Что изменилось области персональных данных для: Операторов персональных данных?

марта 22

Информационная безопасность, Персональные данные Добавить комментарий

Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?

А изменилось очень многое. И, на мой взгляд, в лучшую сторону.

Пойдем по порядку. После отмены двух документов ушел вопрос:

Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.

Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.

Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:

1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
3) Для защиты персональных данных можно использовать любые средства защиты.

Все три мнения реально присутствуют на рынке.

Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!

Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?

Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».

В заключении.

Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…

Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…

25461 . 7639

Другие записи

Автор Царев Евгений | Метки: Privacy, Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, ИСПДн, Коллеги, Консультация, Лицензирование, Новость, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, РД, СЗПД, Требования, угрозы безопасности, ФСТЭК

86 Responses to “Что изменилось области персональных данных для: Операторов персональных данных?”

1. Асташин Михаил Says:
марта 22, 2010 at 7:07
Высока вероятность того, что Постановление 781 скоро будет отменено полностью, или в части. Телодвижения ФСТЭК и Роскомнадзора говорят об этом. Но природа не терпит пустоты, а значит появится что новое, и возможно опять сыро – грандиозное. И опять увидим рост неопределённости, и кучу безответных вопросов. И опять будем необоснованно тратить деньги, и драгоценное время. Наше Правительство не видит путей решения проблем защиты ПД. И подсказать правильную дорогу некому … .

[Ответить]
2. Тимур Кашаев Says:
марта 22, 2010 at 9:57
“контроль отсутствия неделарированных возможностей остался только для систем К1″

А не напомните, в соответствии с каким документом действует это требование? Спасибо.

[Ответить]
Царев Евгений Reply:
марта 22, 2010 at 10:28
Приказ ФСТЭК №58

[Ответить]
Михаил Reply:
апреля 11, 2010 at 15:48
Контроль отсутствия неделарированных возможностей для 4 уровня контроля остался только для систем К1, однако всегда этот уровень считался самым слабым и реальных проверок недекларированных возможностей в нем нет. В соответствии с РД для НДВ 4 необходимо проверить следующее:
1.Контроль исходного состояния ПО
2.Контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов(!)
3.Контроль соответствия исходных текстов ПО его объектному загрузочному) коду

1 пункт – для современного мира это довольно странно. Для проектов по безопасности сложнее “Hello world” он практически всегда содержит сторонние компоненты (начиная от готовой реализации алгоритмов и заканчивая RunTimeEnvironment). Что делать, если я не могу предоставить весь код?Реализовывать алгоритмы самому?Если я jмне будет достаточно тяжело написа
(

[Ответить]
Михаил Reply:
апреля 11, 2010 at 15:56
Если я специалист по безопасности мне будет достаточно тяжело написать модуль для работы с JPEG (строка кода обойдется слишком дорого). Если же говорить о RunTimeEnvironment – то где мне взять исходники Microsoft?
2 пункт – избыточность на уровне файлов. Как файлы, не входящие в сборку, могут влиять на безопасность в целом? Да, есть опасные функции, которые не стоит использовать, есть ошибки программирования, но как они связаны с избыточностью на уровне файлов?Не понятно.
3 пункт. Контроль соответствия исходных текстов ПО его объектному загрузочному коду. Не понятно, что делать если я разрабатываю ПО, например, на PHP. Мой софт плохой и я не смогу пройти сертификацию?

Да, немного странные требования для современного софта, отвечающего за безопасность.

[Ответить]
3. Алексей Волков Says:
марта 22, 2010 at 10:54
Полностью поддерживаю мнение автора блога, и более того – продвигаю это же мнение на всех форумах и конференциях. Коллеги-операторы, не торопитесь принимать скоропалительных решений! Ибо требования к техзащите ПДн разрабатывают ведомства государственные, почти военные, а все, кто служил в армии – знают принцип: “не торопись выполнять распоряжение – вдруг его отменят” . Это не значит, что не надо делать ничего – наоборот, но подходить к защите ПДн необходимо, на мой взгляд, комплексно. В идеале защита ПДн должна быть “интегрирована” в СУИБ организации, и это Евгений тоже пропагандирует.

[Ответить]
toparenko Reply:
марта 22, 2010 at 13:03
>“не торопись выполнять распоряжение – вдруг его отменят”

На сколько мне склероз не изменяет это “принцип ПВО”: погоди выполнять – отменят.

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 13:27
Да, и ПВО тоже – из пушек по воробъям Прям как защита ПДн в эпоху четверокнижия

[Ответить]
4. Андрей Пилотов Says:
марта 22, 2010 at 11:22
По поводу лицензирования.
ФСТЭК очень неохотно расстается с постулатом о необходимости лицензирования для собственной ТЗКИ. Они по-прежнему ссылаются на 128-ФЗ и ПП504 и на то, что в п.1.11 (деятельность ТЗКИ) ст.17 закона 128-ФЗ нет оговорки “кроме своих нужд” как, например, в п.1.9 (деятельность по выявлению электронных устройств).

Уточнение такое: если у организации уже есть система защиты КИ, созданная кем-то, то оргнаизация может ее эксплуатировать без лицензии. Но вот строить систему защиты своей КИ организация уже права не имеет.

[Ответить]
Evgeniy Zh. Reply:
апреля 9, 2010 at 10:58
А если есть система защиты КИ, но она создана была в этой же организации (и без лицензии)?

[Ответить]
5. Чти законы Says:
марта 22, 2010 at 12:24
Евгений, для того, чтобы говорить о юридической точке зрения, необходимо сначала получить юридическое образование. В остальном предлагаю почитать ФЗ “О тех.регулировании”, в котором сказано про процедуры оценки соответствия. В эту область включена процедура обязательной сертификации, которая описана в Положении о сертификации средств защиты информации, которое утверждено Правительством РФ в других руководящих документах, а также процедура принудительно-добровольной сертификации, которая ничем не отличается от обязательной, кроме как в выборе областей сертификации. В общем в этих документах и говорится об установленном порядке. Учите матчасть и будет вам карма. А вообще, система сертификации достаточна обширна и по каждому из её разделов есть подробное описание.

[Ответить]
Александр Ширманов Reply:
марта 22, 2010 at 12:43
Добрый день!

Хотел бы обратить внимание на закон “о техрегулировании”, в частности:
1) термины закона — там дается раскрытие смысла понятий “оценка соответсвия”, “сертификация”, “аккредитация” и т.д.
2) ст. 7 и п.2. ст. 46 — порядок применения закона в условиях отсутсвия техрегламента на ИБ. Там сказано, что применяется существующие нормативные требования в полной мере (до момента создания техрегламента).
3) ст.5 – описывающая, что требования по ИБ для защиты информации ограниченного доступа, выработанные ФСБ/ФСТЭК должны выполняться в дополнение к проведению оценки соответствия, даже когда появится техрегламент по ИБ.

Кроме того, к данному вопросу имеет отношение Положение 781, а именно пункты: 5, 18, 19, 20, требования которых говорят о том, что применить “любое средство защиты” не получится (без согласования например правил пользования с ФСБ/ФСТЭК).

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 13:20
Коллеги, предлагаю в блоге “одними местами” не меряться, потому как 1. Сколько юристов, столько и мнений. 2. В дебрях нашего законодательства разобраться порой не под силу самим его издающим. 3. В отсутствии порядка в ведомствах, законах и чехарде по принятию и отмене регулирующих документов самый лучший подход – это подход здравого смысла. Есть необходимость – получайте лицензию на здоровье. Нет – не получайте. А “правовую базу” можно подвести и под то, что лицензия необходима, и под то, что не нужна: закон, говорят, что дышло. Мое ИМХО – просто подождать, и я верю в то, что здравый смысл восторжествует. Тем более в этом направлении идут достаточно уверенно.

[Ответить]
Michail Gruntovich Reply:
марта 23, 2010 at 1:20
Есть еще один совет: изучить практику на местах. В регионах местные ФСТЭКовцы/ФСБшники по-разному могут трактовать требования нормативных актов. Где-то не требуют лицензирования, где-то “лезут в бутылку”. Чем бодаться с ними, лучше договориться, соблюсти ритуал. Оно дешевле станет.

Царев Евгений Reply:
марта 23, 2010 at 9:58
Michail Gruntovich: Совершенно согласен. С любым регулятором нужно договариваться, однако “трястись” при виде контролера не стоит, нужно себя уважать.

Алексей Волков Reply:
марта 23, 2010 at 10:34
Согласен, безусловно. Не будем забывать, что регуляторы, а точнее – сотрудники, которые там работают, это прежде всего люди, такие же, как и мы с вами. И каждый из них, кого я знаю, совершенно нормальные, вменяемые, хорошие специалисты. Другое дело – что они в системе, а система эта по состоянию ничем не отличается от любой другой государственной системы. Поэтому дружелюбие, готовность к диалогу, сотрудничество, наконец просто человеческое отношение – залог нормальных отношений Вас и Регулятора.

Ivan K Reply:
марта 23, 2010 at 12:21
To Александр Ширманов
Там сказано, что применяется существующие нормативные требования в полной мере (до момента создания техрегламента).
Конечно сказано, только если можно приведите хотя бы несколько документов касающихся ПДн (а не гостайны какой нить), которые, например, отвечают требованиям ПП1009 от 1997 года.

[Ответить]
Евгений Царев Reply:
марта 22, 2010 at 15:13
Специально подождал, чтобы понять, о чем вы говорите. Без эмоций. Если вы ссылаетесь на закон о техрегулировании, то выложите пожалуйста всю цепочку и про процедуры и про регламенты, потом мы будем обсуждать. В противном случае все ваши утверждения – сотрясание воздуха. Кроме того, если вы посмотрите на рынок и пообщаетесь с коллегами, которые «работают» по этому нормативному документу, то поймете, что реально закон не работает, работать не будет и качественной прецедентной практики по нему нет. Ну и в дополнение, судьба этого документа уже ясна … Для бизнеса не полезно работать по «мертвым» документам. Помимо матчасти нужно еще общаться со специалистами квалификации отличной от вашей. Полезно.

[Ответить]
6. Чти законы Says:
марта 22, 2010 at 13:15
Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты!

Евгений, а вам что нибудь известно о национальной безопасности РФ? Привожу пример из статьи http://www.finansmag.ru/articles/18119 Леонида Беляева, начальника отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ. Да и вообще по жизни не мало примеров, когда отказ от своих стандартов и оборудования приводил к краху государства в целом.

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 13:23
Уважаемый Чти Законы!

Я полностью согласен с Вами в отношении того, что отсутствие собственной ИТ и ИБ отрасли приведет к краху государства как обладателя информации в условиях глобальной информатизации.

Тем не менее, Вы со мной согласитесь, что существующий порядок лицензирования и сертификации не приводит к каким либо радикальным изменениям в этой сфере, скорее – наоборот…

Поэтому, не будем углубляться в глобальные проблемы – остановимся на локальной, чему посвящен блог.

[Ответить]
Чти законы Reply:
марта 22, 2010 at 13:36
Порядок сертификации и лицензирования в принципе достаточно прозрачный, если Вам приходилось с ним сталкиваться. Другое дело кем он проводится, рыба гниет с головы. Меня возмущает то, что Евгений позиционирует себя как эксперт в области ИБ, однако иногда его ляпы наводят на мысли, что про законодательную базу он лишь слышал и практику в области ИБ имел плохую. Хотя вроде в Томском готовят неплохих специалистов.

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 13:51
Не стоит возмущаться. Не бывает универсальных специалистов. Это ж все-таки персональный блог . А по поводу лицензирования – схема-то прозрачная, возмущает желание применить ее везде и всюду. Например – сертифицированная Windows в качестве средства от НСД ничем не отличается от обычной – кроме того, что стоит в 2 раза дороже. На мой взгляд, требования по сертификации средств необходимо возложить на производителей – если это требование государства – то издать документ, который обязывает на территории РФ продавать исключительно сертифицированные средства. И лицензирование по ТЗКИ применять только к компаниям, оказывающим услуги за деньги в этой сфере (включая разработчиков жедеза и софта). Тогда картинка будет простая, понятная и логичная. А сейчас…. мда

Алексей Волков Reply:
марта 22, 2010 at 14:06
В дополнение – недавно были изменения в закон об охранной деятельности. Если издать такой же закон применительно к ИБ, то получается следующая картинка: все производимые и продаваемые на территории техсредства защиты в обязательном порядке сертифицируются государством (ФСТЭК), продаются и (или) устанавливаются организациями, имеющими лицензию по ТЗКИ, а эксплуатируются ими же (аутсорсинг) или сотрудниками организации, прошедшими обучение в установленном порядке. Вот и все! Все довольны

Евгений Царев Reply:
марта 22, 2010 at 15:24
Чти законы: Не нужно возмущаться берегите себя. Будьте конструктивны, и не нужно думать, что кроме вас информацией не владеет никто. Может быть это у вас информации недостаточно?
Послушайте Алексея Волкова, есть люди разной квалификации. Кстати, на тему моего позиционирования, я человек бизнеса и позиционирую себя именно так.
Алексей Волков: Вы меня опередили . Про закон об охранной деятельности: и править эту часть никто не планирует, как-то живем, коллизий не видим…

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 18:07
Вы, Евгений, человек ИТ и ИБ-бизнеса, Ваш подход совершенно понятен, и радует, что Вы, как представитель этого бизнеса, осознаете ответственность за “прокачивание” дорогостоящих решений. Очень часто представители Вашего как раз “выкачиванием” и занимаются, о чем Майя уже писала.

[Ответить]
7. Майя Ольшанская Says:
марта 22, 2010 at 14:32
“Поголовное” лицензирование невозможно. Вы посмотрите список выданных лицензий по ТЗКИ, особо обратите внимание на порядковый номер последней лицензии.
Насчет закона о техническом регулировании. Вот тут происходит что-то непонятное. Как только спецы по ИБ просят создать техрегламент для ясности работы с защитой информации, так сразу “юристы” говорят, что мол ваша сфера не подходит под этот закон. И одновременно этих спецов “и надо и не надо” тыкают носом в этот закон, – мол “учите мат часть”.

ЗЫ. К сожалению я тоже не юрист, но к счастью я математик.

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 14:54
Майя,

Чего-чего, а с математикой у соответствующих людей ТАМ все в порядке, считать определенный производный продукт древесины умеют очень хорошо

[Ответить]
Чти законы Reply:
марта 22, 2010 at 15:48
Про лицензирование никто ничего не говорит, я тоже считаю, что лицензированию подлежат те, кто зарабатывает на защите информации деньги. К вопросу о регламенте, много вы видели таких просьб от специалистов ИБ? Мне в области своей профессии пришлось участвовать в разработке данного регламента и я видел, что там сделано и что внесено на рассмотрение в Комитет. Разница чувствительная. Радует, что ФСБ все таки радеют за нац.безопасность и не позволили убрать испытания СЗИ, которые сейчас имеются в практике сертифицирования средств.
Опять же, что касается специалистов, в России очень плохо построена система обучения специалистов ИБ, у нас либо перекос в техническую часть (область ИТ), либо перекос в математическую часть (в области шифрования), а правовая составляющая представлена в виде списка законов и методичек, без разъяснения,когда вступает в силу та или иная часть законов и регламентов. По итогу получается однобокий специалист, что неправильно. Не спорю, должны быть грамотные специалисты в области криптографии, в области построения системы безопасности со стороны внедрения СЗИ, но нужны и специалисты, которые разрабатывают весь комплекс мер и средств при построении КСЗИ, который включает в себя не только технические меры, а ещё и орг.меры. Данных специалистов можно вырастить только если давать им и правовую основу в области ИБ. Так что юристы, Майа, тоже важны в нашей профессии.

[Ответить]
Алексей Волков Reply:
марта 22, 2010 at 18:03
Уважаемый Чти законы! Я согласен с тем, что специалисты по ИБ зачастую не очень подкованы в юридических вопросах, однако мне не встречались юристы, которые были бы хорошо подкованы в вопросах ИБ Лично я уже подумываю над получением второго юридического образования, дабы в случае, когда настает момент выяснения подобного рода отношений в плане “измерения авторитетов”, было бы что предъявить Да и с точки зрения самообразования весьма неплохо.

[Ответить]
Michail Gruntovich Reply:
марта 23, 2010 at 1:32
К стати, такое смещение из технарей в юристы есть нормальное явление. И получаются недурные специалисты.

Зато юристов, получающих второе образование в области тех. наук, я как-то не встречал. О чем это говорит, коллеги? Не о том ли, что наши юристы слишком далеки от дела, чтобы быть способными понять, о чем это они? Или они настолько меркантильны?

А может мне просто не повезло встретить прцедент?

alex_b Reply:
марта 23, 2010 at 8:32
Тоже планирую получение второго юридического. Наши АйТишники, с которыми тесно взаимодействую, всеми руками-ногами за, поскольку юристы настолько обленились и выварились в собственном соку, что ни в какую не хотят признавать легитимность ЭЦП и прочие ИТ и ИБ аспекты основной деятельности.

Романов Александр Reply:
апреля 29, 2010 at 12:57
добрый день!
являюсь как раз начинающим специалистом в области ИБ, который перешел в ваш стан из Гос.тайны. В связи с чем у меня возник ряд вопросов, как юридических, так и технических. Так как в этом блоге собрались специалисты, которые имеют уже определенный опыт, то хотел бы обратиться за помощью… рад буду всем, кто откликнется. оставлю свои координаты: skype – romanov_a.e., icq 263801180. вопросы задам при общении, так как тут, я думаю, нет смысла их озвучивать… вам и так все понятно)))))
спасибо!

[Ответить]
8. Michail Gruntovich Says:
марта 23, 2010 at 1:49
1. “…а средство шифрования – шифрует…”

По-моему, Евгений, это не совсем удачный пример. С шифрованием Вы норовите попасть под “крылышко” ФСБ и напороться на необходимость лицензирования по техническому обслуживанию шифровальных (криптографических) среств. Это не самый удачный маневр.

2. Мое мнение: закон о ПерсДанных встряхнул операторов на предмет того, ЧТО они делают с этими самыми данными. Если кто-то осознал, что они ему нафиг не нужны, это уже здорово. Так что в какой-то мере “пугало” тут еще некоторое время оставлять нужно. Чтоб неповадно было собирать адреса/телефоны/паспорта кому ни попадя.

Но с другой стороны, подвижки налицо, и постпенно все должно прийти к консенсусу. Я имею в виду не частности лицензирование/сертификацию, а нормативную базу в области ПДн. Уж коли она начала смещаться в сторону разумной достаточности, туда и должна приплыть. И с лицензированиеЪсертификацией нужно искать “золотую середину”.

Понятно, мгновенного результата ожидать не приходится. И выполнять закон все таки придется, даже в том виде, как это получается из их приказов. “Карма” у нас такая: пройти через эти круги.

Но вот проповедовать, что “Для защиты персональных данных можно использовать любые средства защиты”, я бы не советовал. Это по меньшей мере непрофессионально, если не безответственно. Мы допрыгаемся до абсурда.

[Ответить]
Царев Евгений Reply:
марта 23, 2010 at 10:06
Michail Gruntovich: 1) “не совсем удачный пример” – согласен . По существу.
2) Коллеги,
О какой пропаганде вы говорите?
Повторю еще раз.
Когда я говорю, что для защиты персональных данных можно использовать любые средства защиты – это не мое желание, а то что получается исходя из сегодняшней нормативной базы. Ненужно путать желаемое с действительным. Все что я хочу сказать, что указаний на использование сертифицированные техсредств нет. Вот и все.
Этим фактом каждый может пользоваться как пожелает.

[Ответить]
Алексей Волков Reply:
марта 23, 2010 at 10:26
Любые средства должны соответствовать целям. Лозунг “движение – все, цель – ничто” – приведет к построению коммунизма (который в СССР должен был быть в 80х годах). Если считаете, что Вам необходимы сертифицированные средства – будьте любезны, пользуйте. Считаете их экономически нецелесообразными – можете не использовать. Это “скрыто” в подтексте государственных документов, однако присутствует в любых стандартах по ИБ. Экономическое обоснование средств защиты – краеугольный камень построения эффективной системы ЗИ.

[Ответить]
alex_b Reply:
марта 23, 2010 at 13:18
А тут, как мне кажется, есть определенная сложность. Ведь оценка рисков упирается в ущерб, наносимый субъекту ПДн. В случае с КТ принцип “стоимость защиты не должна превышать суммы ущерба” оценивается исходя из стоимости НМА. В случае с субъектом ПДн как поступать? Если только гибридный подход – экспертная оценка и анкетирование субъектов ПДн.

[Ответить]
Алексей Волков Reply:
марта 23, 2010 at 16:24
Я давал комент в предыдущем посте на тему “Что изменилось для субъекта ПДн” по поводу оценки ущерба… ничего не изменилось с тех пор

alex_b Reply:
марта 24, 2010 at 8:47
Иными словами, треба использовать стандартный подход – ущерб репутации компании, вызванный утечкой ПДн? Потому как исходя из Ваших слов “Про гражданина, как полагается, речи вообще не идет… Все озабочены проверкой и “натяжкой” операторов, забывая о главном: как оценить ущерб гражданину и компенсировать его?”, стоимость защиты при любом раскладе выше, чем сумма компенсации субъекту (стремящаяся к нулю).
Или исходить как раз и стоимости “натяжки”? Тогда теряется смысл соотношения риск/стоимость защиты.

Алексей Волков Reply:
марта 24, 2010 at 9:51
Вы явно недооцениваете риск и стоимость “натяжки” – внимательно почитайте ответственность операторов – ибо “до 800 тыс руб, до 5 лет, приостановление деятельности…” Чем не бизнес-риски? Обязательно нужно учитывать! Полагаю, учитывать нужно и ущерб репутации, и возможный ущерб оператору в случае иска от субъекта (например, у оператора украли данные зарплатной банковской карты субъекта, изготовили аналогичную со всеми вытекающими).

Алексей Волков Reply:
марта 24, 2010 at 11:44
В дополнение – к сожалению, далеко не во всех случаях и совсем не для всех операторов можно хоть сколь-нибудь приблизительно посчитать ущерб, нанесенный субъекту. Например, какой ущерб мне нанес ЖКХ в результате того, что предоставляет ЛЮБОМУ ЖЕЛАЮЩЕМУ списки жильцов, проживающих в квартирах ( а такое было не раз) для того, чтобы жильцы дома контролировали число граждан, проживающих в кваритрах, с целью оптимизации расходов на потребление ресурсов, расчитанных по нормативу? Это РЕАЛЬНЫЙ пример – вот отсюда взятый (см. п. 2):

http://www.gorodok35.ru/services/dlja_sobstvennikov/

Предложения по оценке ущерба субъекту имеются?

alex_b Reply:
марта 24, 2010 at 16:09
Вот именно про это я и говорил. И возвращаемся мы к тому, что ущерб определяется в процессе рассмотрения конкретных дел в суде. А насколько компетентный человек будет оценивать нанесенный мне ущерб – вопрос открытый. Не каждый субъект, чьи права нарушены, может собрать необходимую доказательную базу для обоснования суммы ущерба.
Вообще, оценивать ущерб постфактум – отвратительная практика, но по другому, в отсутствии каких либо методик оценки ущерба, не получается. Оператор в этом случае может заложить в расчет какую-либо заранее определенную сумму, но для этого, как я писал, часто требуется применение экспертного подхода.
Правда, это скорей в ветку “что изменилось для субъекта ПДн”. И ответ все тот же – ничего

Алексей Волков Reply:
марта 24, 2010 at 17:03
Существует две независимые единицы, по отношению к которым применим термин “ущерб”.

Оператор при реализации защитных мер основывается на оценке рисков, которые могут нанести потенциальный вред деятельности, при этом ущерб оценивается потенциальный. В любых стандартах по ИБ и рекомендациях по риск-менеждменту есть риск “несоблюдение требований законодательства”. В случае с ПДн основной риск на мой взгляд – приостановление деятельности компании в связи с запретом обработки ПДн до устранения нарушений. Оцените потенциальную стоимость простоя компании от реализации такого риска – вот вам и экономическое обоснование затрат. Реальный же ущерб оператор посчитает только тогда, когда риск будет реализован – т.е. придет регулятор и всех накажет за грехи.

А вот с точки зрения гражданина – ущерб посчитать получается пока “постфактум”, однако взыскать его с оператора в полной мере в суде не получится. Ничего не изменилось

Алексей Волков Reply:
марта 23, 2010 at 10:43
Насколько я знаю предмет, существуют различные способы и уровни шифрования, есть такое понятие “шифрование некриптографическими методами”. Однако вот все протоколы – и IPSec, и SSL – по сути являются криптографическими, хотя и применяются везде где можно. Как тут быть? На каждый SSL сертификат и Cisco VPN Router сертификат получать от ФСБ?

[Ответить]
Ivan K Reply:
марта 23, 2010 at 12:50
А ссылку можно на такой метод шифрования который “некриптографический”? По моему разумению, не уверен, что есть такие.

[Ответить]
Алексей Волков Reply:
марта 23, 2010 at 16:26
Ну вот например:

http://consulting.ru/econs_art_962488790/cons_printview

Погуглите еще, что называется

Алексей Волков Reply:
марта 23, 2010 at 17:05
Тут мне еще коллеги-банкиры подсказали, что у регуляторов подход такой: если средство не является сертифицированным, значит – это не СКЗИ – оно просто как-то там шифрует-кодирует, но к криптографии это не имеет отношения, даже если используется криптографическая технология. Криптография – это сертифицированный ГОСТ, все остальное – кодирование канала, технически защитная мера, но юридически бессмысленная (в части доказательной базы по платежкам, например).

Ivan Klimenko Reply:
марта 25, 2010 at 22:05
Без обид Алексей, что придираюсь, но по ссылке есть только слова “некриптографические методы”, которые к шифрованию отношения не имеют. Более того суть написанного как раз в том, что ЭП может быть выполнена и некриптографическими методами… Криптография – это в принципе наука о шифровании, т.е. об обратимых и не очень преобразованиях открытого текста в закрытый и приложениях этого процесса… Так что см. http://ru.wikipedia.org/wiki/Криптография и больше не обгоняем если не уверены. Гуглить смысла не вижу – я 4 года назад нагуглил себе красный диплом по специальности 075200, думаю мне этого достаточно.

А вот про сертификацию как единственное доказательство существования или верификации объекта как СЗИ или СКЗИ не от Вас первого слышу… Думается, подход стоит взять на вооружение…

Алексей Волков Reply:
марта 25, 2010 at 23:14
Иван, конечно, какие могут быть обиды? И вовсе Вы не придираетесь. Я, честно признаюсь, не специалист в криптографии – скорее, организатор и потребитель ее как услуги (знаком по интернету, книжкам Касперского и теперь Википедии ). Потому тем более приятно, что Вы согласились с тем подходом что я написал Мне тут один анонимный источник из совершенно анонимного заведения сказал – дескать, какая криптография? Получай лицензию – будет легально все. Не получишь – все равно детский лепет… На мой вопрос про то, не является ли детским лепетом первый случай, источник хитро и снисходительно разулыбался

Алексей Волков Reply:
марта 26, 2010 at 0:00
В дополнение – на одном из мероприятий по защите ПДн, на котором мне посчастливилось общаться, точнее – воочию лицезреть уважаемых людей из ФСТЭК, последние заявили, что их область ответственности цитирую “заканчивается на шифровании некриптографическими методами, потому как криптография – область ФСБ”. Что за этим стоит – очевидно, то, что если у меня прикручен SSL или есть VPN (а как известно, эти технологии используют криптографические методы шифрования – пары ключей), но нет на них сертификата ФСБ – то это дело ФСТЭК. Ну а если есть, да еще есть и лицензия ФСБ – то уж извините – зона ответственности поделена.

Michail Gruntovich Reply:
марта 27, 2010 at 2:13
Коллеги, тут налицо полное незнание положения дел.

1. Криптография занимается не только шифрованием, но и много чем другим. По существу, современная криптография есть математическая наука о защите информации путем ее преобразования с участием ключа. Цели безопасности, достигаемые криптометодами, разнообразны и не ограничиваются только конфиденциальностью, т.е. секретнойстью. Тут и целостность, и аутентификация, и неотказуемость, и еще все, что попросят сделать. Криптография – это математика, которая предолставляет доказуемо точные методы защиты. И все!

Если это слишком сложно, то прошу пардона.

2. Читаем ПКЗ-2005, или закон о лицензировании отдельных видов деятельности, или еще что нибудь из нормативной базы по СКЗИ. Там есть определение, что считается криптографическим средством. В списке присутствует т.н. “кодирование”. Раньше действительно за этим термином пытались нырять из-под ФАПСИ под Гостехкомиссию, но нынче это не проходит. Это тоже считается шифрованием. Так что опять же по тем же положениям уйти можно только, если Ваша деятельность не оказывается в зоне действия этих положений (ПКЗ-2005, Положения о лицензировании деятельностей, связанных с СКЗИ). Вот только ПерсДанные, боюсь, не тот случай. Лучше бы просто без криптометодов обойтиться. Хотя местами не получается, вот это уже несчастье.

Впрочем, если вопрос о лицензировании технического обслуживания СКЗИ, то можно решить его аутсорсингом. А цифровой подписью и вообще удается пользоваться без лицензии: глаза закрывают на местах.

3. Про некриптографическое шифрование, вот уж небылица, ничего не слышал, хотя давно живу на этом свете, да изанимаюсь практически этой тематикой. Но чиновники на все способны. Это ж не проблема: ввел новый термин, дал определение, да и живи с ним.

4. Ссылка на некриптографическое шифрование не по существу. Некриптографические аналоги цифровой подписи действительно не отвергаются. НО! Большинство в ссылке перечисленное внутри криптографию же и содержит.

А биометрия не имеет такого уровня доказательности, чтоб к ней можно было относиться так же серьезно. Хотя для использования в житейской практике ее хватит. А для чего ее еще хватит, пусть докажут. Что-то больше руками машут, чем математику приводят.

А о PIN-кодах/паролях верно то же: они дают существенно дургой уровень гарантий. Проль – легко запоминаемая секретная информация. Значит относительно легко перебираемая. Легко не с точки зрения самого пользователя, а с точки зхрения стоимости той информации, что он может “запирать”.

Однако, что-то я длинно. И прошу прощения за тон.

Ivan Klimenko Reply:
марта 28, 2010 at 10:25
Михаил,
Если пункт 1 вашей речи “Криптография занимается не только шифрованием” в мой огород, то отмечу лишь, что я и не утверждал, что только шифрованием.
На самом деле, действительно, интересует, где граница ответственности ФСТЭК и начало ответственности ФСБ. Вот здесь многих путают, да я и сам путаюсь. Видимо надо смотреть в положениях о соответствующих службах, но как то там расплывчато. Вопрос не праздный особенно в свете алгоритмов обезличивания. Если помните всплывало тут (на просторах блогосферы) письмо РКН об обезличивании, где РКНовцы отмели предложенный вариант, как криптографию (если мне не изменяет склероз, речь шла а варианте маскирования), но добавили, что в принципе методы и способы обезличивания оператор выбирает и реализует сам. Ну а обезличивание, как все мы знаем один самых замечательных выходов. Только выход не освещён)

Алексей Волков Reply:
марта 28, 2010 at 14:11
Михаил, не заодно ли Вы с Чти законы? Не стоит возмущаться. Лучше бы Вашу энергию да в госструктуры, да в уши должностным лицам, делающим разграничение на “криптографическое” и “некриптографическое” шифрование. ИМ говорите про незнание. Я и сам Вам это скажу – да мне это и не надо – разве что в целях осведомленности. По мне – лишь бы эта железка стояла, там где надо, и делала, что надо, да был бы спец по ее эксплуатации. Разные уровни иерархии

Алексей Волков Reply:
марта 28, 2010 at 15:16
Кстати. Ответа-то на мой вопрос мне так никто и не дал, несмотря на развернутую полемику по вопросу “измерения авторитетов”. Вопрос к Вам, Михаил, как к специалисту, по Вашему же тексту.

“По существу, современная криптография есть математическая наука о защите информации путем ее преобразования с участием ключа.”

“Вот только ПерсДанные, боюсь, не тот случай. Лучше бы просто без криптометодов обойтиться. Хотя местами не получается, вот это уже несчастье.”

Следуя Вашему определению, HTTPS – это суть криптография, т.к. имеются ключи (сертификаты SSL – назовите как угодно). VPN, IPSec – то же ключи, а значит, та же криптография. И то, и другое очень часто используется операторами.

По изложенному подходу, получать лицензии ФСБ на эти методы нет необходимости, т.к. “государственный подход” говорит о том, что я их могу использовать сам для себя где угодно. И на эту “лабуду” мне лицензии не дадут в принципе.

Лицензия появляется в случае, если у меня ИСПДн К1, или я работаю с гостайной, или являюсь банком со всеми вытекающими, и в этом случае я должен использовать сертифицированные средства КЗИ – с реализованным ГОСТом. Иначе лицензии не видать мне как своих ушей.

Обратите внимание на то, что криптография ВЕЗДЕ. Теперь далее. На ряд совершенно идентичных устройств, реализующих VPN, встречаются следующие предложения:

Балалайка – 500 $, Балалайка с сертификатом ФСТЭК – 1000$, Балалайка с сертификатом ФСТЭК и ФСБ – 1500$.

При этом, если у меня ИСПДн ДО К1 – я могу поставить балалайку за 500, К1 – за 1000, а если еще и спецкатегории обрабатываю – то без 1500 не обойтись (грубоват примерчик, но суть я надеюсь ясна).

Как ни крути – везде криптосредства по сути, но с точки зрения “государственного подхода” таковыми являются лишь те, что за 1500 – “сертифицированное СКЗИ”. За 1000 – это “сертифицированнное СЗИ”, а за 500 – просто СЗИ.

Внимание, ВОПРОС Михаил, имеют ли право на жизнь изложенные мной соображения?

Michail Gruntovich Reply:
марта 29, 2010 at 0:26
За запал прошу пардону. Мне просто показалось, что кто-то криптографию к шифрованию сводит. Вот и опустился до ликбеза.

2Алексей:

Да правильно Вы все тут излагаете.

Ведь как можно было бы подумать, читая многокнижие и т.п.: кто-то очень умный за меня, гражданина, озаботился. И рекомендует ИСПДн К1 чтоб была сурьезно безопасной. По уму бы “сертифицированный” должно тут означать “проверенный”. Это и было бы государственным подходом, без кавычек. Потому и цены на железки разные. Любая склепана неизвестно кем, о ком наше государство ничего не знает. А вот за 1500$ это уже проверено нашими специалистами и точно может “прикрыть попу” ответсвтенным работникам.

Ну есть тут некоторая логика: если Вам “прикрывать” не надо, то и стоит это дешевле, а уж коли оказались на таком месте, что требуется защищенность повыше, так уж раскошелиться придется, поскольку накладные расходы на производство таких средств повыше, да и не только они. Это только внешне кажется, что все эти средства аналогичные. Ой, не аналогичные они.

Есть в нашем контексте еще одно соображение. Я как-то уже высказывал тезис о том, что вся эта катавасия вокруг ПДн есть всего лишь “пугало”, чтоб одумались, а стоит ли их, эти данные, собирать направо/налево. Если сработает, то со временем “пугать” перестанут, да и мы привыкнем. В принципе и с крнфиденциалкой когда-то так было. А теперь все привыкли/притерпелись. Кто-то нашел выходы. Да и “спецы” перестали зажимать гайки.

А то, что криптография везде, то и это часто правда. Только лицензирование у нас на предмет криптографии не повсеместно. Тут нужно посмотреть положения о лицензировании деятельностей, связанных с СКЗИ. Там scope прописан. По мелочи ее использовать можно и без лицензий.

То, что я написал про “лучше без критптометодов обойтись”, то я имел в виду ту волокиту, которая за этими криптометодами следует. Она часто людям не видна на первый взгляд. И в ИСПДн тоже. Если по модели угроз выбраны криптосредства, то за этим лицензии последуют (или аутсорсинг, как уход). А вот как еще закрыть передачу по открытому каналу, например?

Коллеги, а может вспомнить ГОСТ ИСО/МЭК 15408 и пойти по этому пути? Там куда больше свободы у собственника при выборе методов защиты. И ведь то интересно, этот стандарт гармонизирован под крылышком того же ФСТЭК. И его никто не отменял.

Алексей Волков Reply:
марта 29, 2010 at 9:50
Михаил, одно малююююююсенькое Ы:

“накладные расходы на производство таких средств повыше, да и не только они. Это только внешне кажется, что все эти средства аналогичные. Ой, не аналогичные они.”

Конкретный пример – Alladin E-Token.

Обычный – 1000
Сертифицированный – 2000

Следуя Вашей логике можно предположить, что эти средства чем-то отличаются друг от друга – “сертифицированный” проверен ФСТЭК, а в несертифицированнот могут быть программные закладки итд?

Уверяю Вас, это не так. Разработчики делают ОДИН И ТОТ ЖЕ продукт. Просто сертифицированный дороже стоит в связи с расходами производителя на эту сертификацию. Сертифицирующие органы действительно проводят испытания и ПОДТВЕРЖДАЮТ, что продукт соответствует заявленным требованиям. Какая мне разница, как потребителю? Никакой. Фирма известная, продукт известный и он ОДИН. Это не колбаса, которая на выставке может быть вкусная, а в магазине невкусная (а вот в этой отрасли уже сертификацию отменили).

Накладные расходы на производство одинаковые – продукт изначально содержит все необходимые методы. Или Вы полагаете, что в ключе E-Token с наклейкой ФСТЭК содержится что-то еще, чего нет в токене без наклейки?

Фирмы с мировым именем никогда не будут заниматься подобной ерундой. Продукт один и тот же, наличие сертификата ничего не меняет. Просто наши сертифицирующие органы отстали от жизни, и вместо системных изменений внутри себя они предпочитают использовать старую проверенную схему распила древесины. Особенно в условиях, когда в РФ производство технических средств ИТ и ИБ сведено практически к нулю. Зайдите в серверную – много у Вас российских железяк установлено (100% произведенных, а не собранных из импортных комплектующих)?

По уму, для защиты гостайны и прочей государственно значимой информации нужно использовать свои, российские железки и свой софт, вот тут пусть и работают разработчики и регуляторы – и испытания проводят и все остальное. А с потребительскими железками получается мимикрия.

На мой взгляд, нужно радикально “перетрясти” госструктуры – поскольку они живут еще в Гостехкомиссии. Но принимая во внимание общее положение дел в нашей стране – до этой сферы доберутся ой как нескоро

Michail Gruntovich Reply:
марта 29, 2010 at 22:47
2 Алексей

Опять Вы правы. Помимо действительно имеющих место дополнительных затрат на “уровень зрелости” и “гарантии” есть и такая составляющая. Испытательные лаборатории берут деньги за тематические исследования. И немалые. Что ж, они опытные люди, адекватно оценивающие себя. А это и в США так. Эксперные органы же работают за зарплату. По крайней мере, официально…

А вот упоминание E-Token не совсем по существу. Уже то, что у них две цены наводит на мысль об обмане. Но это же фирма со 100% заграничным капиталом! Что ж она себя так не по-ихнему ведет? Но это так, отступление. Хотя впору задуматься.

А про НАШИ продукты это в точку. Акромя Касперского некого и вспомнить, чтоб тягался наравне с импортными продуктами. Вот только регуляторы и спасают.

Но у этого вопроса есть и обратная сторона медали. Гляньте на сельское хозяйство, которое загнали в … А ведь это стратегическая отрасль государства. Так что, нам загнать туда же и ИБ? Т.е. Вы верите в то, что продукты, идущие из-за бугра не имеют начинки? Это Ваше право, верить. Но это не всегда так, поверьте теперь уж мне. Что-то мне не хочется, чтобы наша ИТ встала по мановению палочки дяди Сэма, или Дьердя Шороша, или еще кого там, кто захочет поиграть не знаю в какие игры, дезорганизуя нас. Ну хоть разочек подумать об этом надо и пытаться выстраивать самим жизнь по эту сторону границы. Итак уже все лежим под микрософтоми.

Понимаю, Вы скажете, пусть гостайну и закрывают. Но ведь не все стратегически важное в гостайне лежит. Подавляющая масса работает в обычной конфиденциалке. И тем не менее этот объем от того не становится стратегически важным для государства.

Ну жестко тут, да. Неудобно, топорщится. Давайте договариваться, чтоб было мягче. Но сбрасывать безоапсность на ноль не стоит. В том числе и вопросы доверия к продуктам. А вдруг они правы?

В книге Фергюссона-Шнеера “Практическая криптография” прямо в самом начале авторы высказываются “Если вас-когда нибудь начнут убеждать поступиться безопасностью в пользу эффективности, повторите про себя несколько раз: “У нас уже куча быстрых и небесопасных систем. Зачем нам еще одна?”

Я насупил брови и жутко зашипел. И подумал: “Что это я? Я ж добрый”. И правда, не хотел быть таким назидательным, но что это получилось? Ох уж эта действительность!

Алексей Волков Reply:
марта 30, 2010 at 9:49
Михаил, да и Вы правы, как ни крути . Моя паранойя нисколько не сомневается в том, что НДВ, известные только разработкичам и еще определенным структурам, имеются в подавляющем большинстве забугорных систем.

Когда в стране в подавляющем присутствуют ТОЛЬКО забугорные разработки – о какой безопасности можно говорить? Поэтому нужно либо разрабатывать средства самим, либо вводить ПОГОЛОВНУЮ сертификацию всех средств, продаваемых на территории РФ, принять эту перу законодательно и обязать это делать производителей.

Однако кроме паранойи есть еще и здравый смысл. Windows я могу во ФСТЭК сертифицировать по классу НСД? Запросто. Причем как по партиям, так и серийно. Что дает сертификация, если это ОДНА И ТА ЖЕ Windows? Или Microsoft будет быстро-быстро убирать НДВ? Продажу средств на территории РФ осуществляет дилер. Разработчик и не знает, где будет установлен тот комп с виндой. Поэтому и обязанность сертификации лежит на потребителе.

Конечно, сторонники теории заговора меня поправят – мол, ББ смотрит на тебя Наверно, это правда. Наверно, правда и то, что в каких-то средствах, не прошедших сертификацию, существуют “жуки”, и “жуки” эти попадают в госструктуры.

Однако – не будем забывать, про то, что разработчики с мировым именем никогда не будут портить имидж и репутацию таким способом – это ведь не шутки. И не будем забывать, что “взломать” человека гораздо проще, дешевле и эффективнее. И я полагаю, “потенциальные партнеры” идут именно по такому пути.
9. Алексей Волков Says:
марта 23, 2010 at 10:20
Коллеги, какая классная тема развернута – просто уууух!!! Я позволю себе философско-пропагандирующий комент. На мой взгляд, знаниями нужно делиться. Любое знание, любая точка зрения имеют право на жизнь только тогда, когда его разделяет общество: чем больше людей думает так же, как вы, чем больше людей разделяет вашу точку зрения – тем дольше и активней знания живут, а значит – и мы, как их источник. Не бывает так, чтобы один человек знал все на свете – и ни Евгений, ни я, ни кто-либо из Вас тому не исключение. Мы с Вами, каждый из нас – безусловно, являемся уникальными, очень хорошими специалистами в определенных областях, у каждого из нас свой подход и свое мнение. Однако для того, чтобы оно было одно, и было “живым” – нам нужно, всем вместе – ИТшникам, ИБшникам, юристам, математикам и всем кому не безразлична тема – объединиться, рассказывать, обсуждать, приходить к общему знаменателю, и нести выработанное мнение в массы. Именно в этом нам и помогает блог Евгения. Если кто-то считает, что мы все пошли “не туда” – не стоит плеваться слюной утверждая что мы не правы – поясните, как на ваш взгляд должно быть, аргументируйте – результат будет гораздо лучше. Линус Торвалдс никогда не написал бы ядро Линукса, если бы все, кто принимал участие в разработке только и делали, что говорили ему про его ошибки. Напротив, много людей их исправляло… Ну, вы знаете. Короче, давайте отходить от нигилизма – даешь конструктивизм!

[Ответить]
10. alex_b Says:
марта 24, 2010 at 8:48
Евгений, а когда зарегистрированным можно будет править свои комментарии?

[Ответить]
Евгений Царев Reply:
марта 24, 2010 at 11:30
Когда узнаю что есть такое желание
На самом деле править комментарии не очень хорошо, логические цепочки могут теряться, но если нужно, посмотрю что можно сделать.

[Ответить]
Алексей Волков Reply:
марта 24, 2010 at 12:00
Да, Евгений, править было бы неплохо. А то бывает пишешь в торопях, мысль “зацепить” не успеваешь, приходится потом дополнять…

[Ответить]
Michail Gruntovich Reply:
марта 27, 2010 at 2:19
А еще бывает банально, что пальцы слишком толстые и опечатываются,а в запале забываешь перечитать. И вспоминаешь об имидже уже после того, как треснешь по Enterу.

Алексей Волков Reply:
марта 28, 2010 at 14:18
Это Вы про Вышенаписанное длинное где много букв? Берегите запал

Michail Gruntovich Reply:
марта 29, 2010 at 0:27
А чем еще заниматься по вечерам?

alex_b Reply:
марта 24, 2010 at 15:59
А вообще идеально было бы, если б можно было править только те комменты, на которые еще не ответили. Двух зайцев убивает.

[Ответить]
11. Евгений Пушной Says:
марта 24, 2010 at 15:07
День добрый! Извините за, быть может, глупый вопрос, но я не юрист ни разу.
“После отмены двух документов ушел вопрос: Аттестации.”
Так и не понял что теперь делать с испдн 1 класса? Сертифицированные средства защиты должны быть – это понятно. А сама аттестация? Ее теперь ВООБЩЕ не надо?

[Ответить]
alex_b Reply:
марта 24, 2010 at 16:15
Видимо все упирается в фразу из п. 3 ПП 781: “Достаточность принятых мер по обеспечению безопасности ПДн … оценивается при проведении государственного контроля и надзора”.
А аттестация в этом контексте – некоторая подстраховка. Если делать ее с привлечением добросовестного лицензиата ФСТЭК, имеющего “солидный послужной список”, то проблем в процессе контроля и надзора возникает меньше. Вопрос – только в цене, те. готовы ли Вы выложить определенную сумму за повышение уровня спокойствия.

[Ответить]
12. crypto Says:
марта 26, 2010 at 13:50
“Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.”

Евгений, почему Вы так считаете?

[Ответить]
Алексей Волков Reply:
марта 26, 2010 at 14:43
Тему эту уже обсасывали не раз. Тут например.

http://mmite.3dn.ru/forum/2-9-1

[Ответить]
toparenko Reply:
марта 29, 2010 at 15:13
Дополню еще одной ссылкой
http://www.a-datum.ru/forum/viewtopic.php?p=508#p508

[Ответить]
Алексей Волков Reply:
марта 29, 2010 at 17:48
Вот уж ссылка так ссылка! Спасибо! Я полагаю, в этом вопросе можно поставить жЫрную точку Сохранил и всем коллегам разослалю

Michail Gruntovich Reply:
марта 30, 2010 at 0:12
Что ж. Хорошо, что они сами с этим наконец определились.

И кто мешает им написать это открытым текстом? Или опять держат кота за пазухой? Так, на всякий случай, авось понадобится.
13. crypto Says:
марта 26, 2010 at 16:21
Алексей Волков
ОГРОМНОЕ СПАСИБО за ссылку!
Получил ответы на все свои вопросы!

[Ответить]
Алексей Волков Reply:
марта 26, 2010 at 16:53
Не на чем рад что было полезно.

[Ответить]
14. denaie Says:
марта 28, 2010 at 8:44
Да что бы государство хоть немного избавилось от такого инструмента контроля и сбора откатов? пройде немного времени и все вернется, все поотменят и даже наоборот закрутят гайки.
Не так давно имел беседу с ФСБ, они не знаю что такое шифрование DES 3DES а все туда же лезут в сертификацию рабочих мест для обработки ПД. а очень сложно что то обсуждать когда между двумя сторонами пропасть.

[Ответить]
Michail Gruntovich Reply:
марта 29, 2010 at 0:31
Да все они знают, что им надо. Скажите, зачем Кириенке знать ядерную физику? Он ее манагирует. Так и те ФСБшники, с которыми Вы сталкиваетесь. Зачем им знать свое дело до такой глубины? Они менеджеры.

[Ответить]
alex_b Reply:
марта 29, 2010 at 7:30
И в ФСБ есть распределение обязанностей. В институтах ФСБ (преподы оттуда на моей специальности преподавали) люди без кулькулятора зашифруют мегабайтную строку по любым трем выбранным криптоалгоритмам. А с теми, что вы общались – тут я полностью согласен с Михаилом.
И чуть в сторону – Джейн Шо (Jane Shaw), назначенная главой Intel, до этого работала управляющей компании Aerogen, специализирующейся на разработке лекарственных препаратов. Ранее была президентом другой фармацевтической компании. Таки шо удивительного? Есть ли разница что разделять и чем властвовать?

[Ответить]
Алексей Волков Reply:
марта 29, 2010 at 10:56
Талантливый менеджер может в принципе управлять чем угодно – потому как основная задача менеджмента заключается в сколачивании команды высококвалифицированных специалистов и управлении ею. Эффективность работы будет тем выше, чем лучше менеджер справится с этой задачей. В идеале – высокоэффективная система будет работать сама, задача менеджера будет сводиться в ее поддержании и определении стратегии. За бугром люди этому учились в течение долгих и долгих лет. Российский же менеджмент этого преимущественно делать не умеет – списывая свои неудачи на менталитет, особый путь развития страны, повальную коррупцию, отсутствие специалистов и прочие нюансы. А зарубежный менеджмент даже если и умеет, то в России результата все равно не получает, ибо один в поле не воин. Пример – Гус Хиддинк.

Надо понимать, что менталитет – это мы с вами. Пока у себя в башке порядок не наведем, пока не будем сами за себя и свою работу отвечать и не кивать на остальных – ничего не поменяется.

А про менеджмент в госструктурах… коллеги, о чем вы?

[Ответить]
15. Luper Says:
марта 30, 2010 at 20:35
Да вообще так

[Ответить]
16. amt2001 Says:
марта 31, 2010 at 9:53
1. Скоро появятся дополнительные (уточняющие) положения регуляторов по вопросам ПДн и чтобы оставить маневр для этих новых документов не редактируя “старый” 58-ой приказ и появились неясные моменты в самом приказе. Надеюсь это временное явление и обещание ФСТЭК все-таки сдержит.
2. Вопросы аттестации, лицензирования и сертификации в части защиты ПДн должны остаться только для гос. учреждений.
3. Есть также информация, что ближе к осени будут внесены изменения в ФЗ-152 отменяющий всякую защиту ПДн для собственных нужд.

[Ответить]
17. Evgeniy Zh. Says:
апреля 5, 2010 at 10:53
Здравствуйте. Спасибо за блог. Здесь я нашёл ответы на многие вопросы (особенно в комментариях) )
Но остался ещё один вопрос. Помогите мне, пожалуйста, ответить на него. Я так понял, что сертификация ПО не нужна для ИСПДн 2, 3 и 4 классов. А действительно ли это для гос. учреждений? Дело в том, что на некоторых форумах ссылаются на документ СТР-К 2002, в котором прописано, что для гос. учреждений нужна обязательная сертификация ПО. Сам документ я не нашёл. Заранее благодарю.

[Ответить]
alex_b Reply:
апреля 6, 2010 at 13:42
То, что вы не нашли документ – не удивительно. ДСП все-таки.
СТР-К, как ни крутись, это конфиденциальная информация в общем, и служебная – в частности. Но к ПДн он относится лишь косвенно (были у нас ПДн под ДСП – пришел ФСТЭК и сказал “Ай-я-яй…”, обозвали ПДн “Конфиденциально” – вопросы пропали). Таким образом, если у Вас нет категории “служебная информация”, то СТР-К приплетать не обязательно. А требования по сертификации там действительно есть (только не для классов ИСПДн, а для классов АС).
Если интересует документ – закажите у местного ФСТЭК.

[Ответить]
18. Алексей Волков Says:
апреля 6, 2010 at 12:35
В CNEWS 2 апреля Михаил Емельянников опубликовал статью, почему-то ссылку в комментариях блог не дает вставить, приведу выдержку:

В Государственную думу внесен законопроект с поправками в ФЗ-152, который, во всяком случае, в том виде, как он опубликован на сайте Думы, фактически является не перечнем поправок, а новой редакцией закона. Причем редакцией, радикально меняющей целый ряд основополагающих принципов закона. Остановимся лишь на одном изменении, касающемся вопросов технической защиты. Излишне жесткую, по мнению многих специалистов, формулировку части второй статьи 19 действующей редакции ФЗ-152 (“Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных …”) должны заменить следующие две нормы закона. “В случаях, установленных федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных …” и “При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных”.
Приведет это, скорее всего, к следующему. Практически все существующие информационные системы персональных данных функционируют вне регулирования их федеральными законами, и значит обязательных требований для них не будет. Это системы и государственных и муниципальных предприятий, обслуживающих население, и организаций здравоохранения и образования, и многих других. Несмотря на созданные некоторыми профильными министерствами методические документы, которые можно увидеть, например, на сайтах Министерств здравоохранения и образования, никакой реальной работы по защите персональных данных в этих организациях не велось по двум тривиальным причинам: нет целевого бюджетного финансирования работ (а других денег у них нет) и нет специалистов (добавлю – и вряд ли они появятся), способных разобраться в требованиях и реализовать их.

Что же касается коммерческих организаций-операторов персональных данных, их реакция будет очевидной: в договорах на предоставление услуг гражданам (где и содержится согласие на обработку) появится простая формулировка “Клиент (абонент, пользователь и т.п.) согласен с достаточностью мер по защите его персональных данных, предпринимаемых исполнителем”. Каких мер, клиент, естественно, никогда не узнает, да и нельзя их внятно описать в договоре на предоставление услуг связи, билете на поезд или самолет (который, по гражданскому кодексу, и является подтверждением договора перевозки) или квитанции на отправку заказного письма (это тоже подтверждение договора). Клиенту, которого такое положение вещей не устраивает, некуда пойти, ведь в договоре у другого исполнителя будет то же самое.
Весь пафос ФЗ-152 в части защиты прав личности таким образом выйдет в пар. В результате внесения рассматриваемых изменений из одной крайности – дорогостоящей реализации требований, не продиктованных бизнес-задачами, все впадут в другую, и для защиты персональных данных, как и прежде, делаться ничего не будет. Гостиничный и туристический бизнес, переждавший битвы вокруг закона, – яркий тому пример.

no comment, коллеги.

[Ответить]
19. yirr Says:
мая 12, 2010 at 16:11
“…Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет….” – а закон “О техническом регулировании”? Там определено понятие “оценка соответствия”. Определены процедуры оценки соответствия – сертификация и декларирование. В ФСТЭК России и ФСБ России есть свои системы сертификации которые позволяют все это делать.

[Ответить]
20. Alex Says:
мая 19, 2010 at 10:32
С одной стороны нововведение конечно хорошо. Однако как будет проводиться проверка соответствия, продекларированная в документе, непонятно… Наверное, стоит ждать выхода еще документа по этой самой оценке соответствия…

[Ответить]
21. alexey Says:
августа 3, 2010 at 12:20
Что значит “ушел” вопрос аттестации. Т.е. нужно привести ИСПДн в соотвествие и этим ограничиться?

[Ответить]