Перейти к содержанию

ПЕРСОНАЛЬНЫЕ ДАННЫЕ — ЛОВУШКА ДЛЯ БИЗНЕСА?

Оценить эту тему:


Рекомендуемые сообщения

Похоже, что ко всему привыкший российский ИТ-бизнес “не въехал”, как говорит молодёжь, в то, что за “засада” таится для него в Законе о персональных данных (далее ЗПД). Да простит мне читатель этот масс-медийный сленг, но подпрыгнуть тут есть от чего. Начнём с того, что за нарушение закона ответственность несёт руководитель фирмы и это сулит ему, мягко говоря, серьезные неприятности — от крупного штрафа до тюремного заключения. То есть стимул соблюдать закон есть. Но проблема в том, как его соблюсти? Возьмём хотя бы п. 1 из статьи 7 закона: “1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных”. Ключевое слово здесь “конфиденциальность”. Что значит — обеспечить конфиденциальность? Это означает, что используемая для хранения таких данных вычислительная система и её ПО должны быть сертифицированы под обработку и хранение конфиденциальных данных уполномоченными на то органами. Я не слишком хорошо представляю возможности такого органа по сертификации в обозримые сроки сотен тысяч действующих в России корпоративных компьютерных систем. Если закон будет активно проводиться в жизнь (в чём нет большой уверенности, так как это достаточно трудно сделать технически), то по меньшей мере потребуется проведение сертификации на основе Единой государственной системы сертификации. Закон же о техническом регулировании, действующий с 2003 г., и определяющий порядок сертификации товаров и услуг, хотя и регулирует правила необязательной сертификации в области защиты информации, но к нему пока нет необходимых технических регламентов, которые всё ещё находятся в стадии разработки.

 

Кстати, очень интересно, а как они будут сертифицировать находящиеся в других странах ВЦ инофирм, работающих в России и занимающихся сбором персональных данных в CRM- и ERP-системах? Непонятно также, насколько будет применим закон к госорганизациям — не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.

 

Допустим, в вашей конкретной компании нет CRM с базой клиентов и даже нет отдела кадров с личными делами сотрудников. Не радуйтесь! У вас, как ни крути, есть бухгалтерия. Этого достаточно, чтобы попасть под ЗПД.

 

Если вернуться к сертификации на хранение конфиденциальных данных, то даже такой термин, как “несанкционированный доступ, НСД” юридически полностью не определён. В ряде документов прописано, что это недозволенный доступ с помощью штатных средств компьютерной системы. В таком случае — кража диска с информацией, это уже не НСД. Ну а как же быть с пресловутыми электромагнитными полями? Каждый компьютер, как и каждый человек, имеет свой уникальный электромагнитный портрет и “светится” на достаточно большое расстояние. Те, кто работал в почтовых ящиках в советские времена, помнят обшитые металлом экранированные помещения ВЦ, в которых у меня почему-то всегда болела голова. Так что, снова будем экранироваться?

 

Ну, скажем, такие утечки информации доступны только богатым и влиятельным организациям со спецаппаратурой, и от них могут защищаться только не менее богатые и влиятельные. Но даже если вы обеспечите на фирме физическую охрану периметра, это вряд ли вам поможет, ведь самый существенный изъян кроется в сертификации ПО. Подавляющее большинство фирм использует западный софт — если не КИС, то ОС, СУБД, почтовую систему, сетевое ПО и т. д. Не секрет, что в ПО практически всех западных производителей полно закладок; имеются они, как говорят эксперты, в достаточном количестве и в ПО с открытыми исходными текстами. А поскольку корпоративные системы, как правило, не полностью изолированы от Интернета, то вопрос сертификации ПО становится одним из самых острых. Допустим, что какая-то версия ОС или СУБД после многомесячного исследования сертифицирована. Первый же патч (например, заплатка, закрывающая уязвимость или исправляющая обнаруженную ошибку) сводит эту сертификацию на нет.

 

К сожалению, ни у Мининформсвязи, ни у правительства страны нет ни понимания вопроса, ни программы создания отечественного сертифицированного ПО. (В результате, как мне рассказывают, в открытой печати объявляются тендеры на доработку Windows! А как вам нравятся тендеры, в условиях которых заложены версии Windows, уже не поддерживаемые производителем? Ну и кто будет латать обнаруженные в них уязвимости? И можно ли сертифицировать такие системы?). Супер-пупер!

 

Те попытки создания трёх отечественных аналогов западных ОС, о которых я знаю, бесславно провалились. Причин этому несколько, но главная в том, что у софтверных компаний, работающих на госструктуры, должны быть железные многолетние гарантии финансирования. Нынешняя система ежегодных тендеров в данном случае может использоваться только для выбора ИТ-компании, но если она выбрана — будьте добры! Окажись такая фирма на полгода без денег, и весь проект, на который истрачены десятки миллионов рублей (из нашего кармана, кстати), можно выбрасывать в корзину — программисты разбегутся (а что им остаётся делать?), и систему некому будет поддерживать. Что, собственно, как мне кажется, и случилось. Разумеется, государство, в свою очередь, обязано иметь гарантии от работающих на него фирм и установить их статус, чтобы не повторялись истории типа перехода команды Б. Бабаяна в корпорацию Intel.

 

Разумеется, для появления подобного отечественного ПО необходим грамотный госзаказ и правильное управление им. Если вспомнить, что систему управления “Бураном” в её финальной версии писало всего тридцать человек, то стоимость одного подобного трёхлетнего проекта лежит в пределах весьма реальных 15—25 млн. долл.

 

Закон о персональных данных вступает в силу с 1 января 2007 г. Ещё год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: “А как вы храните персональные (конфиденциальные) данные?” Ну а дальше, как обычно…

 

Впрочем, в ЗПД операторам персональных данных предлагается использовать криптографические средства защиты данных и будет глупо ими не пользоваться.

 

источник

Изменено пользователем Che
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 48
  • Создана
  • Последний ответ

Топ авторов темы

 

Закон о персональных данных вступает в силу с 1 января 2007 г. Ещё год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: “А как вы храните персональные (конфиденциальные) данные?” Ну а дальше, как обычно…

 

источник

17165[/snapback]

 

 

Насчет уведомления прочитайте статью 22 пункт 2 ЗПД

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
Непонятно также, насколько будет применим закон к госорганизациям — не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.

 

 

источник

17165[/snapback]

 

Вообще то положение о персональных данных гос. служащих принято еще в прошлом году 30 мая 2005 года N 609

 

УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННОГО ГРАЖДАНСКОГО СЛУЖАЩЕГО РОССИЙСКОЙ ФЕДЕРАЦИИ И ВЕДЕНИИЕГО ЛИЧНОГО ДЕЛА

 

и поверьте мне мероприятия проводились весьма серьезные(согласно СТР-К-почитайте кстати на досуге - можете заказать в ближайшем представительстве ФСТЭК предварительно доказав что у вас есть возможность для хранения ДСП), если помните мою тему по КТ то и заморочился я только потому что пришлось повозиться с с нашими кадрами.... и сразу скажу, что это весьма дорогостоящее дело.

 

кстати загляните на веточку там же где и обсуждение КТ

Изменено пользователем korwin76
Ссылка на сообщение
Поделиться на другие сайты

Уважаемый korwin76, все что изложенно в данной статье, мнение автора - Э.Пройдакова. Я не во всем с ним согласен, но тем немение считаю что некоторые его высказывания очень правильные. Речь ведь дет о том, что закон есть, а методов его реализации нет (как это обычно в Росии происходит). Плюс еще полнейшее непонимания руководства многих коммерчиских и не только структур, чего от них хотят и каким образом этого достичь. Сам недавно был свидетелем того, как знакомому комерсанту втюхивали несертифицированные СЗИ в ЛВС, хотя данная ЛВС готовилась под атестацию во ФСТЭК, и поверьте мне - втюхали бы, если мы не вмешались.

 

P. S. А СТР-К я читал, и не на досуге а по роду прямой своей деятельности. А досуг... досуг он коллега все-таки уж для другого... style_emoticons/default/smile3.gif

Ссылка на сообщение
Поделиться на другие сайты

Вообщето техническая защита это лицензируемый вид деятельности, и если то что вы говорите твАрил лецензиат, то можно строчить на него жалобу и инициировать отзыв лицензии, если это левая контора и их нашли по принципу чем дешевле те лучше то это проблема того кто покупал, а вообще каждый должен заниматься своим делом, и если кто то озадачился техническими средствами защиты информации без специалистов там ловить нечего...

Ссылка на сообщение
Поделиться на другие сайты

а насчет отсутсвия методов реализации целиком и полностью с вами согласен, все кто занимался аттестацией объектов ИТ под гос тайну получили лицензии под КИ и цены ломят не ниже.... а требования под КИ и ГТ почти одинаковые а объемы ......так что кормушка будет та еще особенно в свете закона о персональных данных, хотя можно было давно уже притягивать за несоблюдение перечень то уже давно был... просто у тех же Тсссс небудем говорить кого сидят командиры а не специалисты и кроме 0126 ничего не знают и самое забавное знать не хотят :)

Изменено пользователем korwin76
Ссылка на сообщение
Поделиться на другие сайты
Вообщето техническая защита это лицензируемый вид деятельности, и если то что вы говорите твАрил лецензиат, то можно строчить на него жалобу и инициировать отзыв лицензии, если это левая контора и их нашли по принципу чем дешевле те лучше то это проблема того кто покупал, а вообще каждый должен заниматься своим делом, и если кто то озадачился техническими средствами защиты информации без специалистов там ловить нечего...

17229[/snapback]

По моему, если ты оказываешь услуги, то лицензия нужна, а для себя - ненадо...

или чего нового намудрили?

Ссылка на сообщение
Поделиться на другие сайты

там хитро написано

 

от 15 августа 2006 г. N 504 положение о лицензировании .....

 

 

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.

2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

 

то есть нигде не написано что лицензируются только те кто этим зарабатывает....

 

вот такая ж....

Изменено пользователем korwin76
Ссылка на сообщение
Поделиться на другие сайты

суть в том что если ты захочешь узаконить все прведенные тобй мероприятия по тех защите ты либо должен обратиться к лицензиату, который возьмет с тебя N руб за средства + N*(зависит от количества конкурентов :) за настройку всего этого, проведение аттестации и выдачу аттестата соответствия. Либо сам получить лицензию, но если ты не собираешся этим зарабатывать то смысла нет капитальные затраты на технику невье.... большие вобщем.

 

 

З. Ы. По первой части моего высказывания это делать в обязаловку для защиты конфиденциальной информации которуюю государство обязывает защищать (к вопросу о перс. данных). Под Коммерческую аттестат получать не надо, а вот можно ли без лицензии обеспечивать тех. защиту фиг знает никто чет аргументированно мне ответить не может....

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...