Итак, завершился первый день курсов по обеспечению безопасности персональных данных от софтлайна.
Понравилось, что в отличии от курсов в ОмГУ, на которых я был в 2011-м году, всё происходит намного быстрее и весь курс, в целом, имеет более практическую направленость. Сегодня, за 5 часов, мы бегло прошлись по самому 152 ФЗ и новому постановлению правительства 1119 от 01.11.2012. И это ещё одно отличие от ОмГУ - там мы в декабре 2011-го изучали "старую" версию 152 ФЗ, без "свежих" на тот момент поправок от 25.07.2011. Так же, мы бегло рассмотрели возможности SecretNet и VipNet. В принципе, об использовании SecretNet'а можно было бы подумать, если бы все файлы на шарах были рассортированы по категориям.
Особенно же интересны сегодня были два момента. Первый - это является ли фотогрфия в пропуске биометрическими ПДн или нет. В интернете единого мнения нет. Одни говорят, что по ГОСТу к биометрии можно отнести только один тип фотографий - те, которые используются в загранпаспорте и им подобные - т.е., хранящих, помимо изображения, ещё кучу дополнительных данны (набор контрольных точек, пол и т.д.). Другие говорят, что если эта фотография используется для "установления личности субъекта персональных данных", то она, согласно 152ФЗ (и ПП 1119) является биометрией (ст. 5 ПП 1119). Наш лектор сторонник первой точки зрения. Он говорит, что вообще определение "установление личности" можно найти только в уголовном кодексе и оно возможно только по "настоящей" биометрической фотографии, при наличии специального оборудования. То же, чем занимается охранник на КПП - это "удостоверение тождественности
личности гражданина с лицом,
изображенным на фотографии", что отличается от "установления личности" как идентификация от аутентификации. Т.е. он признаёт, что человек на фото совпадает с человеком, предъявляющим пропуск, но не гарантирует, что в пропуске всё верно (т.е. он не знает, правильно ли там указана фамилия, например). В общем, об этом стоит подумать.
Второй момент - это озвученная лектором позиция ФСТЭК о выходе новых подзаконных актов. "Считайте все выходящие нормативные документы дополнением к уже вышедшим ранее, если явно не указанно обратное". Т.е., в ПП 1119 явно указано, что ПП 781 утратило силу, соответственно, само ПП 781 принимать во внимание не требуется, а вот, например, приказ 58 (дочерний от ПП 781) остаётся действительным до тех пор, пока его явно не опишут как "утративший силу". Позиция неприятная для меня, как представителя оператора, но хотя бы понятная. В принципе, пока в плане проверок нас нет, будем продолжать ждать выхода новых документов.
Ну и ещё один забавный момент. Лектор при мне позвонил какому-то знакомому, работающему у Челябинского лицензиата по ТЗКИ, и спросил сколько будет стоить разработать комплект документации по 152 ФЗ для предприятя, предположительно К2-К3 и получил ответ: "20-25 тыр". Нам же, местные, предлагают разработать комплект документов за 500 тыр (цифра из реального коммерческого предложения). Вот такие дела. Будем ждать следующего дня.
понедельник, 11 февраля 2013 г.
День первый
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий