Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ — ЛОВУШКА ДЛЯ БИЗНЕСА?

Featured Replies

Опубликовано

Похоже, что ко всему привыкший российский ИТ-бизнес “не въехал”, как говорит молодёжь, в то, что за “засада” таится для него в Законе о персональных данных (далее ЗПД). Да простит мне читатель этот масс-медийный сленг, но подпрыгнуть тут есть от чего. Начнём с того, что за нарушение закона ответственность несёт руководитель фирмы и это сулит ему, мягко говоря, серьезные неприятности — от крупного штрафа до тюремного заключения. То есть стимул соблюдать закон есть. Но проблема в том, как его соблюсти? Возьмём хотя бы п. 1 из статьи 7 закона: “1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных”. Ключевое слово здесь “конфиденциальность”. Что значит — обеспечить конфиденциальность? Это означает, что используемая для хранения таких данных вычислительная система и её ПО должны быть сертифицированы под обработку и хранение конфиденциальных данных уполномоченными на то органами. Я не слишком хорошо представляю возможности такого органа по сертификации в обозримые сроки сотен тысяч действующих в России корпоративных компьютерных систем. Если закон будет активно проводиться в жизнь (в чём нет большой уверенности, так как это достаточно трудно сделать технически), то по меньшей мере потребуется проведение сертификации на основе Единой государственной системы сертификации. Закон же о техническом регулировании, действующий с 2003 г., и определяющий порядок сертификации товаров и услуг, хотя и регулирует правила необязательной сертификации в области защиты информации, но к нему пока нет необходимых технических регламентов, которые всё ещё находятся в стадии разработки.

 

Кстати, очень интересно, а как они будут сертифицировать находящиеся в других странах ВЦ инофирм, работающих в России и занимающихся сбором персональных данных в CRM- и ERP-системах? Непонятно также, насколько будет применим закон к госорганизациям — не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.

 

Допустим, в вашей конкретной компании нет CRM с базой клиентов и даже нет отдела кадров с личными делами сотрудников. Не радуйтесь! У вас, как ни крути, есть бухгалтерия. Этого достаточно, чтобы попасть под ЗПД.

 

Если вернуться к сертификации на хранение конфиденциальных данных, то даже такой термин, как “несанкционированный доступ, НСД” юридически полностью не определён. В ряде документов прописано, что это недозволенный доступ с помощью штатных средств компьютерной системы. В таком случае — кража диска с информацией, это уже не НСД. Ну а как же быть с пресловутыми электромагнитными полями? Каждый компьютер, как и каждый человек, имеет свой уникальный электромагнитный портрет и “светится” на достаточно большое расстояние. Те, кто работал в почтовых ящиках в советские времена, помнят обшитые металлом экранированные помещения ВЦ, в которых у меня почему-то всегда болела голова. Так что, снова будем экранироваться?

 

Ну, скажем, такие утечки информации доступны только богатым и влиятельным организациям со спецаппаратурой, и от них могут защищаться только не менее богатые и влиятельные. Но даже если вы обеспечите на фирме физическую охрану периметра, это вряд ли вам поможет, ведь самый существенный изъян кроется в сертификации ПО. Подавляющее большинство фирм использует западный софт — если не КИС, то ОС, СУБД, почтовую систему, сетевое ПО и т. д. Не секрет, что в ПО практически всех западных производителей полно закладок; имеются они, как говорят эксперты, в достаточном количестве и в ПО с открытыми исходными текстами. А поскольку корпоративные системы, как правило, не полностью изолированы от Интернета, то вопрос сертификации ПО становится одним из самых острых. Допустим, что какая-то версия ОС или СУБД после многомесячного исследования сертифицирована. Первый же патч (например, заплатка, закрывающая уязвимость или исправляющая обнаруженную ошибку) сводит эту сертификацию на нет.

 

К сожалению, ни у Мининформсвязи, ни у правительства страны нет ни понимания вопроса, ни программы создания отечественного сертифицированного ПО. (В результате, как мне рассказывают, в открытой печати объявляются тендеры на доработку Windows! А как вам нравятся тендеры, в условиях которых заложены версии Windows, уже не поддерживаемые производителем? Ну и кто будет латать обнаруженные в них уязвимости? И можно ли сертифицировать такие системы?). Супер-пупер!

 

Те попытки создания трёх отечественных аналогов западных ОС, о которых я знаю, бесславно провалились. Причин этому несколько, но главная в том, что у софтверных компаний, работающих на госструктуры, должны быть железные многолетние гарантии финансирования. Нынешняя система ежегодных тендеров в данном случае может использоваться только для выбора ИТ-компании, но если она выбрана — будьте добры! Окажись такая фирма на полгода без денег, и весь проект, на который истрачены десятки миллионов рублей (из нашего кармана, кстати), можно выбрасывать в корзину — программисты разбегутся (а что им остаётся делать?), и систему некому будет поддерживать. Что, собственно, как мне кажется, и случилось. Разумеется, государство, в свою очередь, обязано иметь гарантии от работающих на него фирм и установить их статус, чтобы не повторялись истории типа перехода команды Б. Бабаяна в корпорацию Intel.

 

Разумеется, для появления подобного отечественного ПО необходим грамотный госзаказ и правильное управление им. Если вспомнить, что систему управления “Бураном” в её финальной версии писало всего тридцать человек, то стоимость одного подобного трёхлетнего проекта лежит в пределах весьма реальных 15—25 млн. долл.

 

Закон о персональных данных вступает в силу с 1 января 2007 г. Ещё год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: “А как вы храните персональные (конфиденциальные) данные?” Ну а дальше, как обычно…

 

Впрочем, в ЗПД операторам персональных данных предлагается использовать криптографические средства защиты данных и будет глупо ими не пользоваться.

 

источник

Изменено пользователем Che

  • Ответов 48
  • Просмотры 18,5т
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

 

Закон о персональных данных вступает в силу с 1 января 2007 г. Ещё год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: “А как вы храните персональные (конфиденциальные) данные?” Ну а дальше, как обычно…

 

источник

17165[/snapback]

 

 

Насчет уведомления прочитайте статью 22 пункт 2 ЗПД

 

 

 

Опубликовано
Непонятно также, насколько будет применим закон к госорганизациям — не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.

 

 

источник

17165[/snapback]

 

Вообще то положение о персональных данных гос. служащих принято еще в прошлом году 30 мая 2005 года N 609

 

УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННОГО ГРАЖДАНСКОГО СЛУЖАЩЕГО РОССИЙСКОЙ ФЕДЕРАЦИИ И ВЕДЕНИИЕГО ЛИЧНОГО ДЕЛА

 

и поверьте мне мероприятия проводились весьма серьезные(согласно СТР-К-почитайте кстати на досуге - можете заказать в ближайшем представительстве ФСТЭК предварительно доказав что у вас есть возможность для хранения ДСП), если помните мою тему по КТ то и заморочился я только потому что пришлось повозиться с с нашими кадрами.... и сразу скажу, что это весьма дорогостоящее дело.

 

кстати загляните на веточку там же где и обсуждение КТ

Изменено пользователем korwin76

Опубликовано
  • Автор

Уважаемый korwin76, все что изложенно в данной статье, мнение автора - Э.Пройдакова. Я не во всем с ним согласен, но тем немение считаю что некоторые его высказывания очень правильные. Речь ведь дет о том, что закон есть, а методов его реализации нет (как это обычно в Росии происходит). Плюс еще полнейшее непонимания руководства многих коммерчиских и не только структур, чего от них хотят и каким образом этого достичь. Сам недавно был свидетелем того, как знакомому комерсанту втюхивали несертифицированные СЗИ в ЛВС, хотя данная ЛВС готовилась под атестацию во ФСТЭК, и поверьте мне - втюхали бы, если мы не вмешались.

 

P. S. А СТР-К я читал, и не на досуге а по роду прямой своей деятельности. А досуг... досуг он коллега все-таки уж для другого... style_emoticons/default/smile3.gif

Опубликовано

Вообщето техническая защита это лицензируемый вид деятельности, и если то что вы говорите твАрил лецензиат, то можно строчить на него жалобу и инициировать отзыв лицензии, если это левая контора и их нашли по принципу чем дешевле те лучше то это проблема того кто покупал, а вообще каждый должен заниматься своим делом, и если кто то озадачился техническими средствами защиты информации без специалистов там ловить нечего...

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.