июля 28

Блоги по информационной безопасности

Информационная безопасность, Персональные данные 3 Коммент. »

Год назад выкладывал ссылки на ресурсы по защите персональных данных. Судя по статистике, пользователи несколько раз возвращались на эту страницу, стало быть потребность в простом списке ресурсов действительно была. Конечно тема персональных данных по-прежнему остается флагманской, но далеко не единственной.

Блогосфера информационной безопасности растет и растет быстро. Появляются новые блоги и развиваются существующие. По сравнению с ситуацией двухгодичной давности, сегодняшнего количества блогов вполне достаточно для получения объективной информации по подавляющему количеству вопросов в области ИБ. А учитывая «разношерстность» контента и его авторов, любой может найти для себя что-то интересное. Кстати об интересном: многие действительно интересные ресурсы существуют давно, но о них мало кто знает. В причинах можно долго разбираться, а можно сделать просто список блогов по информационной безопасности и предоставить читателям возможность выбора.

За основу я взял довольно полный список блогов с www.iso27000.ru и дополнил несколькими ресурсами, которые там не указаны. Я специально исключил какую-либо классификацию, т.к. каждый ресурс уникален и четкие грани по тематике провести не всегда возможно (хотя в скором времени видимо придется ;-) ).

Список, естественно, не окончательный, если вы считаете, что какого-то ресурса не хватает или у него неверное описание, пишите в комментарии.

Примерно так.

Post to Twitter

1185 . 534

Другие записи

Автор: Царев Евгений | Метки: , , , , ,

июля 14

Защита персональные данных по-украински или дежавю

Персональные данные 8 Коммент. »

Со мной регулярно связываются представители российских коллекторских агентств с просьбой дать разъяснение по тому или иному вопросу, связанному с персональными данными. Недавно обратились представители международного агентства. Особенно был интересен, тот факт, что большая доля бизнеса этой компании находится в Украине, где буквально 2 недели назад президент Янукович подписал украинскую версию закона о персональных данных (в своем твиттере в тот момент я написал, что сочувствую Украине ;-) ). В разговоре мне было интересно не только отвечать на вопросы, но и задавать их.

В результате получилось довольно интересное интервью, которое мы решили оформить и  опубликовать.

Обратите внимание, что большинство коллизий, на которые указывает Людмила существуют и в нашей нормативной базе, более того даже противодействие новым нормам схожи с «российской версией». Воистину братские народы.

Итак…

Общаемся мы с Людмилой Бец, представителем международной коллекторской компании.

Людмила добрый день. Для начала расскажите в общем о законе. О том, какие проблемы? Что настораживает? Как относятся к персональным данным в Украине простые граждане? Были ли уже какие суды? и т.д.

Закон о защите персональных данных в Украине уже подписан главой государства. Надеюсь, до введения в силу его все-таки доработают, с целью исключения неприменимых мер. Украинская ассоциация банков подавала прошение о ветировании закона с целью его доработки.

В России, на мой взгляд, поступили более разумно – и регистрируют не базы персональных данных, а их операторов. А это значительно облегчает исполнение норм закона.

У нас же в Украине, регистрации подлежат сами базы данных. Т.е. грубо говоря, если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона. И любая коммерческая организация, имеющая портфель клиентов, автоматически становится обладателем базы, которую нужно регистрировать.

Еще пример: оператор по работе с базами данных, по закону будет обязан уведомлять субъектов о любых изменениях в их персональных данных, просить разрешение на их использование для той или иной цели. Можете себе представить должника, который даст разрешение коллекторам писать ему письма с требованием суммы долга? А еще по закону мы обязаны исключить субъекта из нашей базы данных по его просьбе, а затем уведомить его об этом. Т.е. удаляем строку в базе данных, и сразу высылаем письмо по только что удаленному адресу. Как это исполнить физически? В применении к нашему полю деятельности – с введением закона в силу мы получим массовые запросы от должников с просьбой удалить данные из нашей базы.

Своя рубашка, конечно ближе к телу, но кому у нас не позавидуешь при введении закона – так это электронной коммерции ;-)

Есть откровенно анекдотические определения, к примеру: “…Действие закона не распространяется на … журналистов и профессиональных творческих работников“. А почему, собственно?

В отношении граждан – на моей памяти был один случай (еще до появления этого закона), когда гражданка подала в суд на ДМ-оператора, который ей прислал письмо от имени одного из предвыборных кандидатов. Но прецедент создать не удалось, она проиграла.

А после принятия Закона о персональных данных, Украинский Хельсинский союз по правам человека также обратился к президенту с просьбой ветировать закон, как несоответствующий европейским стандартам и несущий серьезную угрозу свободе слова в Украине.

У нас регистрация происходит подачей уведомления в Роскомнадзор. Как должна происходить регистрация баз данных в Украине?

Регистрация базы данных существует пока в теории, а она такова (цитирую закон):

“1. База ПД обязательно подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз персональных данных.
2. Регистрация базы данных осуществляется по заявочному принципу путем уведомления.
3. Заявление о регистрации базы ПД подается владельцем базы ПД в уполномоченный государственный орган по вопросам защиты ПД.
Заявление должно содержать:
- заявление о внесении базы ПД в Государственный реестр
- информацию про владельца базы ПД
- информацию о названии и местонахождении базы ПД
- информацию о цели обработки ПД в базе ПД, сформулированную в соответствии со ст. 6 и 7 данного Закона*
- информацию о других распорядителях базы ПД
- подтверждение обязательства об исполнении требований защиты ПД, установленных законодательством о защите ПД
4. Уполномоченный государственный орган по вопросам защиты ПД в порядке, утвержденном Кабинетом Министров Украины:
- уведомляет заявителя по позднее следующего рабочего дня со дня получения заявления о его получении
- принимает решение о регистрации базы ПД в течение 10 рабочих дней со дня поступления заявления
- владельцу базы ПД выдается документ установленного образца о регистрации базы данных в Государственном реестре.
5. Уполномоченный государственный орган по вопросам защиты ПД отказывает в регистрации базы ПД, если заявление о регистрации не соответствует требованием части 3 этой статьи.
6. Владелец базы ПД обязан уведомлять уполномоченный государственный орган по вопросам защиты ПД о каждом изменении данных, необходимых для регистрации соответствующей базы ПД, не позднее, чем в течение 10 дней со дня наступления такого изменения.
7. Уполномоченный государственный орган по вопросам защиты ПД в течение 10 дней со дня получения уведомления об изменении данных, необходимых для регистрации соответствующей базы ПД, должен принять решение относительно указанного изменения и уведомить об этом владельца базы ПД.
____________________________________
*Статья 7 закона о защите ПД – “Особенные требования к обработке ПД”
Статья 8 – “Права субъекта ПД”

Вы сказали что “если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона” Распространяется ли действие закона на случаи, если обработка ведется для личных и семейных нужд?

Нет, только в случае использования данных для рабочих нужд. Но признайте, сколько в Вашем телефоне контактов друзей/родных, а сколько рабочих? У меня получилось соотношение 1:50, приблизительно.

У нас регуляторами являются ФСТЭК, ФСБ и Роскомнадзор. Как будет регулироваться исполнение закона в Украине?

Для контроля за исполнением Закона о защите ПД будет создан специальный гос. орган по защите ПД (очередная кормушка, полагаю).

Вы сказали, что электронной коммерции не позавидуешь? Какие именно нормы на ваш взгляд наиболее опасны для них? Может быть, есть информация от представителей этой отрасли?

В законе прописано обязательное письменное уведомление (в электронном виде – не считается) субъектов базы ПД о любых манипуляциях с ПД – при объемах, которыми оперирует ЭК, затраты на исполнение норм закона серьезно перекосят их бюджеты.

Как вы оцениваете шансы доработки закона, и что на ваш взгляд желательно доработать в первую очередь?

Надежда на доработку закона есть. Украинская ассоциация директ-маркетинга уже готовила свои замечания по его усовершенствованию.

С точки зрения здравого смысла Закон страшно читать. Недаром на семинаре, посвященном его принятию в ВР, не явился ни один представитель власти. По информации, полученной от моих коллег, также интересующихся данным вопросом, за основу его был принят проект закона о защите ПД для Евросоюза, разработанный годах так в 90-х. Отсюда и откровенно устаревшие процедуры и методы применения. Необходимо привести Закон в соответствие с сегодняшними тенденциями в бизнесе и технологиями по защите ПД. Скорость, с которой был состряпан закон, объясняет ускоренная подготовка Украины к ЕВРО-2012 и необходимость привести законодательство в соответствии с нормами ЕС.

______________________________________________

Спасибо Людмиле, лично мне информация показалась очень интересной. Ситуация напоминает 2008-й год у нас.

Если у вас есть что добавить прошу писать в комментариях, по возможности Людмила ответит на вопросы.

Post to Twitter

4062 . 1539

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , ,

июня 26

Не защищаем персональные данные или почему нельзя бесконечно платить мизерные штрафы

Персональные данные 8 Коммент. »

  • А что будет за невыполнение требований ФЗ-152 «О персональных данных»?

Ответ банальный:

  • Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
  • Ну… это понятно, а что реально?
  • Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
  • А какой штраф?
  • Обычно 10 000 – 20 000 рублей.
  • У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!

Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:

В Ставропольском крае за тонировку стекол сажают.

Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».

Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.

Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.

Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.

Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.

Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.

Post to Twitter

7068 . 2555

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , ,

мая 13

Мошенничество с использованием сведений о состоянии здоровья

Персональные данные Добавить комментарий »

Очевидно, что утечка сведений о состоянии здоровья это очень серьезно. Однако реальных примеров мошенничества с использованием медицинских персональных данных немного, да и большинство из них носят бытовой оттенок. Например, соседка в сплетнях узнала группы крови членов семьи из 16-й квартиры. У мамы и папы – 1(00), а у ребенка 2(А). Понятно, что один из родителей таковым не является и…

Факты серьезного криминала из-за утечки сведений о состоянии здоровья встречаются редко. Но сегодня коллега прислал ссылку на историю, с описанной схемой мошенничества, которая, как мне кажется, сработает на многих.

Суть в следующем. Через несколько дней после сдачи анализа крови пациенту звонят и представляются сотрудником поликлиники, соединяют с участковым врачом, который сообщает пациенту, что у него лейкемия второй степени. После чего говорит, что сейчас переключит на онколога, который запишет на лечение, НО «Он будет вас посылать на Каширку. Ни в коем случае не соглашайтесь! На Каширке вас замучают химиотерапией и доведут до четвертой степени. Просите направить вас в ЦКБ! Только в ЦКБ! Там новейшая аппаратура. Там вас поставят на ноги». После этих слов пациента соединяют с онкологом, который естественно предлагает приехать на Каширку. Пациент начинает умолять отправить его в ЦКБ. И тут выясняется, что место в ЦКБ обойдется дорого. Человек соглашается на любые деньги, после чего «добрый» онколог радостно сообщает, что «в ЦКБ есть одно место. Правда, на него претендовали еще два человека, но одна пациентка сегодня скончалась, а вторая может немножко подождать, у нее не такой тяжелый случай». Стоит лечение в ЦКБ 400 тыс.руб. и деньги нужно передать социальному работнику срочно, а именно через час. Дальше дело понятное. У выхода из метро социальный работник дает несколько бумаг на подпись, забирает деньги и исчезает.

P.S. Что интересно, используется стандартный прием «передача клиента». Обратите внимание, разговор ведется в несколько этапов и каждый этап с новым человеком. Этот прием очень часто используется в продажах. Например, если сталкивались с оформлением бесплатных кредиток в магазинах или на улице. Они действуют именно так. Один с вами заводит разговор, и тут же «передает» вас другому человеку, который начинает свою беседу со слов: «Какую кредитную карту вы хотели?» Человек теряется и начинает выбирать, хотя никакую кредитку он еще 5 секунд назад не хотел.

Post to Twitter

8253 . 3311

Другие записи

Автор: Царев Евгений | Метки: , , , , , , ,

Апр 15

Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”

Информационная безопасность, Персональные данные 5 Коммент. »

Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.

Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.

Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:

  • Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
  • По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
  • В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
  • Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.

Вот так.

В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.

Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.

По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.

Ну вырвали они комментарий из контекста, так это ж не со зла ;-) :

Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.

Post to Twitter

17059 . 5553

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , , , , ,

Назад