Обсуждение статьи: Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных» - Форум по вопросам информационной безопасности

2 AIB

О том, что все работы сведены к "4 случаям"...

Блин, всегда, вечно найдётся кто-нибудь недовольный. Да, мне тоже не нравиться переписка-переложение (и достаточно топорная) требований СТР-К на вопрос защиты ПД. Но ведь что-то меняется, регуляторы работают, выходят новые документы.

Но меня, как человека, который не поленился ознакомиться с документами и требованиями, интересует (конкретно к Вам) один вопрос - а составить ЧАСТНУЮ МОДЕЛЬ УГРОЗ "религия" не позволяет? Если непонятно, как, или лень, или что ещё - вот тогда берите шаблоны для типовых систем. Но если Вы (как и я) в школе были обучены буковкам, есть время (или должностные обязанности), есть понимание о неуниверсальности типовых рекомендаций - так берите, читайте-делайте: сделайте свою модель угроз (и оформите её подписями), и выполняйте те мероприятия, которые вы (организация) сочли актуальными.

Люди! Да что же с Вами происходит, почему всё летит в тар.тарары. Такое ощущение что мы не в России а уже в Америке. Куда вы всё торопитесь попасть или нас затолкнуть? У нас лучше, и всегда надеюсь будет лучше. В своё время, в Союзе, под ковриками ключи от квартиры лежали и записка в двери- Ключ под ковриком. По крайней мере так было в моём городе повсеместно. Люди были проще и добрее. . А Вам видимо теперь надо что бы люди чего то боялись и всё прятали как мыши. А скажут- он враг, а Вы и поддакивать получается будете как в 37-ом. Сегодня Вы ратуете за защиту ПД (Так как видимо выгодно) а завтра могут и за Вами придти, просто по другой статье к которой Вы не сможете "подготовится", и другие промолчат. Вот и получается что надо прежде всего шире на вещи смотреть . А я Вас уверяю простому народу нечего прятать и сейчас и не чего было прятать раньше. И самое интересное что дело то тут не в Президенте и правительстве. Они наверное хотят как лучше, но когда дело доходит до тех кто должен писать закон там начинается затуп реальный и желание подзароаботать на новом рычаге, а разгребают косяки потом опять на самом верху. А Вы видимо думаете что Вы в прогрессе, круто!!. Если реально так всё будет во всём - то есть - одни только косяки, то я свалю на севера в тайгу к эвенкам или на льдины к эскимосам. Там ещё остались простые люди без прибамбасов в головах которым нет дела до трясучки над своими ПД. Я на самом деле понимаю что есть данные которые не надо разглашать, вот за разглашение и надо судить. То есть знал что нельзя и разгласил. Стукачей не люблю и я. Но это уже другая история.

Это я обратился к сторонникам всяких скрытий и зарытий))

Кстати я Вам ещё пример расскажу. Сейчас делаем международный бизнес- портал на котором люди специально будут оставлять свои контактные данные, так как это в их интересах. Телефон, Адрес, ФИО, место работы и т.п. Но согласно сегодняшней редакции закона мы как организация обрабатывающая эти данные не можем это делать так как необходимо письменное на то согласие всех этих людей. А они по всему миру разбросаны и на разных языках разговаривают. И не возможно это в принципе, собрать столько бумажек. У меня нет такого сейфа:)) Глупо всё это. Проще надо быть и люди потянутся:))

2 Павел:
Вот только не надо нас агитировать за Советскую власть! :-))) Вы ведь не думаете всерьёз, что благодаря именно ей Вы клали ключ под коврик с запиской в двери и ничего не боялись?! Времена меняются и люди тоже. Например, раньше земля была бесплатная - бери, строй, паши, сей. А сейчас каждый клочок денег стоит (и чем ближе к центру, тем дороже).

2Orve:
Только человек из госструктуры может "так просто" учить жизни. Это у Вас может быть на каждую функцию выделяют отдельного человека, который может делать годами никому не нужные бумажонки и "копать яму 3х3х3" с 2008 года, когда требования закона противоречивы, требования по защите ФСТЭКом менялись и это не главное. За 3 года львиная доля операторов создавалась, реорганизовывалась, меняла местоположение помещений, техники, изменяли состав ПО - это ради того, чтобы выжить в условиях "рыночной демократии". Про постоянную текучку кадров и её последствия сами догадаетесь?
Вы хоть раз в жизни организовывали коммерческий проект? Посчитайте затраты: текущие, накладные, незапланированные и НАЛОГИ. И это будет только проект, а реализация его может свести не нет все Ваши ГЛАВНЫЕ усилия - заработать на жизнь + заплатить налоги из которых выплатят зарплату чиновнику, который будет тебя учить. как правильно писать бумажки...

Цель защиты информации (в нашем случае это ПДн) - это защита информации. Люди, которые давно занимаются защитой информации, Вам говорят, что закон о персональных данных и всё что с ним связано - не работает в плане защиты этих самых данных. А Вы предлагаете защиту строить бумажками: показать, что работы ведутся, в планах выделить деньги, в Модели угроз прописать, что каналы не актуальны или самое классное "(2) что не реализовано полностью - на то может быть документ о "наличии в планах" (собрались, подумали, подписали акт/протокол, предьявили по требованию регуляторам)" - это мягко сказать ПСЕВДОЗАЩИТА (очень мягко). Вот именно для субъекта ПДн от таких мероприятий ПСЕВДОЗАБОТЫ только одно унижение.

Зачем показывать, что работы ведутся, когда они должны быть выполнены? Зачем запрашивать или планировать деньги по 2012 года, когда на защиту не давали с 2006 года и не факт, что дадут в 2012? И самое главное: почему виноват тот, кто не может выполнить "невыполнимый" закон, а не тот, кто сочинил его и не предусмотрел средств и условия для его реализации правильной реализации?

Как лицензиату ФСТЭКа в последнее время всё чаще и чаще уже прямо говорят: сколько у Вас стоит откупиться от Роскомнадзора? И все прекрасно понимают, что речь идёт далеко не о защите персональных данных! Просто была структура, которая не приносила в казну денег. Как-то не хорошо. А вот теперь всё исправлено: технические требования проверяют те, кому и было положено (ФСТЭК и ФСБ), а не приносящая в казну денег структура теперь специально уполномочена, проверяет только бумажки, в случае их отсутствия и штраф КоАПом предусмотрен. На техзащиту и грамотного юриста денег хватит мало у кого...
Подчёркиваю - это моё личное мнение и личное видение ситуации!

Времена то меняются, но зачем их подгонять и ещё быстрее лететь в пропасть. Цивилизация не всегда есть - хорошо. До нас тоже кто то видимо перестарался в чём то, и гинули в бездну. А вообще то пусть каждый делает как считает нужным. Иногда просто задалбывает всякая мутота в законах, а потом привыкаешь. Как говорится в инструкции для женщин: Когда тебя насилуют, расслабься и получай удовольствие. Ведь типа это неизбежно. Вот пусть кто хочет и расслабляется, а кто не считает нужным сопротивляется как может.

2 :-)

1) "может быть на каждую функцию выделяют отдельного человека". Вы хотите сказать, что при организации бизнеса нет необходимости предусматривать функцию защиты информации? При современном уровне автоматизации, всякой вирусноподобной флоре и фауне, при зачастую некомпетентных пользователях и тыды? И не важно - будет это отдельная штатная еденица или эти функции будут возложены на или зама, или глав.инженера, или сис.админа, да хоть на самого директора? Даже без учёта всяких там 152-ФЗ и иже с ним. Просто "по жизни"?

2) "Вы хоть раз в жизни организовывали коммерческий проект?" Да. И, да - я с вами согласен - это стоит денег. Но даже безотносительно к требованиям регуляторов - некоторые вещи стоит сделать именно из практических соображений, а не в угоду закону.

3) ""копать яму 3х3х3" с 2008 года, когда требования закона противоречивы, требования по защите ФСТЭКом менялись и это не главное."
У меня всё глубже складывается впечатление, что тут какое-то недопонимание. ИМЕННО потому, что "бумажки" менялись, неудобно становиться _оформлять_, делать "для отписки". А если реально работать - что, антивирус не нужен? Инструкция для пользователей, порядок обновления и тыды. "Сервак" с одноэской есть? Так описать конфигурацию сервака (для себя, родимого) - железо, ОСь, настройки, особенности. Какая версия одноэсины, какая конфигурация. Кто доступ имеет, какой, какие пароли (в сейф, в сейф - вдруг админ "заболеет"). А бакап всего этого нужен? Так описать - куда, как, с какой регулярностью. Словом, по вашим постам в иных ветках я думаю, что Вы это и не хуже меня знаете.
Плюс, как я уже написал, часть требований/функционала можно реализовать на всяких линуксах бесплатных, да грамотными руками и бесплатным софтом. Да, я соглашусь с Вами в том, что это не сертифицировано (впрочем, сейчас есть и сертифицированные варианты - естественно, за деньги). Но если это не К1, а какая-нибудь К3 - ну максимум, это регулятор при проверке замечание напишет, особенно если действительно всё будет и сделано, и задокументировано (хоть как-то задокументировано, "не на туалетной бумаге в последние 3 дня перед проверкой"). Да, могут и предписание дать. Но это уже ДАЛЬНЕЙШИЕ детали...

Вот так и "копать с 2008". А имея на руках работающую систему (а иначе нафиг она Вам/директору/бизнесу нужна?), плюс эксплуатационную документацию к ней - там уже и под требования регуляторов "дооформиться" бумажками не сложно (самостоятельно). Я так считаю. Но, впрочем про деньги, госконтору и казну я с Вами полностью согласен.

2Orve: Я действительно очень рад за то что вы находитесь все еще в неведении Федерального закона от 04.05.2011г. №99-ФЗ, рекомендую ознакомиться со ст.3 п.2. А про те обсуждения я уже давно забыть успел.

2Orve: Вы не представляете как я с Вами согласен, и говорите правильно, но, как показывает практика регулятор склоняется не в сторону здравого смысла, а в сторону им понимаемой буквы РД и редко кто начинает с ним (регулятором) спорить. И будь трижды Вы специалистом и Ваше видение проблемы верно, точка зрения регулятора будет поддержана а Вы в лучшем случае отделаетесь выговором. Проблема не в том, что закон такой не нужен и не надо его выполнять, а в том что каждый его трактует так как ему удобней, так как ему подсказывают ..... а дальше выбирайте: совесть, профессионализм, карьерный рост или простое жополижество (что превалирует, прошу прощение). Мы все тут говорим, а не понимаем друг друга и ЭТО НЕ НАША БЕДА, НАС ТАК ПОСТАВИЛИ И ЭТО КОМУ-ТО ВЫГОДНО. Резко, .... зато верно.(ИМХО)