считают что МУ по ФСТЭК и ФСБ может быть совмещен.

·         Вопрос к ФСБ России: недавно ФСТЭК России обновили Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае наличия уязвимостей можно экстренно устанавливать патчи. Бывает, что в организациях одновременно используются СЗИ сертифицированные в системе ФСТЭК и ФСБ. Планируется ли внесение аналогичных изменений положение о сертификации СЗИ ФСБ России?
Ответ ФСБ России: Как только мы решим поменять НПА – выложим законопроект на согласование, и вы сразу об этом узнаете. Пока его нет.


Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись >>> она доступна по ссылке <<<

Напоследок поделюсь общим впечатление о конференции ЗПДн:
·         Кроме круглого стола, обычным специалистам по ИБ, руководителям отделов ИБ, консультантам и интеграторам нечего делать на этом форуме
·         Конференция может быть полезна тем, кому по каким-то причинам важно знать куда может двинуться регулирование РФ в области защиты данных (инвесторы?), для участников групп по совершенствованию законодательства (те, кто пишет законопроекты или рецензии на них) и представителей СМИ, которым нужно раз в год написать статью про ПДн и потом забыть об этом ещё на год
·         Частично создалось впечатление, что все это делается в том числе для европейских коллег, чтобы показать, что мы "адекватная" страна, а участники конференции статисты в этой постановке
·         Слишком короткие 10ти минутные доклады – тему просто не успевают раскрыть
·         Много докладов иностранных коллег не применимых для ИБшника
·         Регуляторы были, но возможность пообщаться с ними отсутствовала
·         Моя оценка 3 из 5 в плане полезности (единичные доклады, секция А. Волкова и Круглый стол с Регуляторами)
·         Моя оценка 1 из 5 по удобству общения с коллегами и питанию (на этом платном для участников мероприятии за целый день был всего один кофе-брейк)

В общем не рекомендую - для общения сходите лучше на какое-то нормально организованное мероприятие (soc, phd, bis, уральский форумы или подобные) а для получения информации.  А за знаниями - в учебный центр.
Может быть конференцию ЗПДн надо транслировать в онлайне. Так хотя бы не жалко будет потраченного на проезд времени и денег.

PS: Также можете почитать отчет Михаила Емельянникова с интересностями данного мероприятия. 


6 комментариев:

Андрей Мозговой комментирует...

Прошу уточнить в части 8го вопроса к РКН, если есть такая возможность:
1) Какие именно изменения в законодательстве имеются в виду?
2) В контексте вопроса имелся в виду стационарный или мобильный телефонный номер, или любой из них?
3) РКН не относит к ПДн
- просто перечисление 1 и более телефонных номеров без доп. информации об их владельце;
- или также связку "телефонный номер + любая другая информация о субъекте, однозначно его не идентифицирующая (например {абонент с номером 8 999 1234567 родился 1.01.2001 г. в г. Москва} и подобные)";
- или даже связку телефонного номера с однозначно идентифицирующей его владельца информацией без прочей информации о субъекте (например {у абонента с номером 8 999 1234567 ИНН 10010203040506} и подобные)?

Спасибо!

Сергей Борисов комментирует...

1) Имелись в виду
Постановление Правительства РФ от 09.12.2014 N 1342 (ред. от 03.11.2018) "О порядке оказания услуг телефонной связи" (вместе с "Правилами оказания услуг телефонной связи")
"абонентский номер" - телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем;"
изменения там были недавно, но при чем это не знаю
2) Оба
3) Речь была только о номере телефона, без дополнительных данных о конкретном лице.
Все остальные комбинации - не рассматривали ..

Андрей Мозговой комментирует...

В таком случае странно, ведь определение абонентского номера в ПП не изменилось, а было таким же и при предыдущем подходе регулятора к отнесению его к ПДн.
Спасибо за ответ!

Сергей Борисов комментирует...

На корпоративном сайте выложили ещё мой отчет по итогам мероприятия https://docshell.ru/events/itogi_zahita_pd/
Выбирал наиболее интересные идеи

Serj комментирует...

Такой вопрос. В соответствие с пунктом 21 (ППРФ 313) перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств передача шифровальных (криптографических) средств, сертифицированных Федеральной службой безопасности Российской Федерации, относится к лицензируемому виду деятельности.

Требуется передать СКЗИ координаторы VipNet другим юрлицам, включенным в нашу защищенную сеть ПДн.

Требуется ли лицензия ФСБ на осуществление такой передачи с баланса на баланс?

Или можно просто передать в безвозмездное пользование без наличия лицензии?

У нас есть договор с лицензиатом ФСБ на обслуживание нашей сети. Можно ли осуществить такую передачу через них трехсторонним договором.

Вообщем, как лучше сделать в рамках законодательства?

Спасибо.

Сергей Борисов комментирует...

Да, передача СКЗИ другим лицам (организациям) - это лицензируемый вид деятельности.
Даже если безвозмездно. Даже если с баланса на баланс.
Также лицензируемый вид деятельности - это создание криптоключей и передача их третьим лицам.

Есть 2 законных варианта:
1) Сами получать лицензию на передачу, распространение СКЗИ - не так уж и сложно кстати
2) Привлечь лицензиата ФСБ. Заключить отдельное соглашение (если не покрывается текущим договором) на передачу СКЗИ / распространение СКЗИ / оказание услуг с использованием СКЗИ