Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 1

Аватар пользователя mezp11@gmail.com
Автор: Емельянников Михаил, Консалтинговое агентство «Емельянников, Попова и партнеры»
(26)
()
Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте. И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.

Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.

Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.

В ЦФО документ называется «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление о стратегии контрольной деятельности ведомства в новых реалиях.

Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung. Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.

Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари». В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.

Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям. Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий J). Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).

Следующая группа – продавцы автомобилей и ритейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.

Ритейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».

Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.

Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?

Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.

Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.

Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же - KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда). Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения. Тоже темы глубокие.

ООО «Телеконтакт» - крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.

В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.

О СЗФО (включая Вологду) и УрФО – в завтрашнем посте, а то очень много букв получается.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Беспокоит эффективность технической защиты ПДн в перечисленных организациях. Её-то кто будет проверять?

up
45 users have voted.
Аватар пользователя Атаманов Геннадий

А у меня "встречный" вопрос: а зачем защищать ПДн?
Все эти т.н. ПДн нужны для оказания субъектам ПДн услуг и в них нет ничего, что могло бы причинить им вред. От чего бы и стоило защищать ПДн, так это от некорректного уничтожения и искажения. Но именно это РКН проверять не будет.
И "попутный" ответ (вернее - гипотеза): ТЗИ будет проверять РКН. Не сразу, конечно. Но, по всей видимости, они в этом году добьются права проверять состояние ТЗ ПДн. В том числе и благодаря этим проверкам.

up
38 users have voted.
Аватар пользователя mezp11@gmail.com

Геннадий, что будет, сказать вообще трудно. Судя по думским планам, постановления правительства по проверкам вообще не будет, а РКН самостоятельно будет определять свои полномочия. И вот тогда...

up
28 users have voted.
Аватар пользователя Александр Германович

"Вопрос, конечно, интересный" (с)
Предлагаете игнорировать ФЗ-152? Креативно.
По повду гипотезы посмотрим. Добиваться прав проверки РКН, конечно, будет, но боюсь, что ФСТЭК и особенно ФСБ будут сильно возражать.

up
39 users have voted.
Аватар пользователя mezp11@gmail.com

Это, я так понимаю, вопрос не мне, а Г.Атаманову?

up
35 users have voted.
Аватар пользователя Александр Германович

Да, разумеется :)
Коммент третьего уровня.

up
41 user has voted.
Аватар пользователя Атаманов Геннадий

Игнорировать нельзя отменить!
Кто читал мои комментарии к 152-ФЗ наверняка знают, где бы поставил запятую я. Для тех, кто не читал, уточняю: закон можно не выполнять, выполнять частично, но игнорировать – нельзя! Учитывая, что 152-ФЗ – закон антиконституционный (и ещё много чего анти-), конечно же его нужно было бы отменить.

up
30 users have voted.
Аватар пользователя Александр Германович

На мой взгляд, специалист должен рассуждать не о том, надо или не надо выполнять закон, а о том, как оптимально выполнить положения действующего закона.
Можно и о гос. тайне потеоретизировать: "все ли у нас обосновано засекречивается?", но это будет беспредметный разговор.

up
33 users have voted.
Аватар пользователя Атаманов Геннадий

Всё встанет на свои места, если в Вашем тексте заменить слово "специалист" на слово "солдат".
Мы же здесь собрались как специалисты в своём деле, а не как должностные лица, именно для того, чтобы высказывать свои мысли и идеи, и этим помогать работникам госструктур принимать правильные решения. Если мы не будем этого делать, то кто тогда?

up
38 users have voted.
Аватар пользователя Александр Германович

Эти мысли и идеи мало помогают "солдатам" проходить проверки регуляторов. Вы предлагаете начинать разговор с регуляторами с того, что закон неконституционен?
Это Вам в Госдуму надо.

up
30 users have voted.
Аватар пользователя Атаманов Геннадий

1. Наличие в Думе грамотных специалистов (это я не о себе, а о том, что они там всё-таки есть) не гарантирует принятия грамотных законов.
2. Я писал и в Думу, и в СФ, и в "Право и безопасность", и в "Инсайд. Защита информации", и на BISA, и ещё много куда и где. Но пока "рота тупо стучит каблуками" выполняя глупые приказы, толков не будет.
3. Как поступать в отношении регуляторов - в конце. Повторяться не буду.

up
53 users have voted.
Аватар пользователя Александр Германович

Вы умный, а кругом дураки "стучат каблуками". Тяжело.

up
38 users have voted.
Аватар пользователя Атаманов Геннадий

Не нужно приписывать мне того, чего я не говорил и не писал. А чтобы понять мою метафору, следует посмотреть фильм "Доживём до понедельника". Может тогда всё встанет на свои места.

up
34 users have voted.
Аватар пользователя Атаманов Геннадий

По поводу возражений со стороны ФСТЭК и ФСБ: их не было и, как представляется, не будет. Возразил тогда только Минэкономразвития. Это он "завернул" инициативу РКН, а не ФСТЭК и ФСБ. Но как показывает практика, в РКН ребята настырные, они своего добьются.

up
42 users have voted.
Аватар пользователя mezp11@gmail.com

Геннадий, Вы точно знаете, что их не было? У меня совсем другая информация, и из первых рук.

up
31 user has voted.
Аватар пользователя Атаманов Геннадий

Я сужу только по информации, ставшей официальной. Другой не располагаю.

up
42 users have voted.
Аватар пользователя mezp11@gmail.com

Это вряд ли. У РКН полнмочий нет, ва ФСБ и ФСТЭК не получили

up
39 users have voted.
Аватар пользователя Александр Германович

Отсюда и беспокойство. Иностранные организации остались без присмотра в такой важной сфере, как защита ПДн. Вряд ли это может долго продолжаться.

up
27 users have voted.
Аватар пользователя mezp11@gmail.com

См. ответ Г.Атаманову: "Судя по думским планам, постановления правительства по проверкам вообще не будет, а РКН самостоятельно будет определять свои полномочия. И вот тогда..." это может и перестать продолжаться :-)
 

up
32 users have voted.
Аватар пользователя Александр Германович

А разве без думских планов Правительство не может принять постановление? Скажем, если с проектом постановления выйдет то же Минкомсвязи?

up
33 users have voted.
Аватар пользователя mezp11@gmail.com

Уже Минсвязи выходилоо - еще в мае я об этом писал http://emeliyannikov.blogspot.com/2015/05/blog-post.html. Но бумсик, похожде не удался - его так и приняли до сих пор. А про инициативу написал А.Лукацкий http://www.securitylab.ru/blog/personal/Business_without_danger/213333.php

up
40 users have voted.
Аватар пользователя Атаманов Геннадий

Как ИБешник ТЗИшникам: цель у субъектов этого процесса не защита ПДн. Даже у РКН, как представляется, их как минимум две: 1) коррупционная (через институт безвозмездных контролёров); 2) административно-хозяйственная (увеличение собственной значимости и штатов). Защита ПДн – это повод, но не цель.

up
37 users have voted.
Аватар пользователя Александр Германович

И что делать на практике? Не защищать ПДн, ссылаясь на Ваше мнение? Вы уверены, что это устроит регуляторов?

up
44 users have voted.
Аватар пользователя Атаманов Геннадий

Думаю, умных и честных устроит вполне. Для остальных - писать горы "макулатуры", которую они требуют. А что действительно нужно делать, чтобы защитить информационный ресурс, какой ресурс и от чего защищать, я очень подробно изложил в своих статьях. Все в открытом доступе.

up
36 users have voted.
Аватар пользователя Александр Германович

Мне кажется, Вы переоцениваете свою роль в сфере ИБ.

up
42 users have voted.
Аватар пользователя Атаманов Геннадий

Время покажет.

up
33 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.