Обсуждение статьи: Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных» - Форум по вопросам информационной безопасности

Orve | 28849
Правы вы на 100%. Под каждым словом подпишусь. Об этом не раз говорил, может и не так развернуто и доходчиво. И оппонент наш (Павел) очевидный продукт правила о "строгости российских законов и необязательности их исполнения". Вот хорошие вокруг его люди и все они прекрасно знают и выполняют. Нет в их нетронутых столичным развратом провинциях халатных, корыстных, мстительных работников. Ключ можно под коврик, кабинет на шпингалет, вместо сейфа ящик стола, а требования, правила и обязанности в режиме устного инструктажа. Суд справедлив и непредвзят - на слово верит. Если и правда там так живут, то согласен я с Павлом. Согласен! Можно так как он делает, но только там у них во Граде Золотом.

Я хоть, как многие здесь, тоже зарабатываю технической защитой информации, но считаю, что грамотно выстроенная система организационных мероприятий способна обеспечить удовлетворительный уровень безопасности информации. И бумажной эта защита станет при "бумажном" к ней отношении.

2 hard
№99-ФЗ, ст.3 п.2.
2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), ....
Вы полагаете, что это повод считать, что луцензию будут требовать и для собственного потребления?!
Дело в том, что ст. 12 ФЗ включает 48 видов деятельности, некоторые из которых услугой не являются ни в каком виде.
Ст5. п 2 определят, что Правительство утверждает положения о лицензировании конкретных видов деятельности и принятие нормативных правовых актов по вопросам лицензирования. Т.е. ждем нового положения о лицензировании ТЗКИ-СЗКИ.
Полагаю, что здравый смысл возобладает и в постановлении Правительства деятельность по ТЗКИ, на которую необходимо получить лицензию, будет определена как услуга. В противном случае отделу лицензирования придется мылить верёвку. В сегодняшнем штатном составе он уже давно работает за пределом прочности.
Кроме того введение бессрочной лицензии и сопутствующие регулярные контроли лицензионных требований ситуации не облегчают и требуют Раадикального увеличения нагрузки на лицензирующие органы.
Потому, думаю, не стоит шаманить и бить в бубен раньше времени. Поживем-увидим

2Orve:

"Но меня, как человека, который не поленился ознакомиться с документами и требованиями, интересует (конкретно к Вам) один вопрос - а составить ЧАСТНУЮ МОДЕЛЬ УГРОЗ "религия" не позволяет?"
- Конкретно я временами помню все эти документы почти наизусть, количество же различных систем и организаций, для которых составлял их, заведомо более десятка. Модели угроз вполне могу создавать без руководящих подсказок, и более того - утверждаю, что перечень угроз, приведенный в руководящих документах так же не полон, как и варианты мер защиты. Есть одно "но": как Вы, может быть, догадываетесь, я не работаю в школе.

"Что мешало прочитать нормативные документы и разработать план работ? Что мешало выполнить ОРГАНИЗАЦИОННЫЕ требования, а технические - выполнить по возможности?"
- школе? Вы шутите? Отсутствие специалистов мешало, например. Даже в некрупных банках наблюдается дефицит людей, способных самостоятельно и грамотно (т.е. с минимизацией затрат) разобраться с данным вопросом. Общеобразовательные учереждения в списке потенциальных работодателей специалистами данного профиля рассматриваются не особо часто, впрочем также сомнительно и то, что сами эти учереждения могут предложить этим специалистам адекватную занятость. Кто будет "частную модель" рисовать, завуч?

Насчет иллюзий того, что если закрыться басплатным несертифицируемым софтом, регулятор прослезится и отстанет, хотел бы указать на очевидное притиворечие с практикой в виде банков и иных подобных организаций. Как Вы, наверное, догадываетесь, в каждом из них построены реальные системы защиты, не в пример поделкам на коленке, т.к. кроме персданных там имеется финансовая информация, и по этой-же причине у них более чем хватает различных регламентов. Однако это нисколько не помогает растрогать регуляторов. Заметьте, эти организации не просто "по возможности" втыкали "какой-нибудь" фаервол на древнем компе, бесплатный антивирус и прочее, а создавали действительно продуманые, нередко многоуровневые системы защиты, а те, кто работал с международными платежными - еще и подвергались регулярному сканированию и аудиту. Говорить, что там "данные более критичны", в свете ПДн некорректно. Те данные, которые там критичны, относятся не к ПДн, а к финансовой информации, причем иногда даже не информации физлиц.

2 Orve и Некто:
Вы все время ставите телегу впереди лошади. Защита не есть жизненная необходимость априори, это всего-лишь средство минимизации рисков. "Если реально" работать, то для начала надо определить - какие риски являются актуальными. Скажите, какие именно риски по персданным вы считаете действительно актуальными для средней школы?

О чем спор?
Читаем выше
Прохожий 27146 27-03-2011 16:24
Тема утратила актуальность после принятия ФЗ 210.
Какие ПД - Вы о чем?
Собственно, Россия, как государство, снимает с себя всякие обязательства перед гражданами при введении этой карты. То, что мы получали от государства - выполнение его прямых обязательствах перед нами, будет при введении этой карты ПРОДАВАТЬСЯ НАМ КАК УСЛУГИ!!!

Ибо центр управления этими картами - международный банк.
И за все операции вы будете платить, и дело будете иметь только с ЭЛЕКТРОННЫМ правительством. Пардон, а как же реальное правительство?
И зачем оно нужно, если его заменяют на электронное???

ФЗ 210 это еще один закон, который не заработает никогда. Законы типа 152-ФЗ, 210-ФЗ не на наш контингент населения.

2Некто: Закон, к сожалению, именно что только "определил". Я ранее собственно об этом и писал. Однако то, как он это определил, нисколько не помогает этой самой защите. Так как в данном случае вместо рекомендаций типа "такие-то бюджетные-бесплатные сетевые экраны, такие-то настройки, такие-то регламенты обслуживания" и тп там идут абсолютно невменяемые требования - а в случае приведенной ссылки, у нас будет 1 класс и НДВ.
Также я полностью согласен, что представленная в том документе информация довольно чувствительна. Но кажется мне, что гораздо проще получить к ней доступ с компьютера директора, заглянув в ненароком оставленный открытым кабинет, чем эксплуатировать уязвимости нулевого дня и НДВ в системах сетевой защиты. Или другими аналогичными способами, не исключая утери непосредственно паспорта самим школьником. Эти риски существенно выше, и именно их надо проработать в первую очередь. Я сильно ошибаюсь?

Оценивать риски должен тот, кто является ответственным владельцем системы. В данном же случае - профильная госструктура в лице минобразования (хотя от мысли о том, что это может сделать ведомство Фурсенко, заранее становится страшно), а желательно и вовсе ФСТЭКа и ФСБ - но уже по-человечески, касательно конкретной информации полностью разработать варианты организации системы, включая назначение ответственных лиц, регламенты, порядок обслуживания и настройки средств защиты. Причем сделать это бесплатно, т.к. ФСТЭК и ФСБ, насколько я знаю, пока-что являются государственными, а не коммерческими структурами, и получают финансирование из бюджета. А желательно, и вовсе сделать типовое решение. Потому что в средней школе специалистов нужного уровня нет и никогда не будет.
Применение же 152 и документов ФСТЭК не специалистом в данном случае на риски практически не повлияет.

Кажется для того, чтобы минимизировать потери от выполнения закона, народ будет совершать действия прямо обратные необходимым для защиты ПД работников.
Зато рынок ЗИ вырастет.

Уля, я так сильно давно не смеялся.
Бредни обывателя на тему новых ПД.
Особенно доставил "специалист с лицензиями ФСБ и ФСТЭК".

Комрад, скажите, пожалуйста, что в этой статье не так?

"Специалист со стороны. Специалистов по защите персональных данных готовят как раз ФСТЭК и ФСБ России, т.е. прежде чем нанять специалиста, убедитесь в наличии у него необходимых лицензий, выданных этими органами"
:)
Уля, откуда такая информация? Сами придумали?

"К ним относятся все фирмы и учреждения, которым по роду своей деятельности приходится работать с персональной информацией о своих клиентах."
- не совсем верно, к ним относятся все, в т.ч. те, кому приходится обрабатывать информацию о своих сотрудниках.

"о защите которой в следующий раз задумались только в 2004 году. Тогда произошла крупная утечка данных жителей Москвы и Подмосковья: в нелегальной продаже появились базы, включающие в себя ФИО, паспортные данные, адрес прописки, ИНН, информацию о доходах граждан."
- эти базы по всей стране с завидной регулярностью обновлялись еще с 90-х, найти их никогда не представляло никакого труда. Что характерно, они почти никогда не утекали по техническим каналам, от чего нас пытается защитить 152-ФЗ, а в основном сливались лицами, имеющими к ним доступ.

"в 2006 году закон был принят, а в 2007 – вступил в силу."
- однако не появилось никаких требований регуляторов, по которым надо было бы готовиться "До 1 января 2010 года". Да и появившись, в силу они не вступали, т.к. по своей привычке регуляторы их.. засекретили! поставив гриф ДСП.

"затем сроки были отодвинуты еще на 1 год"
- с непрерывной чехардой законодательства, и по сути отсутствием вообще каких-то четких ориентиров, и наконец, после ряда баталий - "в полной мере закон начнет осуществлять свою работу с 1 июля 2011 года". Правда, он и тут успел кардинально измениться буквально в течении пары недель.

"Но это не означает, что он не имеет силы, это лишь является временным послаблением мер, ведь к началу проверок на сегодняшний день готовы менее 1% компаний."
- в настоящее время не готов никто. Т.к. невозможно быть готовым неизвестно к чему. А что готовят регуляторы в свете нового закона - тайна сие великая есть.

Далее, регуляторы описаны по устаревшему закону. В настоящее время проверками рулит Роскомнадзор. Впрочем, ФСТЭК и ФСБ он "привлекает при необходимости".

"Это происходит, потому что орган, осуществляющий технический контроль, является не просто наблюдателем за должным регулированием систем защиты персональных данных, а непосредственно регламентирует их."
- увы и более того, некоторые структуры, производящие "сертифицированные решения", и некоторые другие материально заинтересованные, являются связанными с этими органами различными отношениями. Таким образом, данные органы де-факто являются стороной, заинтересованной в сбыте определенных услуг, а не в безопасности как таковой.

"по защите персональных данных готовят как раз ФСТЭК и ФСБ России", "прежде чем нанять специалиста, убедитесь в наличии у него необходимых лицензий, выданных этими органами"
- без комментариев :) . Кроме того, при всем уважении к данным структурам, они готовят высококлассных спецов, которых - парадокс - зачастую нельзя подпускать к коммерческим системам. Т.к. они готовят их для абсолютно других задач. В которых кроме них действуют мощные службы собственной безопасности, на откуп которым отдается борьба с различным инсайдом, и другими нюансами. Однако в любом случае,

"если необходимые работы будут проведены, а проверка контролирующих органов все равно не будет пройдена."
- никто не даст гарантии прохождения проверки. Их не даст даже руководство контролирующего органа, уже случались забавные ситуации.

"все информационные системы соответствуют определенным классам – от 1-го до 4-го."
- если бы все было так просто. Во-первых, статус "приказа трех" на сегодня под вопросом, оно вполне может обновиться. Во-вторых, классификация по нему не определена в силу разделения систем на типовые, противоречащие 152-ФЗ, и специальные, для которых классификация не описана.

> На сегодняшний день в России около 5 млн. организаций работают с персональными данными граждан

По данным налоговой в РФ около 20 миллионов юр. лиц, ведущих кадровый учет. А есть еще операторы, не являющиеся налогоплательщиками.

> следующий раз задумались только в 2004 году. Тогда произошла крупная утечка данных жителей Москвы и Подмосковья

Брехня.

ФЗ спокойно лежал под сукном на фиг никому не нужный, пока в 2003 году не началась мировая движуха с биопаспортами. Был поставлен удльтиматум "переходите на биопаспорта, а то перестанем давать визы", для участия в программе биопаспортов потребовалось привести локальное законодательство в соответствие с европейской конвенцией, в итоге с законопроекта сдули пыль, переделали его под конвенцию и приняли.

> До 1 января 2010 года организациям было дано время на внедрение у себя специальных информационных систем,

До 1 января 2010 года организациям было дано время на выполнение требований безопасности для уже существующих к моменту принятия закона информационных систем.

> Контролирует исполнение юридических требований закона.

Все требования любого закона "юрилдические". Компетенция РКН ограничена вопросами защиты прав субъектов ПД

>Осуществляет документальный контроль.

Неправда. РКН - единственный из регуляторов, кто может лезть во внутренности информационных систем, чтобы посмотреть, какие же там данные и что с ними делают - см. административный регламент.

> Специалистов по защите персональных данных готовят как раз ФСТЭК и ФСБ России

Неправда. Специалистов готовят учебные центры, имеющие соответствующую лицензию МинОбра, в том числе - общеобразовательные ВУЗы (только из московских - МИФИ, МГТУ, РГГУ и т.п.). ФСБ и ФСТЭК в своей структуре таких учебных центров не имеют. Про то, что у специалиста не может быть лицензии, вам написали.

> Закон даже не исключает арест собственника с последующим лишением свободы на срок до 5 лет и исправительные работы сроком до года.

Что называется, "слышал звон". За нарушение правил обработки персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. А вы явно цитируете обсуждение "что будет, если внедрять средства защиты, не имея лицензии ФСТЭК".