Президент НОСТРОЙ Антон Глушков довел до строительных СРО — операторов НРС информацию о необходимости аттестации рабочих мест сотрудников, имеющих доступ в АИС НРС, держателем которой является возглавляемое им национальное объединение СРО.
В уведомлении, которое операторы НРС получили 22 января, сообщается, что в начале прошлого года НОСТРОЙ провел аттестационные испытания информационной системы персональных данных Национального реестра специалистов по организации строительства (АИС НРС) и получил заключение на соответствие требованиям по безопасности информации для ИСПДн третьего уровня защищенности (Аттестат соответствия №19/3 – ИЗ-П от 30 мая 2019 г. выдан АО «Инфозащита»).
Как сообщает Президент НОСТРОЙ, в соответствии с полученным заключением, работать с Национальным реестром специалистов могут только СРО, получившие аттестаты соответствия для ИСПДн не ниже третьего уровня. Отметим, что предоставить в НОСТРОЙ копию аттестата соответствия требуется не позднее Дня всех влюбленных – 14 февраля.
«Учетные записи для входа в АИС «НРС», рабочие места которых не прошли аттестационные испытания, будут заблокированы 15 февраля 2020 года. Для возобновления доступа к АИС «НРС» Оператору НРС необходимо предоставить в Ассоциацию копию аттестата соответствия требованиям безопасности информации, предъявляемым к ИСПДн не ниже 3 (третьего) уровня защищенности персональных данных», — говорится в уведомлении.
Стоит ли упоминать, что подготовил данное уведомление директор департамента информационных технологий и анализа данных НОСТРОЙ Валерий Александрович Карпов? Последний, однако, не упомянул, сколько стоит получение заветного аттестата третьего уровня безопасности.
Тему внезапного повышения требований к СРО — операторам НРС со стороны НОСТРОЙ мы уже подробно освещали в публикации «Кот из дома – мыши в пляс». Однако новая эпистола с Малой Грузинской улицы ставит четыре новых вопроса:
- Если аттестат соответствия был получен в мае 2019 года, почему президент НОСТРОЙ обеспокоился данной темой только сейчас?
- Почему рассылку столь важного письма, которое было составлено и подписано в период отпуска Антона Николаевича Глушкова (исх. 01-32/20 от 14.01.2020), дирекция разослала по СРО лишь спустя целую неделю (22.01.2020)?
- Известно ли г-ну Карпову, что требования к наличию третьего или четвертого уровня защищенности ИСПДн напрямую связаны с количеством субъектов персональных данных, которые обрабатывает оператор?
Ведь если операторы, работающие с данными более 100 000 субъектов, должны соответствовать третьему уровню, то для работы с гораздо меньшим числом субъектов СРО — операторам НРС достаточно подтвердить соответствие 4 (четвертому) уровню требований защищенности. Тем более, что директивных норм обязывающих операторов иметь тот же уровень защищенности, что и система, не существует. Другими словами, требование НОСТРОЙ о получении аттестата третьего уровня явно избыточно.
- И, пожалуй, самое важное. Известно ли авторам письма, что согласно Федеральному закону 152-ФЗ «О персональных данных» и Приказу ФСТЭК России от 18.02.2013 г. № 21 есть два способа подтверждения соответствия требованиям безопасности? А именно: добровольная аттестация и оценка соответствия, которую организует и проводит сам оператор ПДн (например, в форме совместной оценки комиссией, состоящей из представителей разработчика и заказчика системы защиты персональных данных (СЗПДн).
Другими словами, оформить легитимное подтверждение рабочего места оператора НРС требованиям безопасности ПДн саморегулируемые организации могут и без привлечения третьих лиц.
Вместо вывода предлагаем Пытливому читателю поразмыслить: соответствует ли письмо президента НОСТРОЙ об отключении СРО — операторов НРС от АИС НРС на основании требований по наличию аттестата третьего уровня безопасности Приоритетным направлениям деятельности НОСТРОЙ в части защиты интересов (в том числе финансовых) строительных саморегулируемых организаций? Или письмо и изложенные в нем требования направлены на защиту интересов кого-то другого?
Семейный бизнес то как-то надо развивать. Выделение пяти миллионов из сметы на прокторинг — то притормозились походу, вот и засуетились 😉
Да что там у вас в нострой происходит если такие вещи обсуждаются не до, а после официальных писем?! Прядеин&Глушков вообще с людьми разговаривать перестали??