Персональные данные по-русски

Чтож, за последнюю неделю произошло много знаковых событий:

• Принят в первом чтении законопроект №284213-5 О внесении изменений в Федеральный закон “О персональных данных” в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока (на 1 год), в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом.
• Снят гриф ДСП с многострадального Четверокнижия (конечно, ФСТЭК убрал раздел с утечками информации по каналам побочных электромагнитных излучений и наводок из базовой модели угроз).

Что касается поправок в закон, то после парламентских слушаний перенос сроков стал очевидным почти для всех. А вот в снятие грифа ДСП верилось с трудом, тем более что многие предыдущие обещания представителей ФСТЭК не исполнялись с завидным постоянством. Документы немного подправили, но не принципиально, все самые спорные вещи остались.

Кстати, немного про документы. Неделю назад был на ESET Competence Club, и во время обсуждения вопросов сертификации всплыли неустранимые противоречия между подходом ФСТЭК к сертификации и реалиями жизни, например:

• Формально необходимо сертифицировать каждое обновление антивируса, и сертификация ядра не решает эту проблему, т.к. ядро также имеет свойство обновляться.
• Наличие сертификатов ФСТЭК не гарантирует, что антивирус будет искать вирусы в принципе.

И т.д.

Кто-то из зала высказал мнение: «ФСТЭК не додумал свои документы!»

В целом утверждение верно, но это не совсем. Дело в том, что документы ФСТЭК (по крайнеме мере в части антивирусов) вполне «додуманные», но только для 80-х годов прошлого века, когда вирусы можно было пересчитать по пальцам одной руки. Сертификация каждой новой версии продукта (обновления для того времени штука экзотическая) на тот момент была вполне возможна. Более того, даже в 1995 году на презентации Windows 95 Билл Гейтс с гордостью заявил, что с эпохой вирусов покончено. Другими словами, в то время люди верили в возможность найти решение по защите, если не на всегда, то, по крайней мере, на очень длительное время. Существующий сегодня подход ФСТЭК вполне мог прижиться на рубеже 80-90х. Но жизнь менялась и очень быстро, а ФСТЭК (в те времена Гостехкомиссия) переживал жесточайший кризис, который продолжается до сегодняшнего дня. Соответственно ни о каком развитии компетенций регулятора за этот период и говорить не стоит, а наличие руководящих документов на уровне двадцатилетней давности – это результат проблем, с которыми сталкивалась наша страна в последние два десятилетия…

Хотя операторам персональных данных от этого не легче.

.

9852 . 3375

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Что изменилось области персональных данных для: Операторов персональных данных?
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Загадочный Паспорт здоровья или двойные стандарты в защите персональных данных
• Проблемы банков с персональными данными, или какие мы подписываем договора?

Автор Царев Евгений | Метки: безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Коллеги, Консультация, Новость, обработка персональных данных, Опыт работ, система персональных данных, угрозы безопасности, ФСТЭК