Обсуждение статьи: Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных» - Форум по вопросам информационной безопасности

Попробую угадать: или все отчитаются, что всё выполнено в соответствии с указанием, или найдут "очередных" крайних для наказания и увольнения.

Хорошая инфа :) Вкусная!

Только вот интересно мне: "устранение необоснованных обременений для операторов персональных данных" и отсутствие требований о необходимости защищать ПДн в организации (у оператора) одно и то же?

Я про это и говорил, просто ещё вчера это прочитал, просто не стал выкладывать на форуме. Зачем расстраивать больших сторонников ужесточений ))

2Некто: поскольку я не ясновидящий, то для оценки явлений смотрю на факты. А факты таковы, что данный закон неработоспособен, непродуман, вместе с принятыми к нему актами - противоречив, весьма мало помогает защитить эти самые данные и т.п. Зато он обязывает операторов тратить кучу денег на "сертифицированные средства", создает возможности по нагибанию этих операторов (т.к. невозможно исполнить противоречивый закон при всем желании) и все в таком духе. То, что ситуация из состояния "полная задница" путем больших усилий (и не в малой степени - организованных усилий банковского сообщества) сегодня со скрипом превращается в состояние "задница но как-то жить можно" - это из разряда "чтобы сделать сделай человека счастливым - сделай ему очень плохо, а потом верни, как было", на большую победу сил добра мало похоже.
В законе не определено даже то, что такое персональные данные. В законе абсолютный дисбаланс интересов оператора и субъекта ПДн - а между прочим, среди операторов есть и социально значимые, так что косвенно он наносит ОЧЕНЬ неиллюзорный ущерб и самим "субъектам". В области медицины, например. А иногда он своими нормами не позволяет организовать некоторые меры защиты тех самых субъектов и их интересов.
Меры защиты в документах сведены к техническим, что является абсурдом само по себе - технические меры не работают без организационных, которые полностью пропущены. Кроме того, меры защиты искуственно сведены к 4-м!!! случаям! На все случаи жизни. При том сведены абсолютно искуственно и без учета реальных угроз. По данной классификации получается, что телефонный справочник области является такой-же критичной информацией, как медицинская база данных. Закон и подзаконные акты не учитывают действительные риски, заменяя их до предела упрощенным механистическим подходом.
Честно говоря, я затрудняюсь вообще сказать, что в этом законе полезного, кроме самого факта, что персональные данные принялись как-то защищать. Ну и документы ФСТЭК хорошие, не спорю - если рассматривать их только как краткие справочники по техническим мерам и угрозам.

По 4 классу - да, защищать надо. Только они уже "как-то" защищаются. Ну, например кабинет на ночь на ключ запирается и сторож есть. Защита должны быть адекватной угрозе, а не идолом, на которого все молятся.

"с какими целями и на каких условиях" - так данные становятся общедоуступными. С ними уже может ознакомиться неограниченый круг лиц по определению, т.е. к ним полностью неприменима характеристика конфиденциальности. А обязанности по обеспечению целостности-достоверности и т.п. у него остаются и так. Более того, если специально не прописать в соглашении - он еще и обязан в любое время удалить эти данные по требованию их владельца.

PS Кстати, я не первый раз слышу о страшной угрозе разглашения частным лицом своего банковского счета - в чем она состоит для среднестатистического, не отягощенного нетрудовыми илисверх-доходами человека? :) Могу написать тут какой-нибудь свой, мне не жалко.

Ну вот. Вроде я тут не один окопался))

2Orve: мне неизвестны богатые учебные заведения в каком-то массовом количестве. Может быть в Москве или еще где они и есть в виде исключения, но в целом данный вид деятельности мягко говоря не избалован средствами. Нередко проблемой является приобрести лишнюю пару компьютеров. Каким образом предлагается внедрять меры защиты, если любое техническое решение, признаваемое за СЗИ, требует денег, т.к. обязано быть "сертифицированным"? Возможностей закрыться бесплатными аналогами закон не предоставляет. Хоть за год начни, хоть за два - нужно отрезать бюджет. А с какой, собственно, стати? Учебные учереждения - организации бюджетные. Ввели закон, который подвергает их дополнительной нагрузке - извольте ввести дополнительное финансирование. Не ввели финансирование - значит нефиг и требовать. Предлагается отказаться от автоматизации? Очень прогрессивный подход, не говоря о том, что грамотная автоматизация позволяет как раз экономить те самые скудные средства.

А с учетом того, что никаких существенных угроз персональным данным в них нет, позиция учебных заведений как раз имхо правильная. В нашей стране много неработающих законов, взять тот-же 1-ФЗ об ЭЦП, недавно замененный наконец чем-то более человеческим - особенность поголовного засилья дилетантов и коррупционеров в законодательной власти. Собственно массовая неготовность школ, медицинских учереждений и прочего к требованиям данного закона и заставляет как-то шевелить товарищей своей законодательной задницей и начинать чуть-чуть думать головой о том, что же они там напринимали и чем это грозит.
Таково мое ИМХО.

2Orve: Как то в своем выступлении Вы обошли шибко необходимую процедуру обязательного лицензирования по ЗИ для всех организаций проводящих работы по защите ПД, я так подразумеваю это тож крайне необходимо для нашего же блага. Так вот пыжтесь Вы или не пыжтесь, а лицензии смогут получить не более 0,001% от всех операторов - или вы сомневаетесь? Ну а вотношении учебных заведений, если Вы имеете к этому отношение, акромя гемороя и усложнения ИС и процессов в ней, защита ПД студентов-абитуриентов и прочих категорий ничего не несет .... 1001-й способ и ничего более.
Кстати на счет международных обязательств: (в свете последних событий) и что теперь все дружно кинулись потреблять наркотики?
Кстати весь запад уже давно защищает ПД пользуясь правом договора-оферты, а что вполне разумно, а главное следов и предпосылок коррупции нет.
И еще очень интересный вопрос, а почему Я должен несколько раз платить за защиту своих ПД, если я этого не хочу? Не понимаю! Поясню, газовщики за защиту моих ПД сдерут денежку с меня, электрики - тоже, почта - тоже, ну и сами можете продолжить перечень. Даже закон не позволяет за один и тот же проступок наказывать дважды, а тут чистой воды произвол .... или я не так все понимаю?

2 hard

Я не обходил "ловко" этот острый момент. Просто по необходимости (или отсутствию оной) лицензирования деятельности по ТЗКИ уже столько раз всё обсуждено и столько копий сломано, что не счёл нужным.

Так вот, ни одна организация, которая проводит работы по ЗИ для СВОИХ собственных нужд и СОБСТВЕННЫМИ силами - лицензию получать не должна. В том числе и уч.заведения. Если-же организация оказывает услуги по ЗИ (т.е. это её вид деятельности, грубо говоря - в ОКВЭД прописанный, организация ДЕНЬГИ на этом зарабатывает) - тогда да, необходима лицензия. Оставим за бортом степень зрелости закона о лицензировании и требований к лицензиатам, но в общем логика простая: зарабатываешь деньги - нужна лицензия. Но до сих пор эта истерика/заблуждение гуляют "по интернетам".

2 AIB

Я знаю богатые уч.заведения (одна штука), но они коммерческую деятельность ведут. А по бюджету - что мешало УЗ (уч.зав.) в 2008 году подать уведомление? Что мешало прочитать нормативные документы и разработать план работ? Что мешало выполнить ОРГАНИЗАЦИОННЫЕ требования, а технические - выполнить по возможности? Году так в 2010... Что мешало пусть дешёвый файрвол на бесплатных никсах поднять на старосписаном компе? Да, это не вполне соответствует требованиям регуляторов - но при проверке выясниться что (1) работы ведуться, (2) что не реализовано полностью - на то может быть документ о "наличии в планах" (собрались, подумали, подписали акт/протокол, предьявили по требованию регуляторам), (3) документ в вышестоящую инстанцию с ОБОСНОВАНИЕМ необходимости выделения Н-й суммы на приобретение сертифицированных средств ЗИ???
По крайней мере любой проверяющий увидит, что то, что могло быть сделано - выполнено, что не выполнено - не сделано потому, как не выделен "сверху" бюджет (есть письмо-обращение). Что не доделано - лежит в планах (подписанных или руководителем, или комиссией) на 2011/2012 и тыды годы.

2 Павел

По поводу изменений закона... И прочей "стружке".

Я тоже уверен, что изменят - например пропишут ответственность оператора в случае компроментации ПД (как в США) ил ещё что. Но наши с Вам гадания - это одно, требования закона "на сегодня" - второе (уже сегодня за неподачу уведомления вполне можно "шерстить"), а реальные (а не прогнозируемые) изменения закона - вообще третье.