ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн. UPDATE

8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке. 

Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):

·         Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?

Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

·         Вопрос к Роскомнадзору: что считать автоматизированной обработкой?

Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

·         Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.

Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

·         Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.

Ответ Роскомнадзора: достаточно простой ЭП.

·         Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия.  Например, сбор данных родственников работника или передача данных работника в банк.

Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

·         Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.

Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

·         Вопрос к Роскомнадзору: могут ли суммироваться штрафы по статье 13.11. Например, если пострадало 10 тыс. субъектов.  

Ответ Роскомнадзора: За этот год составлено всего лишь 98 протоколов о правонарушении. В большинстве случаев, когда сталкиваются с нарушением – истекает срок давности привлечения к ответственности.

Но текущие формулировки статьи 13.11 позволяют трактовать её так что если факты нарушений выявлены по нескольким лицам, то по каждому факту можно привлекать. Но сейчас у РКН нет задачи массового поражения. На текущий момент массовых наказаний не зафиксировано.  

·         Вопрос к Роскомнадзору: согласно обновленным правилам услуг связи – телефонный номер относится к аппаратному средству. Будет ли теперь считаться что телефонный номер теперь не ПДн?   

Ответ Роскомнадзора: Мы всегда внимательно следим за изменениями законодательства, если уж подход поменялся, мы не будем против. Теперь считаем, что просто телефонный номер – это не ПДн, а атрибут аппаратного средства связи, так же как номер авто – это атрибут транспортного средства.

·         Вопрос к ЦБ РФ: как ЦБ РФ будет осуществлять надзор за ПДн в сфере ПДн (упоминаются в ЕБС, письме 42-Т и приложение Б к ГОСТ Р 57580.1-2017)? Сроки, порядок, глубина контроля. Регламентов же пока нет.

Ответ ЦБ РФ: Все просто. ЦБ РФ осуществляет свои полномочия в соответствии с существующими НПА, формирует также, как и все график контрольных мероприятий, указывает тематику, включает соответствующих сотрудников, выходят на место, принимают решение о соответствии/несоответствии, принимают решение о воздействии в случае нарушений.

·         Вопрос у ЦБ РФ: можно ли признать платежную систему, содержащую ПДн не ИСПДн.

Ответ ЦБ РФ: требования к платежным системам жёстче, чем к ИСПДн. Так делать нелогично.

Роскомнадзор: мы корректность перечней ИСПДн не проверяем.   

·         Вопросы к ФСТЭК России и ФСБ России: закон 152-фз требует определить перечень актуальных угроз. Почему ФСТЭК и ФСБ требуют модель угроз или предположения о совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак? 

Ответ ФСТЭК России и ФСБ России: для выполнения требований 152-ФЗ достаточно только перечня угроз (без всего). Но когда вы будете отправлять нам на согласование, то вам придется написать пояснительную записку, информации в которой будет достаточно для согласования – почему именно эти угрозы. Например, так сделал Минюст.

·         Вопросы к ФСТЭК России: в приказе 235 ФСТЭК по КИИ явно указал что можно проводить оценку СЗИ, в иной форме, отличной от сертификации. Значил ли это что и для ПДн можно использовать такие же методы.  

Ответ ФСТЭК России: также можно использовать другие формы оценки соответствия СЗИ.

ФСБ России: если СКЗИ используются для защиты персональных данных, то это могут быть только сертифицированные СКЗИ.

·         Вопросы к ФСБ России: по методическим рекомендациям по МУ от 2015 года. Обязательный ли это документ? Можно ли совмещать МУ по ФСТЭК и ФСБ?   

Ответ ФСБ России: Это же рекомендации - поэтому не обязательный. Но существенно упрощает процедуру согласования.            152-ФЗ в обязанностях оператора упоминает один документ, поэтому считают что МУ по ФСТЭК и ФСБ может быть совмещен.

·         Вопрос к ФСБ России: недавно ФСТЭК России обновили Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае наличия уязвимостей можно экстренно устанавливать патчи. Бывает, что в организациях одновременно используются СЗИ сертифицированные в системе ФСТЭК и ФСБ. Планируется ли внесение аналогичных изменений положение о сертификации СЗИ ФСБ России?

Ответ ФСБ России: Как только мы решим поменять НПА – выложим законопроект на согласование, и вы сразу об этом узнаете. Пока его нет.

Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись >>> она доступна по ссылке <<<

Напоследок поделюсь общим впечатление о конференции ЗПДн:

·         Кроме круглого стола, обычным специалистам по ИБ, руководителям отделов ИБ, консультантам и интеграторам нечего делать на этом форуме

·         Конференция может быть полезна тем, кому по каким-то причинам важно знать куда может двинуться регулирование РФ в области защиты данных (инвесторы?), для участников групп по совершенствованию законодательства (те, кто пишет законопроекты или рецензии на них) и представителей СМИ, которым нужно раз в год написать статью про ПДн и потом забыть об этом ещё на год

·         Частично создалось впечатление, что все это делается в том числе для европейских коллег, чтобы показать, что мы "адекватная" страна, а участники конференции статисты в этой постановке

·         Слишком короткие 10ти минутные доклады – тему просто не успевают раскрыть

·         Много докладов иностранных коллег не применимых для ИБшника
·         Регуляторы были, но возможность пообщаться с ними отсутствовала

·         Моя оценка 3 из 5 в плане полезности (единичные доклады, секция А. Волкова и Круглый стол с Регуляторами)

·         Моя оценка 1 из 5 по удобству общения с коллегами и питанию (на этом платном для участников мероприятии за целый день был всего один кофе-брейк)

В общем не рекомендую - для общения сходите лучше на какое-то нормально организованное мероприятие (soc, phd, bis, уральский форумы или подобные) а для получения информации.  А за знаниями - в учебный центр.

Может быть конференцию ЗПДн надо транслировать в онлайне. Так хотя бы не жалко будет потраченного на проезд времени и денег.

PS: Также можете почитать отчет Михаила Емельянникова с интересностями данного мероприятия.