Персональные данные по-русски

В преддверии второго чтения законопроекта с поправками в закон о персональных данных, решили с коллегами (toparenko и Алексей Волков) сделать исследование по теме персональных данных, а именно определить некие основные ключевые спорные вопросы персональных данных в русской вариации (штук 5-10), и расписать, как они решены (если вообще решены) в международной практике.

Чтобы сделать материал более интересным и адресным, просим всех читателей сообщить, какие темы вам кажутся наиболее спорными.

Для удобства, просим перечислить темы в форму ниже и нажать “Отправить”.

Также можно смело писать в комментарии, их мы тоже читаем

5712 . 1975

Другие записи

• Что изменилось области персональных данных для: Операторов персональных данных?
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Очередные попытки операторов персональных данных снизить риски
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• Персональные данные в Google или что плохого в российских интернет-ресурсах

Автор: Царев Евгений | Метки: Privacy, За рубежом, Законодательство, Коллеги, Консультация, Новость, Опыт работ, Права граждан

Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?

А изменилось очень многое. И, на мой взгляд, в лучшую сторону.

Пойдем по порядку. После отмены двух документов ушел вопрос:

Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.

Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.

Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:

• 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
• 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
• 3) Для защиты персональных данных можно использовать любые средства защиты.

Все три мнения реально присутствуют на рынке.

Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!

Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?

Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».

В заключении.

Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…

Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…

25523 . 7657

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• День 6. Получение запросов от субъектов персональных данных
• Внимание! Не нравятся документы регуляторов – предложи свои!
• Загадочный Паспорт здоровья или двойные стандарты в защите персональных данных

Автор: Царев Евгений | Метки: Privacy, Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, ИСПДн, Коллеги, Консультация, Лицензирование, Новость, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, РД, СЗПД, Требования, угрозы безопасности, ФСТЭК

Получил письмо от Майи Ольшанской с интересной ссылкой:

В Череповце есть такой сайт http://mmite.3dn.ru , на нем выкладывают результаты конференций и семинаров по ПДн, которые проводятся при участии Череповецкого Государственного Университета. На последнем семинаре “Обеспечение безопасности персональных данных в органах государственной власти и местного самоуправления” у представителя университета был доклад, в котором он постарался представить шаблонный вариант внутренних документов по ПДн.
Доклады, перечень документов и сами шаблоны можно скачать с сайта (прикрепляю к письму два предложенных пакета документов). Ссылка 1, Ссылка 2

PS Печально, что то, что по идее должно быть сделано регулирующими органами в сфере ПДн, делают сами операторы или “деятели” (которые заполнение этих документов продают за немалые деньги).

Часть документов потеряли актуальность в связи с отменой 2-х документов ФСТЭК, но все таки могут оказаться полезными при написании организационно-распорядительной документации.

14099 . 4704

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Что изменилось области персональных данных для: Операторов персональных данных?
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Внимание! Не нравятся документы регуляторов – предложи свои!
• День сурка или новые документы ФСТЭК
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК

Автор: Царев Евгений | Метки: Классификация ИСПДн, Коллеги, Консультация, Опыт работ, Требования, угрозы безопасности, ФСТЭК

В конце года обычно подводят итоги. Так что, постараюсь подвести итог в рамках тематики блога.

В течение всего 2009 года IT-рынок продолжало трясти. Менялась лидеры, менялись приоритетные направления, да и сама структура рынка успела измениться. Эти глобальные изменения проходили болезненно для большинства игроков. При этом динамика последних 6 месяцев вселяет оптимизм. Будем надеяться, что существующий позитивный тренд сохранится.

На фоне нестабильности большей части IT-рынка, как и прогнозировалось, заметно выделилось направление защиты персональных данных. Оно стало одним из немногих направлений, которое росло стремительными темпами с конца 2008 года вплоть до сегодняшнего дня и очевидно продолжит расти в краткосрочной перспективе. А раз так, то подвести итог по этой части IT-бизнеса задача не простая и временами спорная. Нормативная база в части персональных данных сейчас меняется (то ли еще будет). Некоторым даже начинает казаться, что еще чуть-чуть, и будет как в Европе . Что ж, такого мы, не увидим, но общая тенденция позитивная:

• вносятся поправки в закон;
• проводятся мероприятия по доработке подзаконных актов (разработки ведут министерства, ведомства, некоммерческие организации);
• снят гриф ДСП с документов ФСТЭК.

и т.д.

Одним словом работа кипит и в результате что-то «свАрится».

В новый год принято загадывать желания. Что ж, мне бы очень хотелось, чтобы работа по защите прав субъектов персональных данных перешла в цивилизованное русло и чтобы напряженность темы технической защиты персональных данных качественно снизилась. Само понимание темы должно сместиться в практическую и прагматичную плоскость. Наверное, слово «прагматичную» является ключевым. Уверен, что все это реально, а главное иного выхода нет, мы к этому обязаны рано или поздно прийти.

Что касается себя лично, то очень надеюсь на новый проект и развитие нового инновационного направления. В чем не сомневаюсь.

Всех с праздниками!

И счастливого нового года!

7061 . 2212

Другие записи

• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• День 7. Написание основных документов.
• День 1. Организация работы с целью защиты персональных данных
• Конференция IDC в Екатеринбурге
• Проблемы банков с персональными данными, или какие мы подписываем договора?

Автор: Царев Евгений | Метки: безопасность персональных данных, закон о персональных данных, Новость, обработка персональных данных, Опыт работ, система персональных данных

Операторы в желании нивелировать риски, связанные с законом ФЗ-152, идут на самые «последние» меры – начинают включать в договора пункты прямо противоречащие многострадальному 152-ФЗ, об одном из таких примеров я уже писал.

И вот за 2 дня пришло несколько писем с почти одинаковым содержанием:

«Операторы ограничивают наши права, раз заставляют подписывать такие договоры».

По моему мнению, некоторые права субъектов действительно необходимо ограничить, но уж точно не в рамках договора.

Ну-а раз вопросы поступили от субъектов, то и отвечу им.

С практической точки зрения, претензия обоснована, ведь альтернативы зачастую не бывает, кто-то получает зарплатную карту в конкретном банке, кто-то оформляет уже не первый год КАСКО в страховой компании и требовать от таких операторов изменить договор специально под вас, неразумно. Приходится подписывать в том виде, в котором предлагается. В последствии, если вы решите реализовать свое законное право, от которого отказывались в договоре, оператор не позволит вам его реализовать, опираясь на договор. Единственный выход – это пойти в суд. А суд, как говорится, это не место для хорошего человека .

С юридической точки зрения, ситуация выглядит иначе и значительно проще:
В России прославляется свобода договора (ст.421 ГК РФ), и граждане и компании свободны вставлять в договор все, что хотят, вплоть до того, что могут называть себя в рамках договора князьями, императорами, султанами и т.д.

НО!

Есть такое понятие как юридическая значимость, и юридически значимым может быть только договор соответствующий закону (ст.422 ГК РФ). В нашем конкретном случае, такой договор мажет быть даже признан немеющим юридической силы (если судья не захочет с этим возиться), а все потому, что он содержит пункты не соответствующие федеральному законодательству.

В результате, если вам дают договор, прямо противоречащий закону о персональных данных, то де-юре ваши права никто не ограничивает, ну а де-факто проблемы в реализации ваших прав могут возникнуть.

11609 . 5121

Другие записи

• Что изменилось области персональных данных для: Операторов персональных данных?
• Конференция IDC в Екатеринбурге
• Проблемы банков с персональными данными, или какие мы подписываем договора?
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Загадочный Паспорт здоровья или двойные стандарты в защите персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”

Автор: Царев Евгений | Метки: Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, Коллеги, Консультация, Новость, обработка персональных данных, Опыт работ, персональные данные работника, ПП 781, Права граждан, Требования