Президент НОСТРОЙ Антон Глушков довел до строительных СРО — операторов НРС информацию о необходимости аттестации рабочих мест сотрудников, имеющих доступ в АИС НРС, держателем которой является возглавляемое им национальное объединение СРО.

В уведомлении, которое операторы НРС получили 22 января, сообщается, что в начале прошлого года НОСТРОЙ провел аттестационные испытания информационной системы персональных данных Национального реестра специалистов по организации строительства (АИС НРС) и получил заключение на соответствие требованиям по безопасности информации для ИСПДн третьего уровня защищенности (Аттестат соответствия №19/3 – ИЗ-П от 30 мая 2019 г. выдан АО «Инфозащита»).

Как сообщает Президент НОСТРОЙ, в соответствии с полученным заключением, работать с Национальным реестром специалистов могут только СРО, получившие аттестаты соответствия для ИСПДн не ниже третьего уровня. Отметим, что предоставить в НОСТРОЙ копию аттестата соответствия требуется не позднее Дня всех влюбленных – 14 февраля.

«Учетные записи для входа в АИС «НРС», рабочие места которых не прошли аттестационные испытания, будут заблокированы 15 февраля 2020 года. Для возобновления доступа к АИС «НРС» Оператору НРС необходимо предоставить в Ассоциацию копию аттестата соответствия требованиям безопасности информации, предъявляемым к ИСПДн не ниже 3 (третьего) уровня защищенности персональных данных», — говорится в уведомлении.

Стоит ли упоминать, что подготовил данное уведомление директор департамента информационных технологий и анализа данных НОСТРОЙ Валерий Александрович Карпов? Последний, однако, не упомянул, сколько стоит получение заветного аттестата третьего уровня безопасности.

Тему внезапного повышения требований к СРО — операторам НРС со стороны НОСТРОЙ мы уже подробно освещали в публикации «Кот из дома – мыши в пляс». Однако новая эпистола с Малой Грузинской улицы ставит четыре новых вопроса:

• Если аттестат соответствия был получен в мае 2019 года, почему президент НОСТРОЙ обеспокоился данной темой только сейчас?
• Почему рассылку столь важного письма, которое было составлено и подписано в период отпуска Антона Николаевича Глушкова (исх. 01-32/20 от 14.01.2020), дирекция разослала по СРО лишь спустя целую неделю (22.01.2020)?
• Известно ли г-ну Карпову, что требования к наличию третьего или четвертого уровня защищенности ИСПДн напрямую связаны с количеством субъектов персональных данных, которые обрабатывает оператор?

Ведь если операторы, работающие с данными более 100 000 субъектов, должны соответствовать третьему уровню, то для работы с гораздо меньшим числом субъектов СРО — операторам НРС достаточно подтвердить соответствие 4 (четвертому) уровню требований защищенности. Тем более, что директивных норм обязывающих операторов иметь тот же уровень защищенности, что и система, не существует. Другими словами, требование НОСТРОЙ о получении аттестата третьего уровня явно избыточно.

• И, пожалуй, самое важное. Известно ли авторам письма, что согласно Федеральному закону 152-ФЗ «О персональных данных» и Приказу ФСТЭК России от 18.02.2013 г. № 21 есть два способа подтверждения соответствия требованиям безопасности? А именно: добровольная аттестация и оценка соответствия, которую организует и проводит сам оператор ПДн (например, в форме совместной оценки комиссией, состоящей из представителей разработчика и заказчика системы защиты персональных данных (СЗПДн).

Другими словами, оформить легитимное подтверждение рабочего места оператора НРС требованиям безопасности ПДн саморегулируемые организации могут и без привлечения третьих лиц.

Вместо вывода предлагаем Пытливому читателю поразмыслить: соответствует ли письмо президента НОСТРОЙ об отключении СРО — операторов НРС от АИС НРС на основании требований по наличию аттестата третьего уровня безопасности Приоритетным направлениям деятельности НОСТРОЙ в части защиты интересов (в том числе финансовых) строительных саморегулируемых организаций? Или письмо и изложенные в нем требования направлены на защиту интересов кого-то другого?