Как и обещал, публикую
пост про прошедшую недавно X юбилейную
Международную конференцию «Защита персональных данных».
С одной стороны,
мероприятие прошло практически в том же формате, что и предыдущие –
приветствия, пленарка, две панели с фиксированными выступлениями, свободный
микрофон с регуляторами. Из нового – два выступления, заявленные в формате TED,
мое и Евгения Калинина из DPO Сбербанка.
Ряд интересных моментов
отметил для себя в вступлении Роскомнадзора А. Жарова. От 19% до 34% роста ВВП
в России к 2025 году обеспечит таргетирование предложений конкретным
пользователям, что в денежном выражении составит 4,1–8,9 трлн руб (данные McKinsey).
Вот и ответ о причинах утечек персональных данных, большом желании заняться
парсингом в соцсетях и прочем. Глобальный рынок больших данных в 2020 году в
мире составит $70 млрд. В выступлении Жарова и последующих выступлениях (и моем
тоже, грешен) достаточно много говорилось о государственном регулировании
оборота больших и персональных данных, обеспечении интересов государства,
бизнеса и субъектов, но дискуссий и столкновений мнений формат конференции не
предполагал, кроме как заочных, что не позволило сделать обсуждение этих
действительно крайне важных вопросов интересным и полезным.
Роскомнадзор пообещал в
следующем году подготовить предложения по законодательной регламентации
внутреннего контроля за обработкой персональных данных и установлении
административной ответственности за распространение, приобретение и последующее
использование персональных данных, полученных преступным путем. Инициативы
интересные, но, на мой взгляд, сложно реализуемые. Регламентация внутреннего
контроля возможна только в больших компаниях, в СМБ ей заниматься попросту
некому (вспомним квалификацию лиц, ответственных за обработку в этом сегменте).
А ответственность за использование ворованных баз данных без какой-либо
ответственности за утечки выглядит странной. Кроме того, надо будет доказывать
наличие злого умысла при покупке и заведомую известность покупателю факта
незаконного получения данных продавцом. Это как вводить ответственность за
покупку на рынке краденой картошки или мяса.
А вот предложение Эдгарса
Пузо из Ассоциации европейского бизнеса об исключения из закона согласия
субъекта на поручение обработки его данных третьему лицу поддерживаю на 146%.
Во-первых, и так ответственность перед субъектом в любом случае несет оператор,
а, во-вторых, учитывая позицию Роскомнадзора, что любое размещение ИСПДн в
дата-центре или облаке – это поручение обработки, законный перенос систем в
облако становится практически невозможным, поскольку получить согласие всех cубъектов,
чьи данные находятся, например, в переносимой CRM-системе, просто
технически невозможно. Даже с системами кадрового учета, где необходимо получение
согласия экономически зависимых работников, возникают проблемы с их получением,
что же говорить про остальные. Возможно, надо все-таки внимательнее посмотреть
на идеологию GDPR и институт «законного интереса» оператора
(контролера). GDPR к согласиям работников, кстати, относится,
мягко говоря, прохладно именно ввиду их зависимости от работодателя.
Был очень интересный и
поучительный обзор по штрафам по GDPR и утечкам за 2019 год от
Кристины Боровиковой из KPMG, но вот перевод штрафов в рубли мне лично только
мешал, приходилось пересчитывать обратно.
В выступлении Андрея
Слепова, партнера «БАЙТЕН
БУРКХАРДТ», прозвучала очень интересная, но спорная мысль, о необходимости
получения согласия лица, ответственного в компании за организацию обработки
персональных данных, на размещение его персональных данных в общедоступном
источнике – Реестре операторов Роскомнадзора. Уже после выступления в дискуссии
он ссылался на общие и специальные нормы, а я – на п.11 части 1 ст.6 152-ФЗ.
О своем выступлении «Персональные
данные в цифровой экономике: газ или тормоз?» постараюсь написать отдельно,
поскольку формат TED выступления не
предполагает использования детальной презентации с раскладыванием «по полочкам».
На секции, которую меня
пригласили вести, выступающие проявили просто фантастическую дисциплину, не
вылезая за временные границы, что позволило даже задать им несколько вопросов.
Один из главных вопросов, который у меня был, получил однозначный ответ уже в
выступлении Дмитрия Шевцова, начальника 2 Управления ФСТЭК России. Он
подтвердил возможность иных способов оценки соответствия средств защиты
информации в ИСПДн, этот вопрос я задавал в прошлом
году и Елене Торбенко из ФСТЭК. Для наглядности
привожу слайд из презентации Д. Шевцова:
Один из главных, потому
что нам с нашими заказчиками часто приходится спорить с интеграторами, которые
предлагают выбросить все несертифицированные СЗИ и поставить на несколько
миллионов (а иногда и десятков миллионов) «правильных» средств защиты,
категорически не соглашаясь ввязываться в оценку путем проведения испытаний и
приемки, и в обоснование компенсирующих мер в соответствии с Методическим
документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных
информационных системах». Интеграторов, конечно, понять можно, но заказчиков
подталкивать к бессмысленным тратам как-то нехорошо.
Интересно,
хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента
информационной безопасности Банка России, рассказал о том, как видит Центробанк
противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных
операций, совершенных с использованием платежных карт, а объем украденных
средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной,
что основная часть «социальных инженеров» работает в объединенном колл-центре
колоний и спецпоселений, высказав мысль, что желающих легко заработать много и
в других местах.
Проблема
действительно серьезная, согласен с Артемом Михайловичем, что нужны и
законодательные меры, и повышение осведомленности клиентов, и работа банков. Я
предложил задействовать социальную рекламу на телевидении, как наиболее действенную
для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой
осенью волна телефонных мошенничеств, изощренность и информированность
мошенников требует самой незамедлительной ответной реакции, и думать об этом
надо не только Банку России, а государству в целом. В том числе изыскать деньги
для информирования населения о проблеме.
Александр
Савельев из Высшей школы экономики выступил с очень интересной мыслью о
законодательном введении такого частноправового механизма защиты прав
субъектов, как компенсация, основанием для взыскания которой является доказанный
факт нарушения законодательства, безотносительно последствий этого нарушения
для субъекта, размер которой назначается судом с учетом конкретных
обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с
тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных
прав на результаты интеллектуальной деятельности.
Об
интересном на традиционном Круглом столе «Свободный микрофон с регуляторами»,
который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители
Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в
отдельном посте. Надеюсь, скоро.
"Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки..." Уважаемый Михаил Юрьевич, а Вы когда нибудь рассчитывали стоимость комплекса услуг, который необходим для проведения оценки соответствия в форме эксплуатационных испытаний? ВЫ проводили анализ, у какого количества Заказчиков имеется полный и корректный комплект проектной и эксплуатационной документации, чтобы такие испытания провести? Лично мне за 13 лет работы встретилось ровно 2 (две) организации, из нескольких сотен, у которых было в наличие некое подобие необходимого комплекта. По факту, чтобы лицензиат признал СОБИ соответствующей требованиям, Заказчику придется оплатить весь комплекс услуг, начиная с НИОКР, и заканчивая эксплуатационными испытаниями, а это для сложных систем будет стоить соизмеримо или больше. Добавьте сюда риски наличия "собственного компетентного мнения" у представителей регуляторов, экспертов, приглашенных прокуратурой или судом (не дай Бог, конечно), которым придется доказывать, что каждая из огромного перечня процедур была выполнена правильно. В настоящий момент применение сертифицированных средств дает возможность построить защиту быстро и эффективно, максимально снизив риски при проверках или в случае возникновения инцидентов.
ОтветитьУдалитьИгорь, смею Вас уверить, что ничего из перечисленого Вами заказчику-частной компании, в том числе НИОКР, не нужно. Более того, ему и лицензиат не очень нужен, особенно который нее понимает его потребности.Никаких бизнес-интересов городить систему защиты из сертифицированных средств и тем более аттестовывать ее у него нет. Более того, у него вообще нет СИБ, а человек или подразделение, отвечающее за ИБ, если компания - дочка иностранной мамы, сидит где-то далеко за бугром и требует от дочек по всему миру придерживаться единых стандартов, в том числе в части СЗИ.
ОтветитьУдалитьЗа 20 лет гражданской ИБ и почти 13 лет действия 152-ФЗ я не знаю ни одного случая выдвижения регуляторами претензий к частным компаниям по поводу подсистемы ИБ и, уж тем более, споров с ними по этому поводу в судах. Более того, без специальных полномочий правительства защиту ПДн у частных компаний проверить не может никто, и таких полномочий ни разу не давали.
А свои проверки РКН по прежнему проводит, руководствуясь Адм. регламентом от 2011 года и плюя на Постановление №146?
ОтветитьУдалитьПланируется ли утверждение нового регламента?