 Проснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:
- Привет! Завтракаю и смотрю тебя по телевизору…)))
- Сколько?
- Что сколько?
- Времени сейчас сколько?
- Уже 7 утра.
- А в Москве?
- …. Ой! А ты спишь?..
- )))
Пришлось просыпаться, т.к. следом позвонил еще один зритель Первого канала.
Недавно помогал коллегам с Первого канала в съемке репортажа по теме защиты персональных данных. Так вот сегодня этот репортаж вышел.
Помимо самого интервью, мы съездили на Савеловский рынок и со скрытой камерой пообщались с продавцами баз данных. Найти их оказалось совсем не трудно. Прямо при входе на рынок висит табличка «БАЗЫ ДАННЫХ», тут же стенд с дисками. Чего там только нет… базы ФНС, ФССП, ГИБДД, Пенсионный фонд, МТС, Билайн и т.п. Видимо «до кучи» продается база vkontakte.ru . Продавцы оказались настолько милы, что показали заинтересовавшие базы в работе. «Наколки» не нашел, все что запускали – работает. На прилавке есть как старые базы, вроде базы ГИБДД до 2008 года, так и совсем свежие. Для некоторых есть обновления вплоть до марта месяца текущего года. Цены порядка 1500 рублей за диск. Дешевле купить оптом, а еще лучше принести свой винчестер для записи на месте. В этом случае за терабайт всех баз данных, которые у них есть, с меня попросили 25 000 руб. Думаю, что если поторговаться, то можно легко скинуть до 10 000-15 000 руб. Как показал этот случай, именно столько сейчас стоит исчерпывающая информация о гражданах РФ.
24840 . 8074
Другие записи
Автор: Царев Евгений
| Метки: Privacy, Банки, безопасность персональных данных, За рубежом, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, Злоупотребления, Интеграторы, Информационная безопасность, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, обработка персональных данных, положение о персональных данных, Права граждан, Роскомнадзор, система персональных данных, СМИ, Требования, Уведомление, Уголовная ответственность, угрозы безопасности, утечки, ФСТЭК
 Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?
А изменилось очень многое. И, на мой взгляд, в лучшую сторону.
Пойдем по порядку. После отмены двух документов ушел вопрос:
Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.
Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.
Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:
- 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
- 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
- 3) Для защиты персональных данных можно использовать любые средства защиты.
Все три мнения реально присутствуют на рынке.
Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!
Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?
Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».
В заключении.
Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…
Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…
25524 . 7657
Другие записи
Автор: Царев Евгений
| Метки: Privacy, Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, ИСПДн, Коллеги, Консультация, Лицензирование, Новость, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, РД, СЗПД, Требования, угрозы безопасности, ФСТЭК
Довольно странным мне показалось заявление о намерении Роскомнадзора «завершить формирование Реестра операторов, осуществляющих обработку персональных данных» уже в 2010 году. То, что механизм по привлечению к административной ответственности операторов, не представивших уведомление об обработке персональных данных работает хорошо сомнений нет, но каким образом будет завершен сбор уведомлений непонятно. Сейчас в реестре зарегистрировано 85 000 операторов, всего операторов реально обрабатывающих ПДн несколько миллионов. Даже если предположить, что Роскомнадзор приложит очень большие усилия по сбору уведомлений, то собрать уведомления даже с подавляющего числа операторов все равно не получится. Так что, не знаю, как понимать такие заявления.
По всей видимости, под этими словами подразумевалось что-то другое.
15190 . 7285
Другие записи
Автор: Царев Евгений
| Метки: закон о персональных данных, Законодательство, защита персональных данных, Новость, персональные данные работника, положение о персональных данных, Права граждан, Роскомнадзор, система персональных данных
 По какой-то странной причине, приходится регулярно сталкиваться с бессмысленными формулировками. Например, сегодня на Newsru.com прочитал новость, в которой написано:
«Игорь Щеголев предложил приравнять адрес электронной почты к паспортным данным»
Что это значит? Что при регистрации в аэропорту мы будем на бумажках показывать адрес своей электронной почты и нас будут пропускать на борт? 
По сути, предложение министра простое. Одним из идентификаторов гражданина должен стать адрес электронной почты. Полученное с этого адреса письмо должно быть принято как официальный документ. Работает такая система во всем цивилизованном мире. Вот только непонятно, почему авторы статьи начинают и заканчивают искать решение задачи законом о персональных данных. По большому счету закон допускает использование e-mail как идентификатора.
Президент коллегии “Барщевский и партнеры” говорит:
«В случае принятия определенных поправок он (т.е. e-mail) может быть включен в перечень персональных данных и использоваться в качестве идентификатора наравне с номером паспорта и другими»
Кто-нибудь видел перечень персональных данных используемых в качестве идентификатора? Конечно нет, т.к. такого перечня не существует. Куда собрались включать e-mail?
Может быть в определение персональных данных:
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, ДРУГАЯ ИНФОРМАЦИЯ.
Фраза «другая информация» является ключевой. Все что нужно для попадания e-mail в эту категорию, так это простое разъяснения министерства. Ведь дело в судебной практике. Если суды будут признавать информацию с e-mail как официальную, то все будет работать. Невозможно сделать закрытый перечень персональных данных в законе, нужно принять это за аксиому. Сама природа персональных данных исключает закрытые перечни.
Другими словами дело не в законе, а в проекте. Если пришло осознание необходимости предоставлять услуги по электронной почте, то выдавайте e-mail’ы на защищенных площадках. Но не лезьте дальше, не создавайте дополнительный бардак. Ничто не мешает использовать почтовые ящики как официальный канал связи между государством и гражданином уже сейчас.
10786 . 4846
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Новость, обработка персональных данных, положение о персональных данных, Права граждан
 Более вдумчиво прочитал Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Теперь для меня стала очевидной недооценка этих документов.
Все материалы есть на сайте Минздравсоцразвития в открытом доступе. Чтобы оценить качество и содержание, необходимо, конечно, потратить довольно много времени, но вот всеобъемлемость можно оценить беглым взглядом по содержанию. Предлагаю вниманию существенные разделы содержания документов.
Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости
1 Общие положения
2 Методология формирования модели угроз
3 Описание ИСПДн
3.1 Определение условий создания и использования персональных данных
3.2 Описание форм представления персональных данных
3.3 Описание структуры ИСПДн
3.4 Определение характеристик безопасности
4 Пользователи ИСПДн
5 Типы ИСПДн
5.1 Характеристики ИСПДн
5.2 Типизация ИСПДн
6 Уровень исходной защищенности
7 Вероятность реализации угроз безопасности
7.1 Классификация угроз безопасности
7.2 Классификация нарушителей
7.3 Классификация уязвимостей ИСПДн
7.4 Перечень возможных УБПДн
7.5 Определение вероятности реализации УБПДн
8 Реализуемость угроз
9 Оценка опасности угроз
10 Определение актуальности угроз в ИСПДн
Приложение 1 Обобщенная модель угроз для Автономной ИС I типа
Приложение 2 Обобщенная модель угроз для Автономной ИС II типа
Приложение 3 Обобщенная модель угроз для Автономной ИС III типа
Приложение 4 Обобщенная модель угроз для Автономной ИС IV типа
Приложение 5 Обобщенная модель угроз для Автономной ИС V типа
Приложение 6 Обобщенная модель угроз для Автономной ИС VI типа
Приложение 7 Обобщенная модель угроз для ЛИС I типа
Приложение 8 Обобщенная модель угроз для ЛИС II типа
Приложение 9 Обобщенная модель угроз для Распределенной ИС I типа
Приложение 10 Обобщенная модель угроз для Распределенной ИС II типа
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
1 Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн
2 Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных»
3 Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений
4 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя
5 Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
5.1 Рекомендации по разработке Положения о защите персональных данных
5.2 Рекомендации по разработке Положения о подразделении по защите информации
5.3 Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн
5.4 Рекомендации по разработке Концепции информационной безопасности
5.5 Рекомендации по разработке Политики информационной безопасности
5.6 Рекомендации по разработке Перечня персональных данных, подлежащих защите
5.7 Рекомендации по разработке Приказа о проведении внутренней проверки
5.8 Рекомендации по разработке Отчета о результатах проведения внутренней проверки
5.9 Рекомендации по разработке Акта классификации информационной системы персональных данных
5.10 Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным
5.11 Рекомендации по разработке Модели угроз безопасности персональных данных
5.12 Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн
5.13 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
5.14 Рекомендации по разработке Плана внутренних проверок
5.15 Рекомендации по разработке Журнала по учету мероприятий по контролю состояния защиты ПДн
5.16 Рекомендации по разработке Журнала учета обращений субъектов ПДн о выполнении их законных прав 63
5.17 Рекомендации по разработке Инструкции администратора ИСПДн
5.18 Рекомендации по разработке Инструкции пользователя ИСПДн
5.19 Рекомендации по разработке Инструкции администратора безопасности ИСПДн
5.20 Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
5.21 Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
5.22 Рекомендации по разработке Технического задания на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения
5.23 Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта
5.24 Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн
5.25 Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора
6 Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
6.1 Обязательные технические мероприятия
6.2 Технические мероприятия, выполняемые, при выделении дополнительного финансирования
7 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений
7.1 Рекомендации по применению программно- аппаратных средств для подсистемы управления доступом
7.2 Рекомендации по применению программно- аппаратных средств для подсистемы защиты от программно математических воздействий (ПМВ)
7.3 Рекомендации по применению программно- аппаратных средств для подсистемы регистрации и учета
7.4 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения целостности
7.5 Рекомендации по применению программно- аппаратных средств для подсистемы контроля отсутствия недекларированных возможностей (НДВ)
7.6 Рекомендации по применению программно- аппаратных средств для подсистемы антивирусной защиты
7.7 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения безопасного межсетевого взаимодействия ИСПДн
7.8 Рекомендации по применению программно- аппаратных средств для подсистемы анализа защищенности
7.9 Рекомендации по применению программно- аппаратных средств для подсистемы обнаружения вторжений
8 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений
Ну и пакет с приложениями:
- Положение о защите персональных данных в информационных системах персональных данных (проект приказа)
- Положение о подразделении по защите персональных данных в информационных системах персональных данных (проект приказа)
- Приказ о назначении ответственных за обработку персональных данных в информационных системах персональных данных (проект приказа)
- Концепция информационной безопасности информационных систем персональных данных
- Политика информационной безопасности информационных систем персональных данных
- Перечень персональных данных, подлежащих защите в информационных системах персональных данных
- Приказ о проведении внутренней проверки информационных систем персональных данных (проект приказа)
- Отчет о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных
- Акт классификации информационной системы персональных данных
- Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных
- План внутренних проверок режима защиты персональных данных в ИСПД
- Журнал по учету мероприятий по контролю обеспечения защиты персональных данных в ИСПД
- Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД
- Инструкция администратора ИСПД
- Инструкция пользователя информационной системы персональных данных
- Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
- Инструкция администратора безопасности при использовании ресурсов объекта вычислительной техники
- Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
- Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
- Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
- Типовой Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
- Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
- Уведомление об обработке персональных данных
- Рекомендации по заполнению Уведомления об обработке
Вывод
В заключение этого длинного поста, хочется напомнить, что цель методических документов ФСТЭК заключалась в разъяснении как нужно защищать персональные данные. На этом фоне Методические рекомендации Минздрава можно классифицировать как «разъяснения на разъяснения ФСТЭК». После прочтения этих документов должно стать понятнее, что же написано в документах ФСТЭК России.
22211 . 10560
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, закон о персональных данных, защита персональных данных, Классификация ИСПДн, Новость, обработка персональных данных, персональные данные в медицине, персональные данные работника, положение о персональных данных, угрозы безопасности, ФСТЭК
|
|
|
Последние комментарии