27 октября 2011 г.

2-я Международная конференция «Защита персональных данных»

Сегодня открылась, состоялась и закрылась 2-я Международная конференция «Защита персональных данных». Полный рабочий день. Один зал, один поток.
16 стран-участниц. Более 250 заявившихся участников (начинали, похоже, чуть меньше, но примерно так). 22 выступления (из них 4 – от зарубежных стран, Украина, Польша, Эстония, Германия). Часовой «круглый стол» вопросов и ответов с участием представителей всех трех регуляторов на весьма высоком уровне (ВРИО и зам. начальника управления Роскомнадзора, начальники управлений ФСБ и ФСТЭК).
Порадовало: почти без пафоса (несколько приветствий из рабочего графика не вывели, и даже в них была информация), без отчетов о проделанной работе, расшаркивания делегаций. Интересная информация в выступлениях представителей госорганов. Особо порадовало: блестящее выступление Каи Пуссеп, заместителя генерального директора Инспекции по защите данных Республики Эстония. О нем подробнее – в конце.
Огорчило. Выступления спонсоров. Без изюминок, правда, почти без рекламы. Отсутствие выступлений не-госов, не-объединений и не-спонсоров, за исключением двух от ИГП РАН. Иллария Лаврентьевна говорила, как всегда интересно, но слабо верится, что ее услышат законодатели, к которым это обращалось. «Научный» доклад от того же ИГП про персданные и СОРМ навел жуткую тоску. Два выступления от представителей объединений операторов (Всероссийский союз страховщиков и Российская ассоциация маркетинговых услуг) были похожи на импровизации неофитов, узнавших про что-то новое и интересное. Особо огорчило: неспособность Роскомнадзора разъяснить не только положения закона, но и свою позицию.
Самое интересное.
Замминистра связи И.И.Массух сказал про две главные проблемы: (1) ослабление давления на операторов класса «школа-больница», необходимость защиты информации и у них, поиска баланса; (2) необходимость решения до конца года(!) проблемы обработки персональных данных с использованием облачных технологий. Здорово. Не будем запрещать, будем искать пути решения. Очень хочется надеяться, что так и будет.
Замначальника управления Минкомсвязи А.П.Гермогенов. Про сложности доработки закона, межведомственную группу с представителями 80 организаций и обсуждением 400 предложений. Проанализировал (системно, с анализом интересов оператора и субъекта) изменения закона. Похоже, Россия убедила Евросоюз в независимости Роскомнадзора и ратификационные грамоты у нас примут. Рассказал про перспективы. Будет четыре постановления Правительства: (1) про перечень мер для госов и муниципалов, (2) про уровни защищенности в зависимости от угроз, (3) про требования к защите, обеспечивающие заданные уровни защищенности и (4) про порядок согласования с ФСБ и ФСТЭК предложений объединений операторов по дополнительным угрозам.
ФСБ и ФСТЭК определят состав и содержание защитных мер, а Роскомнадзор – перечень адекватных стран.
Также сказал про облачные сервисы и необходимость регулирования отношений при их предоставлении (кто оператор, как соотносится ответственность поставщика и потребителя облачных услуг, кто несет ответственность за неправомерную обработку персданных, в том числе – за передачу их за рубеж).
Подчеркнул важность исследований по рискам и разработки механизмов оценки ущерба при инцидентах с персданными.
Сказал про необходимость международного сотрудничества по предотвращению распространения незаконно полученных персданых (про пресечение всяких там RusLeaks и  Zhiltsy, мигрирующих из ru в com, net и далее много и правильно говорил и Р.В.Шередин), про критерии оценки защищенности за рубежом при трансграничной передаче.
Начальник Управления ФСБ О.А.Залунин подчеркнул, что ФСБ будет проверять только госы до делегирования полномочий Правительством. Все новые документы должны появиться к середине 2012 года. Главный принцип их разработки – максимальная преемственность по отношению к существующим (ПП-781 и П-58, в частности). Все, что сделано операторами, надо сохранить. До выхода новых действуют все ранее принятые НПА (ПП-781, П-78, два документа ФСБ).
Три главных недостатка, выявляемых при проверках ФСБ:
1.       Несоответствие используемых классов СКЗИ определенным в модели нарушителя (в сторону снижения, естественно).
2.       Истечение сроков действия сертификатов ФСБ.
3.       Отличие используемых версий СКЗИ от тех, которые проходили сертификацию.
Особо остановился на низкой квалификации персонала из-за высокой текучести кадров (видимо, в госах).
В целом, по мнению ФСБ, ситуация с использованием СКЗИ стала лучше, а через год будет совсем хорошей.
Интересные особенности украинского законодательства про ПДн отметил В.Ф.Козак, замглавы Госслужбы по вопросам защиты ПДн Украины, но нам это как-то фиолетово, поэтому опущу. Может быть, как-нибудь позже.
А.П.Курило из ГУБЗИ Банка России, как всегда, системно, разобрал ситуацию по косточкам. Отметил мировой тренд – операторы все делают по защите сознательно и сами, а главное в обеспечении безопасности – правильная организация аудита. В России все отраслевые требования и методики контроля должны удовлетворять регуляторов. Похоже, меняется позиция ЦБ относительно лицензий по ТЗКИ, аттестации и сертификации. Появился новый подход: движение в сторону комфортных требований. Про СТО БР – мнение регуляторов запрошено, ЦБ ждет ответов, пока все, о чем договаривались раньше (письмо шестерых) в силе.
Интересно. Будем наблюдать за развитием событий.
Борис Рейбах, адвокат из Германии, назвал Россию неадекватной и обидел Роскомнадзор. Потом быстро стушевался и ответил «Абсолютно!» на филиппику Ю.С.Забудько.
Из спонсоров. Самый интересный доклад был у С.В.Вихорева из ЭЛВИС-Плюс про аутсорсинг обработки, но в конце Сергей Викторович озадачил фантастическим выводом об отсутствии необходимости согласия субъекта на передачу. Комментируя его выступление, Ю.С.Забудько сделала не менее интересное заявление о том, что обработчиков в ФЗ-152 нет, все, кто обрабатывает – операторы. Обсуждать этот тезис отказалась резко и категорично, подчеркнув, что не будет обсуждать его и на круглом столе. Остался в полном недоумении.
На круглом столе было грустно. Вопросы, практически все, вызывали у представителей Роскомнадзора затруднения, точка зрения по мере поступления допворосов из зала менялась на противоположную. Спросил про согласие субъекта на доступ к ПДн юрлица, назначенного ответственным за организацию обаработки, про статус персданных ответственного физлица при размещении их в общедоступном Реестре, про исключительно автоматизированную обработку персданных в ЖКХ (Мосэнергосбыт, Мосгортепло, Мосводоканал) не только без письменного согласия, но и без договора с субъектом-жильцом. Ответы не привожу. Бесполезно. Попытка уточнить встретила жесткий отпор: «Все, закончили». Как-то стало не по себе. Вроде не на ковер ходил, а на оплаченное мероприятие. За ответами.
В заключении – о хорошем. Об отличном. Позавидовал белой завистью жителям Эстонии, имеющим такого регулятора и уполномоченного. Кая Пуссеп: «Мы работаем с горящими глазами, и вдруг узнаем, что о нас знает всего 18% жителей страны. Позор. Нам было очень стыдно, мы пали духом и решили радикально поменять подход. В офисе инспекции запретили использовать термин «субъект». Это же люди, наши граждане! Они должны нам верить, идти к нам. Теперь мы не возбуждаем дела по жалобам. Мы защищаем конституционные права граждан. Нас мало, а дел много. Надо сосредоточиться и вмешиваться только там, где риски инцидентов выше. Оценка – по британской модели: тяжесть нарушения, уязвимость потерпевшего, степень и продолжительность вмешательства. В системе мер воздействия – наказания на последнем, пятом месте. Выше них: (1) разъяснение и информирование, (2) формирование правовых обычаев, (3) политические консультации [операторов], (4) досудебное разбирательство (омбудсмен). Публикация информации о долгах, в том числе – в подъездах домов о не внесших квартплату. При максимальном наказании 32 тысячи Евро за 2010 г. выписано два (!) штрафа. Остальное – профилактика. Между прочим, Билл Гейтс и его Excel Эстонии для персданных не годятся, т.к. нельзя сказать, кто, когда и как их обрабатывал. А для персданных нужны специальные решения. С логированием. Главное – добиться изменения отношения граждан и операторов к Инспекции (не враг, а компетентный помощник в решении проблем)».
Я слушал, конспектировал и млел. Давненько я не получал такого удовольствия от выступления про персданные. Разительный пример того, как ратификация одной и той же конвенции в разных странах может привести к радикально разным законам и практике их правоприменения.

10 комментариев:

  1. "Похоже, меняется позиция ЦБ относительно лицензий по ТЗКИ, аттестации и сертификации" - Михаил Юрьевич, можно поподробнее?

    ОтветитьУдалить
  2. 2Волков. Если коротко, Андрей Петрович сказал, что по этим вопросам позицию регуляторов можно понять, поскольку мировой подход требует в России адаптации, рекомендации воспринимаются неправильно, их чаще всего игнорируют, а договориться с регуляторами можно только при наличии механизма контроля, который их устраивают. Все три указанных способа контроля как раз и нужны регуляторам для надежной проверки выполнения требований. А то многие пытаются не защищать систему, а "купить индульгенцию". Примерно так.

    ОтветитьУдалить
  3. Опа-па. Ну что ж, раз ЦБ "сдался", то всем остальным и подавно придется.

    ОтветитьУдалить
  4. Позиция ФСБ и ФСТЭК по лицензированию и сертификации стала гораздо более жесткой, как мне показалось. Никаких альтернатив сертифицированным СЗИ даже не рассматривается и не обсуждается.

    ОтветитьУдалить
  5. Так еще 12 лет щастья впереди - радость скрывать еле могут :)

    ОтветитьУдалить
  6. С Эстонии, конечно в плане безопасности и защиты ПДн можно и нужно брать пример. Насколько я знаю, они являются наиболее развитой страной в плане электронного правительства, где каждый человек может посмотреть на сайте: кто, когда и зачем из гос. органов имел доступ к их ПДн. А в отношении защиты гос. и муниципальных информационных ресурсов они разработали ISKE на основе IT baseline protection manual (BSI) и не раз назывались лидером в кибербезопасности.

    ОтветитьУдалить
  7. 2Trotsky. Все правильно и справедливо. Про электронную Эстонию писали не раз. Меня поразила позиция чиновника. Он (она в данном случае)занят Делом, а не тем, к чему мы привыкли.

    ОтветитьУдалить
  8. Если позиция по сертификации СЗИ такая жесткая, то введите законодательно ее обязательность для производителя/продавца. По аналогии с акцизными марками на алкоголь - без сертификата не продавать. Все вопросы снимутся автоматически, да и цена при сертификации серий вырастет не так сильно. Иначе почему и для кого легально продаются несертифицированные СЗИ, если их использование незаконно?

    ОтветитьУдалить