Страницы

"Письма счастья" от Роскомнадзора

Как нарваться на внеплановую проверку?
Очень просто. Достаточно не ответить на письмо Роскомнадзора, которые он рассылает операторам с требованием:
1) уведомить или предоставить справку о причинах не уведомления;
2) предоставить документы из ч.1 ст.18.1 152-ФЗ (ч.4 данной статьи как раз даёт им право на подобные запросы).
Если письмо вы проигнорировали и ни уведомление ни справку не послали - получите постановление о нарушении ст. 19.7 КоАП.
В результате вы сидите со штрафом и предписанием все исправить к повторной проверке, а Роскомнадзор выполнил свою государственную функцию не вставая со стула. Зверски эффективно! 
Пример тут и тут

Методические рекомендации ФСТЭК ЮФО

Практически одновременно с 58 приказом большого ФСТЭКа, ФСТЭК ЮФО выпустил и свой документ по защите ПДн, основанный на отмененном четверокнижие.
Спустя полгода, в июне 2010 года были выпущены обновленные Методические рекомендации ФСТЭК ЮФО уже на базе 58 приказа, о которых я и хотел бы сегодня рассказать.
Документ, в целом, неплохой. Его основным существенным бонусом является наличие аж 13 шаблонов документов (!). 
Вот они:
1. Акт классификации;
2. Матрица доступа;
3. Приказ об организации работ по безопасности ПДн;
4. Список сотрудников, имеющих доступ к ПДн;
5. Инструкция по учёту лиц, допущенных к работе с ПДн;
6. Модель угроз;
7. Требования по обеспечению безопасности ПДн;
8. Журнал учёта средств защиты информации;
9. Заключение о возможности эксплуатации средств защиты информации;
10. Инструкция по организации резервирования и восстановления;
11. Журнал учёта машинных носителей ПДн;
12. Акт обследования ИСПДн;
13. Описание системы защиты ПДн в ИСПДн.

За что я люблю этот док, так это за наличие шаблонов аттестационных документов и достаточно подробное описание процесса аттестации. Так же документ прописывает ответственность лицензиатов за соответствие системы защиты ПДн требованиям ФСТЭК и даже ссылается на наказание в виде статьи 723 ГК РФ, что порой бывает полезно :).
Аутсорсинг обработки ПДн все популярней и популярней с каждым днем, однако лицензии ФСТЭК есть далеко не у всех компаний, предоставляющих такие услуги. Обосновать необходимость подобной лицензии поможет п.3.2. документа, который говорит о том, что аутсорсер должен быть лицензиатом ФСТЭК (кстати перечень лицензиатов есть здесь).

Резюмируя всё вышесказанное, могу сказать, что спустя полтора года документ по-прежнему актуален и порой просто незаменим. А вот и он.

РКН против ДСЗН, или что же все-таки такое "инвалидность".

Считать ли инвалидность информацией о здоровье или не считать?
Этот вопрос, зачастую, ведет к следующему - "К1 или К2?". А этот, в свою очередь, приводит к вопросу "нужен сертификат по НДВ или не нужен?". Последний напрямую влияет на бюджет создаваемой подсистемы ИБ за счёт выбора более дорогих в основном отечественных СЗИ.
Поэтому важность первоначального вопроса нельзя переоценить. Классическая позиция Роскомнадзора заключается в трактовке инвалидности как "сведений о здоровье", тогда как многие операторы считают инвалидность категорией трудоспособности субъекта, что обычно и является целью сбора подобных сведений, ведь не каждую работу инвалид физически способен выполнить.
Оставив за бортом тонкости этой дискуссии, приведу пример постановления суда.
Дело было так. РКН произвел проверку и выявил обработку "сведений о состоянии здоровья". Написал предписание, которое оспорил в суде один из Центров занятости Краснодарского края. 
Суд они выграли. Хотя право в нашей стране и не прецедентное, однако подобное решение суда может кому-нибудь очень пригодиться. 
Если нужен оригинал - пишите, пожалуйста, в комментариях.

ВТО и криптография

Недавно наткнулся на такой вот документ:
Документ сам по себе интересный. Однако особо интересны места про криптографию и стандартизацию.
1. С момента вступления России в ВТО продукция с криптографической технологией будет ввозиться без лицензии на импорт (явный плюс для западных вендоров типа Cisco, Juniper, 3com, Zyxel  и т.д.).
2. Будут отменены лицензии на импорт более чем десятка видов продукции, содержащую криптографическую информацию (в список вошли цифровые устройства электронной подписи, персональные смарт-карты или беспроводные радиооборудования и т.д.).
3. Российская Федерация гарантирует, что все законодательство в области технического регулирования, стандартов и процедуры оценки соответствия будут удовлетворять нормам Соглашения ВТО о техническом регулировании. (точнее Соглашения ВТО по техническим барьерам в торговле).
4. К концу 2015 года, обязательные требования к телекоммуникационным оборудованиям, используемым в общедоступных сетях, будут сведены к требованиям технического регламента, принятого Евразийской экономической комиссией и в соответствии с соглашениями Таможенного союза.
5. Российская Федерация регулярно пересматривает перечни продуктов, подлежащих обязательной сертификации, и требующих заявления о соответствии. Также РФ пересматривает все технические регламенты, применяемые на своей территории (включая Таможенный союз и Евразийское экономическое сообщество) для подтверждения их эффективности, необходимой для достижения задач Федерации в соответствии с Соглашением ВТО о техническом регламенте (фактически это значит что обязательная сертификация может остаться только в областях, связанных с национальной безопасностью, здоровьем граждан и защитой окружающей среды).
Аккредитованные и имеющие сертификат органы будут заменены единым национальным аккредитационным органом не позднее 30 июня 2012 года. Название и иная информация о данном органе будет опубликована на официальном интернет-сайте Россельхознадзора (почему, интересно, выбрали именно Россельхознадзор?) и Комиссии Таможенного союза.

Основная идея всего этого - сделать равные условия на российском рынке для западных и отечественных продуктов, а это значит, что под "оценкой соответствия средств защиты" мы будем понимать любую сертификацию по безопасности любого члена ВТО. Сертификация ФСТЭК и ФСБ выглядит в свете ВТО как чисто протекционистский шаг, который в рамках ВТО  не приемлем.

Не за горами тот день, когда в конкурсе на защиту ПДн какого-нибудь "Департамента..." или "Министерства .." будут красоватся какие-нибудь немецкие, французские или голландские компании...