Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.
1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
3. На bankir.ru коллега поделился успешным опытом прохождения проверки и тем, как она проходила. Позитивно. Правда, меня удивило требование РКН иметь согласие кандидатов на замещение вакантных должностей. По закону-то не надо - ст.6.1.5 - обработка ПДн необходима для заключения договора по инициативе субъекта. Тут вроде как инициатива субъекта на заключение трудового договора. Я уже не говорю про конклюдентное согласие на обработку ПДн в резюме для целей замещения вакантной должности. Кандидат для этого и посылает свое резюме и самим фактом его отправки дает согласие...
4. Ну и напоследок. Евгений Шауро поделился своими впечатлениями от платного семинара ЦБ по НПС, на котором выступал Андрей Петрович Курило. Он перешел из ГУБЗИ в Департамент регулирования расчетов Банка России и отвечает за регулирование ИБ в НПС. В заметке есть интересные моменты и по отчетности, и по будущему СТО, и про наполнение реестра операторов платежных систем, и про многое другое. Также Курило А.П. напомнил, что банкам стоит активнее задавать свои вопросы. Как через АРБ, так и через Интернет-приемную ЦБ (правда, на момент написания этого поста она не работала).
1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
- Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал только оформительские замечания (навроде "убрать таблицы и переписать все словами").
- Из проекта Постановления по уровням защищенности скорее всего исчезнет понятие категории нарушителей - его заменят (предварительно) на уровни угроз. Правда, смысл реально от этого не поменяется. На выходе будут 4 уровня защищенности. При этом, каким-то пока непонятным пока еще способом уровни защищенности будут выводится из класса ИСПДн и перечня актуальных угроз. Я так и не смог себе этого представить.
- Возможно (тут я уже скорее фантазирую, чем опираюсь на факты), что упомянутый выше уровень угрозы будет опираться на разрабатываемый в настойщий момент документ по моделированию угроз. Это будет то ли методика для федеральных органов исполнительных власти, то ли уже готовые модели угроз. Последнее менее вероятно, но такой вариант тоже озвучивался. Мне он лично нравится больше (проще работать с уже готовым перечнем угроз), но допускаю, что для уменьшения объема работы остановятся на общей методике моделирования.
- Постановление по требованиям по безопасности ПДн устанавливает некий базовый набор требований для всех уровней защищенности.
- Детализация требований для каждого уровня защищенности в отдельности будет на уровне ведомственных приказов ФСТЭК и ФСБ.
- В зависимости от актуальности угроз какие-то требования по защите для уровней защищенности можно будет невыполнять. Коллеги из ФСБ клятвенно уверяли, что так и будет и что это уже заложено в приказ ФСБ. Тут меня, если честно, гложут сомнения. Во-первых, в том варианте приказа, который я видел, никакой привязки к актуальным угрозам не было - обычное перечисление требований применительно к разным уровням защищенности. А во-вторых, я не понимаю, как можно в почти уже принятом ведомственном приказе учесть то, что еще не разработано?.. Ведь методики определения актуальных угроз, как и самого перечня этих угроз еще нет.
3. На bankir.ru коллега поделился успешным опытом прохождения проверки и тем, как она проходила. Позитивно. Правда, меня удивило требование РКН иметь согласие кандидатов на замещение вакантных должностей. По закону-то не надо - ст.6.1.5 - обработка ПДн необходима для заключения договора по инициативе субъекта. Тут вроде как инициатива субъекта на заключение трудового договора. Я уже не говорю про конклюдентное согласие на обработку ПДн в резюме для целей замещения вакантной должности. Кандидат для этого и посылает свое резюме и самим фактом его отправки дает согласие...
4. Ну и напоследок. Евгений Шауро поделился своими впечатлениями от платного семинара ЦБ по НПС, на котором выступал Андрей Петрович Курило. Он перешел из ГУБЗИ в Департамент регулирования расчетов Банка России и отвечает за регулирование ИБ в НПС. В заметке есть интересные моменты и по отчетности, и по будущему СТО, и про наполнение реестра операторов платежных систем, и про многое другое. Также Курило А.П. напомнил, что банкам стоит активнее задавать свои вопросы. Как через АРБ, так и через Интернет-приемную ЦБ (правда, на момент написания этого поста она не работала).