Что интересного будет на X Международной конференции Роскомнадзора

7 ноября в МИА «Россия сегодня» пройдет X юбилейная Международная конференция «Защита персональных данных».

На сайте конференции размещена почти полная программа мероприятия. Как и все последние годы, среди участников – много иностранцев, которые говорить будут прежде всего о GDPR и его могучем движении по Европейской экономической зоне.

В программе – пленарная панельная дискуссия, модерировать которую будет руководитель Роскомнадзора А.А. Жаров, на которую выносятся действительно очень острые вопросы – персональные данные в условиях цифровизации, экономика персональных данных и их использование в предпринимательской деятельности (тут и интересный законопроект подоспел про обезличенные данные и обезличенные персональные данные), локализация и трансграничность потоков данных. Если будут выступления по делу – может быть очень интересно.

Потом будут две международные экспертные встречи «Экономика данных». В первой встрече будут участвовать преимущественно зарубежные гости и Ю.Е. Контемиров, и во второй - представители ФСБ, ФСТЭК, Банка России, а также Huawei, AliExpress, IXcellerate и др., а модерировать встречу предложили мне. Выступления на этих встречах традиционно очень короткие, по 10 минут, и на вопросы обычно времени никто из выступающих не оставляет.

Зато наиболее интересным для слушателей персонам вопросы можно и нужно будет задать на Круглом столе «Свободный микрофон с регуляторами». В этом году, кроме представителей российских органов власти, вовлеченных в процесс, впервые в нем обещают принять участие гости из Европейского надзорного органа по защите данных (очень рассчитываю выяснить их позицию относительно применимости GDPR к российским компаниям) и Группы защиты данных Совета Европы (а тут самое время выяснить про ETS-108 в новой редакции).

Традиционно обращаюсь к читателям блога с предложением присылать мне вопросы, самые интересные обещаю озвучить на Круглом столе. И еще одна просьба к тем, кто планирует прийти, пробыть до конца конференции и задать свой вопрос из зала. Времени в этот раз будет немного меньше, чем обычно, всего 1 час, поэтому просьба вопрос продумать и сформулировать заранее. Иногда на его постановку уходит времени больше, чем на ответ. Если вопросы будут, в перерыве желающие их задать могут подойти ко мне и сформулировать свой вопрос, шансы его озвучить повышаются, но при условии, что я тоже соглашусь с его актуальностью. Просьба в любом случае – без обид.

И есть два новшества, которые кажутся интересными. В конце каждой из двух экспертных встреч будут выступления в модном сейчас формате TED (Technology, Entertainment, Design), на которые отводится по 30 минут. Первым будет выступать зажигательный и зажигающий Алексей Волков из Сбербанка (редкая возможность в последнее время послушать его блестящие выступления), второе выступление – мое. К чести организаторов, они вновь не стали ограничивать или даже обговаривать содержание наших выступлений или просить об их премодерации. Для меня выступление в этом формате первое, готовлюсь, оплошать нельзя.

Так что до встречи на конференции со всеми причастными. Как обычно, уверен, – скучно не будет.

IX международная конференция Роскомнадзора: самое интересное. Часть 1

8 ноября прошла IX международная конференция «Защита персональных данных», которую часто и справедливо называют коротко – конференция Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с моей точки зрения.

Несколько раз на конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали новую редакцию Конвенции Совета Европы ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала в подготовке текста новой редакции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание позволит России попасть в перечень стран, соответствующих GDPR. Стоит учесть, что предстоит еще ратификация новой редакции, сдача ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8 лет.

Из значимых последствий подписания Конвенции – в России должна появиться обязанность операторов уведомлять об утечках и ответственность за попытки уклониться от ее выполнения. О новой редакции Конвенции надо писать отдельно (при случае постараюсь написать пост), главное – она стала максимально близка к GDPR, однако механизм ее вступления в силу будет довольно сложным и длительным.

Из других новаций, о которых сообщил надзорный орган – скорое появление ресурса, на котором можно будет отзывать согласие на обработку персональных данных (как я понимаю, любое и у любого оператора). Это совсем не радует, поскольку означает, что появится ресурс, где будет собираться информация о том, кому и на что каждый субъект давал согласие. Меня такие ресурсы, если честно, очень пугают.

Как всегда, смелым, интересным и довольно вольнодумским было выступление замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать, чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам надо самостоятельно делать выбор между комфортом, для чего передать свои персональные данные оператору, и приватностью, отказываясь от комфортных сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение персональных данных архаично, слишком широко, это понятие надо сужать. Законы должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей, привел в пример запрет на объявление фамилий опаздывающих пассажиров в Шереметьеве. И наконец, что защита персональных данных требует, в первую очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и законодателям и регуляторам.

К нему позже примкнул Дмитрий Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать развитию технологий.

О проблемах рынка технической защиты конфиденциальной информации говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок растет, но для малых и микропредприятий соблюдение лицензионных требований неподъемно, в регионах очень не хватает специалистов.

Неожиданно выступил Илия Димитров из «Опоры России», заявивший, что GDPR – документ о мире, который был 15 лет назад, а регулирование надо строить на прогнозе развития на 10-15 лет вперед и при реализации таких программ как «Цифровая экономика», управлять таким прогнозом. Именно Евразийский экономический союз должен создать информационный кодекс для нового мира, и тогда весь мир ринется размещать свои данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять, выполняется он ли или нет. Тут я окончательно перестал понимать предложения оратора, особенно учитывая текущую практику принятия законов по лоскутному принципу (где порвалось, там и залатаем).

Владислав Онищенко из Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных тайн в российском законодательстве (их действительно очень много, с этим трудно не согласиться) мешает свободному обмену информацией и ее использованию в экономической деятельности. Надо упростить и алгоритмизировать обмен данными в госорганах, а пока они только собираются за счет налогоплательщиков, однако используются из-за ограничений неэффективно. Он выразил сомнение в реальности отзыва согласия на обработку ранее использованных персональных данных. Что произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных отозвавших согласие субъектов? Если они существуют только в электронном виде, как проверить, что удалены? Новые проблемы создаст переход на полностью электронные документы. В качестве примера была приведена электронная трудовая книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о 10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?

В целом представители органов власти и находящихся рядом с ним организаций порадовали смелостью и новаторством, но вот результаты деятельности в жизни выглядят пока очень отличающимися от декларируемых принципов.

После достаточно официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я модерировал. Организация такого обсуждения – это знаменательное и достаточно неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны было сообщено, что GDPR России не касается совсем.

А. Гафурова из центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях присоединения к ней России, остановилась на применимости GDPR к деятельности российских операторов. К сожалению, регламент приходилось выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы выступающим не могли ни модератор, ни слушатели из зала. А их было очень много и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности, А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже. Было три выступления от надзорных органов (DPA) – из Венгрии, Италии и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне серьезная проблема, и на многие вопросы ответов нет, некоторые даже приостановили консультации, не имея готовых рецептов.   

Порадовали выступления российских участников, они достаточно глубоко влезали в тонкости Регламента и давали весьма полезные рекомендации.

Вадим Перевалов из Baker McKenzie рассмотрел регулирование вопросов передачи персональных данных в договорах, как содержащих, так и не содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие адекватную защиту, по обязательности и необязательности отдельных положений таких договоров.

Об общем и различном в регулировании 152-ФЗ- и GDPR вопросов использования персональных данных для директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила внимание на наличие иного, чем в российском законе, основания для рекламных рассылок – законного интереса контролера и проанализировала, когда им можно руководствоваться.

Евгений Ким из EY остановился на участниках процесса приведения обработки в соответствие Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за пределы ЕС, получения согласия на такую передачу, необходимости назначения сотрудника по защите данных (DPO).

Артем Дмитриев (PwC) провел сравнительный анализ оснований для обработки персональных данных в GDPR и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.

Наконец, Евгений Калинин с использованием очень эффектной презентации рассказал о проделанной Сбербанком работе по оценке применимости GDPR к деятельности крупнейшего российского банка.

Секция получилась, на мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко, все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы еще интереснее.

Об «Открытом микрофоне с регулятором» – в следующий раз. И так слишком много букв.

Продолжение следует. Часть 2.

Впечатления о конференции «Защита персональных данных». Часть 2

Продолжаю вчерашний рассказ о том, что показалось интересным на конференции «Защита персональных данных». Как и вчера, в скобках – мои соображения об услышанном.

Начальник управления ФСТЭК России В.С. Лютиков начал свое выступление с совершенно неожиданного, на мой взгляд, заявления о том, что ФСТЭК не является регулятором в области защиты персональных данных, поскольку для этого нужны полномочия в положении о ведомстве, а их там нет. ФСТЭК – регулятор по вопросам защиты информации вообще. Вот так. После этого логичен вопрос, а кто же регулирует вопросы обеспечения безопасности персональных данных. Был дан ответ и на него. Неожиданный. Регулятором является … Роскомнадзор. Расспросить подробно, где это отражено, не удалось – Виталий Сергеевич уехал до окончания работы секции.

Следующий важный момент его выступления: в государственных информационных системах (ГИС) методы и средства защиты информации в целом, и персональных данных, как части этой информации, в частности, – одни и те же.

ФСТЭК не выделяет контроль за защитой персональных данных из общего состава надзорных мероприятий (видимо, поэтому отдельного плана проверок защиты персональных данных на сайте ФСТЭК нет). Всего в 2014-2015 годах ведомство провело более 200 проверок, в которых выявлено более 300 нарушений правил защиты информации (а это, если помните, влечет административную ответственность по ст.13.12 КоАП). Рассмотрено более 100 моделей угроз ГИС и технических заданий на федеральные информационные системы.

В этой работе наиболее важным службе представляется вопрос защиты от актуальных угроз информационной безопасности, в 80% случаев есть нарушения реализации этого требования, и этот уровень не снижается, причем это не связано с защитой от каких-то сложных типов угроз или наличием у возможного нарушителя высокого потенциала и особых возможностей. Чаще всего это угрозы хорошо известные и требующие усилий для их нейтрализации. Особую озабоченность у надзорного органа вызывает использование госзаказчиками операционных систем, снятых с технической поддержки вендорами, и поэтому имеющих не устраняемые уязвимости.

В презентации В.С. Лютикова были даны рекомендации по первоочередным мерам обеспечения безопасности (8 групп), их можно будет посмотреть в оригинале после размещения презентаций выступавших на сайте конференции (обещают после 16 ноября).

А.Г. Бодров из 8 Центра ФСБ России сразу же подчеркнул, что в области защиты персональных данных компетенции службы ограничиваются применением средств криптографической защиты. Следующее заявление весьма насторожило зал: с 2016 года ФСБ не будет согласовывать с прокуратурой проверки защиты персональных данных (видимо, прокуратура, принимая это решение, исходила из того, что 294-ФЗ, вводящий такую обязанность надзорного органа, регулирует вопросы проверок субъектов предпринимательства, во всяком случае, на сайте прокуратуры сводный план проверок озаглавлен именно как «Сводный план проверок субъектов предпринимательства». ФСБ же, в соответствии со ст.19 закона «О персональных данных», проверяет только защиту в ИСПДн, являющихся государственными, на которые 294-ФЗ не распространяется).

Александр Геннадьевич также сослался на часть 6 ст.13.12 КоАП как главное основание для привлечения к ответственности нарушителей правил использования СКЗИ, но отметил, что число наиболее распространенных нарушений – отличие применяемых СКЗИ от указанных в сертификате соответствия, постепенно сходит на нет.

Как ни странно (мне, во всяком случае), самое ходовое нарушение, выявляемое при проверках ФСБ, – отсутствие в организации перечня лиц, которым необходим доступ к персональным данным (странно – потому что создание такого перечня - азы при разработке нормативной базы по персональным данным). Среди прочих выявляемых:

·         отсутствие документального определения помещений для хранения персональных данных и установки СКЗИ;

·         отсутствие поэкземплярного учета СКЗИ;

·         невыполнение требований эксплуатационной документации на средства криптографической защиты;

·         незадокументированные уровни защищенности ИСПДн и классы СКЗИ или уровни-классы, установленные неверно;

·         отсутствие документов по выявлению актуальных угроз безопасности.

Представитель ФСБ отметил фактическое игнорирование федеральными и исполнительными органами власти требования части 5 ст.19 закона «О персональных данных» власти о разработке и принятии нормативных правовых актов (НПА), определяющих актуальные угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности с учетом содержания персональных данных, характера и способов их обработки, выделив на общем фоне бездействия только Банк России, работающий в этом направлении, а также органы власти некоторых субъектов Федерации. Он обратил внимание на создание ведомством методического документа по разработке таких нормативных правовых актов, который размещен на сайте службы в разделе «Научно-техническое сотрудничество» (кстати, я как-то пропустил бурное обсуждение профессиональным сообществом этого документа. Или...?).

Операторам свои модели угроз с ФСБ согласовывать не надо.

Еще раз выделены два случая, в которых, по мнению ведомства, использование СКЗИ является наиболее простым способом нейтрализации актуальных угроз – (1) передача персональных данных по незащищенным каналам сети связи общего пользования и (2) невозможность иным способом предотвратить несанкционированный доступ к ним при хранении в информационных системах.

А.М. Сычев из ГУБЗИ Банка России отметил, что создаваемая мегарегулятором модель угроз безопасности будет распространена и на некредитные учреждения - страховые компании, микрофинансовые организации, организаторов торгов и др. FinCERT – дело сугубо добровольное, тянуть туда банки насильно никто не будет. «Письмо шестерых» остается действующим документом, но актуальность его сильно снизилась. Сейчас ЦБ не готов его пересматривать, сначала надо завершить работу по созданию модели актуальных угроз, стандартизации для некредитных учреждений, а потом можно будет вернуться и к письму.

Е.А. Войниканис, руководитель направления департамента по взаимодействию с органами государственной власти Ростелекома рассказал об интересной зарубежной практике регулирования отношений, связанных с персональными данными, в том числе – их локализацией. К сожалению, выступление не сопровождалось презентацией, и мне, если честно, было сложно следить за мелькающими названия стан, правовых актов и пр. без их визуализации на экране.

Три выступления были от российских дата центров, одного – отечественного и двух – «дочек» зарубежных, которые состояли из тезисов о счастье оператора после переноса в них обработки персональных данных и не сопровождались хоть каким-то прояснением вопросов обеспечения безопасности, моделирования угроз и выполнения требований нормативных правовых актов к защите данных. Зарубежным ЦОДам вопросов задать возможности не дали, а российскому пару задали, я, в том числе. Ответы были стандартно-поразительными: «Спасибо! Отличный вопрос! Я переадресую его нашим техническим специалистам, и они вам обязательно ответят». Правда, спросить, куда надо отвечать, выступавшая не удосужилась. Кстати, когда я пресек попытки начать выступления с рекламы ЦОДа и его услуг, маркетолог центра уложилась со своей презентацией в 4 минуты вместо 15 отведенных. Господа, никогда не присылайте на такие мероприятия меркетологов. Никогда! Будет только хуже.

Читатели и слушатели знают о моем критическом отношении к выступлению зарубежных спикеров на российских мероприятиях. К сожалению, после конференции оно не изменилось. Из всего услышанного отмечу лишь сообщение советника Совета Европы Марии Микейледу о том, что в новую редакцию ETS-108 войдет норма об обязательном уведомлении оператором соответствующего национального органа о нарушении требований безопасности при обработке персональных данных. Очень интересно.

Мероприятие показалось мне полезным из-за возможности услышать из первых уст новости в части регулирования. Очень хотелось бы видеть и слышать там законодателей (не с приветствием, а с концептуальными положениями) и Минкомсвязи как уполномоченный орган по выработке государственной  политики в области персональных данных – с изложением этой самой политики.

Из недостатков отмечу слишком короткое время на выступления – 10-15 минут. Модерировать с таким интервалом очень сложно, вопросы задавать нет времени, да еще подсказчик-таймер работал неправильно, смущая докладчиков.

В целом же впечатление – позитивное.