 Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?
А изменилось очень многое. И, на мой взгляд, в лучшую сторону.
Пойдем по порядку. После отмены двух документов ушел вопрос:
Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.
Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.
Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:
- 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
- 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
- 3) Для защиты персональных данных можно использовать любые средства защиты.
Все три мнения реально присутствуют на рынке.
Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!
Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»
Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?
Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».
В заключении.
Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом…
Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…
25526 . 7658
Другие записи
Автор: Царев Евгений
| Метки: Privacy, Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, ИСПДн, Коллеги, Консультация, Лицензирование, Новость, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, РД, СЗПД, Требования, угрозы безопасности, ФСТЭК
 Стало появляться много вопросов об “изменении законодательства в области персональных данных“.
Изменений нет.
Для начала, все что “ниже” по иерархии после федеральных законов, это уже не “законодательство в области персональных данных”. Ну а если говорить об изменених вообще, то они есть, но пока совсем не критичные.
Минюст зарегистрировал приказ от 5.02.2010 № 58 “Об утверждении положения о методах и средствах защиты информации в ИСПДн”. Другими словами, документ Положение о методах и способах защиты информации в информационных системах персональных данных вступил в силу. Вопрос лишь в том, что нужно исполнять?
По большому счету ничего.
Да, перечислили методы и способы защиты информации. Ну и что? Никаких обязательств на операторов этот документ не накладывает, а лишь перечисляет методы и способы защиты информационных систем исходя из класса. Требования к защите определяются на основе актуальных угроз, которые оператор определяет в Модели угроз.
На самом деле, факт регистрации «Положения…» в Минюсте, событие, безусловно, знаковое. Однако утверждать о «новом Четверокнижие», об изменениях в «законодательстве» или чем-то подобном не стоит. Расклад не изменился, по крайней мере, пока.
9191 . 3240
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, Законодательство, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, ПП 781, СЗПД, ФСТЭК
 Осталось всего 2 темы, которые стоит обсудить в рамках марафона. Сегодняшний вопрос касается одного из основных рисков для операторов – это обращения субъектов персональных данных. Уже неоднократно говорилось, что право субъектов на доступ к информации в области защиты персональных данных нужно ограничивать. Дело в том, что не соблюдается баланс интересов, которых обязан присутствовать в отношениях оператор ПДн – субъект ПДн. Если субъект делает запрос на доступ к своим персональным данным, то у него должны быть для этого причины. Сейчас же никто не мешает субъектам через большое число запросов парализовать деятельность оператора, организуя «запросы на отказ» (некое подобие DDoS атаки), и вынудить оператора бросить все ресурсы на подготовку ответов субъектам.
Как это происходит?
Предположим, что организация получает письмо от субъекта персональных данных с просьбой предоставить ему информацию о том, какие его персональные данные обрабатываются, в каких целях, какими способами обрабатываются и какой срок хранятся. Оператор обязан дать ответ в течение 10 дней по существу и в полном объеме, либо дать ответ в течение 7 дней с обоснованием отказа в предоставлении сведении.
Если этого не произойдет, или ответ обоснованно не устроит субъекта, то субъект имеет право обратиться в Роскомнадзор.
Учитывая, что уполномоченный орган «встроен в существующую систему», ему необходимо отреагировать на запрос и защитить субъекта.
Возможны следующие «реакции»:
- Проверка Роскомнадзора
- Рассмотрение запроса без проверки
После чего материалы направляются в органы прокуратуры, правоохранительные органы или суд. И каждый, в свою очередь проводит свои процедуры.
Примерно каждое третье обращение в Уполномоченный орган по защите прав субъектов персональных данных заканчивается (а иногда и начинается) внеплановой проверкой оператора персональных данных с возможной ответственностью по статьям КоАП и УК (к сожалению, прецедент уголовной ответственность уже был).
Что делать?
Очевидно, что все эти неприятные последствия нельзя исключить полностью (проблема в самом законе), но постараться снизить риски вполне реально.
Для начала необходимо разработать процедуру ответа на обращения субъектов внутри оператора, в том числе:
- Назначить ответственное лицо
- Подготовить типовые бланки ответов
- Предоставить права на доступ к необходимым сведениям ответственному лицу
- Написать формальный регламент обработки запросов на доступ к персональным данным субъекта
и т.д.
Проведя такого рода мероприятия, получение запроса от субъекта не станет «громом среди ясного неба» и может гарантировать обработку запросов более-менее штатном режиме.
Тяжелая артиллерия
И еще один момент. Времена «повального рейдерства» (недружественный захват предприятий) закончились не так давно и не без помощи государства. Напомню, что одним из пунктов классического захвата было, например, направление пустых писем с уведомлением (таким образом, выполняется формальное требование на уведомление акционеров о грядущем собрании). Но суть не в этом, а в том, что события начала 2000-х в памяти чиновников еще свежи, и все ответственные структуры внимательно следят за активностями, которые даже отдаленно напоминают попытки недружественного захвата. Поэтому, при получении большого количества запросов от субъектов персональных данных, можно обращаться в органы прокуратуры, органы безопасности или правоохранительные органы с указанием на возможность попытки рейдерского захвата. И, зная примеры государственного противодействия в этой области, могу сказать, что к вашему запросу отнесутся с должным вниманием.
13747 . 4648
Другие записи
Автор: Царев Евгений
| Метки: Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, Консультация, Марафон, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, Роскомнадзор, СЗПД, Система защиты персональных данных не по ГОСТу, система персональных данных, Требования, Уведомление
 Вчера мы говорили о сокращении перечня сведений, составляющих персональные данные. Эта задача носит больше организационный характер. Сегодня в 4-й день марафона предлагаю обсудить возможности обезличивания персональных данных.
Федеральный закон о персональных данных дал определение обезличиванию (как процессу):
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных
«Приказ трех» относит обезличенные персональные данные к 4-й категории персональных данных, конфиденциальность для которых обеспечивать не нужно. Счастье? – Конечно! Только как этого счастья добиться?
Для начала несколько аксиом:
1) Право на обезличивание персональных данных у оператора есть по федеральному закону.
2) Требований к «правильному» обезличиванию не существует.
3) Способы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку персональных данных, определяет самостоятельно (см. VAZONE) .
Способов обезличивания (или вернее действий) можно назвать несколько, вот некоторые из них:
- Уменьшение перечня обрабатываемых сведений;
- Замена части сведений идентификатором/ами;
- Замена численных значений минимальным, средним, или максимальным значением (например, иногда нет необходимости обрабатывать сведения о возрасте каждого субъекта, достаточно обрабатывать данные о среднем возрасте по всей выборке или отдельным ее частям);
- Понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
- Деление сведений на части и обработка в разных информационных системах;
и т.д. (очень классная ветка обсуждения была здесь)
С моей точки зрения, не должно существовать автоматизированных алгоритмов, как из обезличенных данных снова получить Персональные данные, какой-нибудь, например, 1-й категории, хотя мысли о том, как это сделать возникают и вопрос остается обсуждаемым.
Критерием обезличенности, учитывая закон и здравый смысл, выступает возможность определить на основании этих сведений конкретного человека, при учете контекста обработки. Другими словами, вопрос: «Будут ли считаться обезличенными персональными данными сведения о субъекте, в которых нет Ф.И.О.?» – некорректен, нужно видеть контекст.
Очевидно, что использование обезличивания может сильно снизить класс информационных систем персональных данных со всеми вытекающими положительными последствиями.
Это все здОрово, самому очень нравится эта тема, НО…
Теперь важно сказать о рисках. Они, безусловно, есть, и самый большой из них – отсутствие гарантий в том, что регулятор, а за ним и суд, признает такие действия с персональными данными обезличиванием. Тем же американцам или британцам в этом плане лучше, они всю жизнь судятся и смотрят на прецедентную практику. У нас с этим иначе  , именно поэтому расплывчатость формулировок обезличивание персональных данных или персональные данные создает неопределенность и увеличивает риски.
12783 . 5374
Другие записи
Автор: Царев Евгений
| Метки: За рубежом, Заблуждения, Законодательство, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, СЗПД, Система защиты персональных данных не по ГОСТу, система персональных данных
 Очередное подтверждение своей позиции, что Федеральный закон не должен нести частностей, а должен обходиться общими формулировками, при этом конкретные требования должны содержаться в отраслевых стандартах, нашел в следующей новости.
Суть в следующем:
Сейчас поликлиники получают деньги за каждое посещение пациента (если помните, роспись в регистратуре за получение талончика), в скором времени система изменится, и финансирование будет зависеть от количества жителей, проживающих на закрепленной за больницей территории. Чем большую территорию (по количеству проживающих) обслуживает поликлиника – тем больше получает денег от ФОМС.
Для правильной и своевременной выплаты денег поликлиникам, ФОМС’ам необходимо поддерживать свои базы застрахованных лиц в актуальном состоянии. Для этого необходимо запрашивать информацию из ЗАГСов об умерших, в миграционных службах о выбывших, и т.д.
А закон не позволяет! Пусть сначала субъекты дадут свое согласие на передачу сведений о них… анекдотичная ситуация.
8540 . 2350
Другие записи
Автор: Царев Евгений
| Метки: закон о персональных данных, защита персональных данных, обработка персональных данных, персональные данные в медицине, СЗПД, система персональных данных, Слухи, СМИ, Суды
|
|
|
Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?
Последние комментарии