Персональные данные по-русски

Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!

Сегодня на CNews вышла статья «Защита персональных данных: пригодится ли нам британский опыт?», которую мы писали совместно с Алексеем Волковым.

Статья получилась более фундаментальной, чем обычно. В ней сравниваем международные законы и стандарты. Приходим к выводу, что они не применимы для российской действительности. Вернее смыла применять международные наработки в области персональных данных, просто нет. Слишком уж российский подход и нормативная база отличается от международного понимания этого вопроса.

Основным идейным вдохновителем был Алексей, за что ему большое спасибо. Отдельное спасибо за эту прикольную фотку, которую он сделал в последней командировке))).

P.S. Перед публикацией статью заметно порезали, так что если кому-то интересна полная версия, то ее можно скачать отсюда. По понятным причинам полная версия мне нравится больше .

962 . 409

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Персональные данные в Google или что плохого в российских интернет-ресурсах
• Примеры нарушения законодательства о персональных данных
• Принципиальные перемены в защите персональных данных Facebook или чем хороши канадцы?

Автор: Царев Евгений | Метки: Privacy, За рубежом, Законодательство, защита персональных данных, Информационная безопасность, Коллеги, Новость, СМИ

Вчера удалось-таки прочитать законопроект “О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона “Об информации, информационных технологиях и о защите информации“.

Свое мнение высказал здесь. Занятным кажется возможность изменения названия лицензии на ТЗКИ.

2564 . 1065

Другие записи

• Две важных ссылки по персональным данным
• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Статья на CNews
• Не защищаем персональные данные или почему нельзя бесконечно платить мизерные штрафы

Автор: Царев Евгений | Метки: Законодательство, Информационная безопасность, ФСТЭК

Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд.

Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения…

И вновь покой нам только снится…

6148 . 2299

Другие записи

• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Что изменилось области персональных данных для: Операторов персональных данных?
• День сурка или новые документы ФСТЭК
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК

Автор: Царев Евгений | Метки: Банки, Заблуждения, Законодательство, Информационная безопасность, Коллеги, Новость, персональные данные в медицине, система персональных данных, ФСТЭК

• А что будет за невыполнение требований ФЗ-152 «О персональных данных»?

Ответ банальный:

• Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
• Ну… это понятно, а что реально?
• Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
• А какой штраф?
• Обычно 10 000 – 20 000 рублей.
• У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!

Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:

В Ставропольском крае за тонировку стекол сажают.

Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».

Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.

Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.

Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.

Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.

Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.

7066 . 2554

Другие записи

• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• День 7. Написание основных документов.
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Парламентские слушания в Государственной думе по персональным данным

Автор: Царев Евгений | Метки: закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Консультация, Новость, Права граждан, Проверки, Роскомнадзор, система персональных данных, ФСТЭК

Вышел четвертый отчет LETA IT-company по рынку информационной безопасности в России. В отличие от предыдущих отчетов, здесь появились фамилии авторов разделов. Это, безусловно, правильно, т.к. «обезличенность» предыдущих отчетов порождала кучу слухов и снимала ответственность с авторов. Сейчас ситуация иная, по каждому разделу известен автор, которому всегда можно задать вопрос и высказать свое согласие/несогласие.

Раздел по Стандарту Банка России (СТО БР ИББС) в исследовании писал я, так что готов к диалогу.

Как и раньше, исследование нельзя назвать идеальным. В финальном варианте есть много ошибок, в том числе и фактологических. Кроме того, исследование нельзя назвать полным, т.к. в нем не хватает больших разделов по ИБ.

При этом, те разделы, которые в исследовании есть, написаны, мой взгляд, неплохо и для создания представления о рынке будут полезны.

Что касается описаний консалтинговых направлений, то выполнены они достаточно полно и точно. Сейчас действительно эпоха compliance, компании стремятся не только выстроить эффективную систему защиты, но и получить «признание» ее эффективности. Есть, конечно, убогие комплайнс -направления, вроде защиты персональных данных, которые собственно и форсировали начало эпохи. Однако вместе с ними компании стремятся соответствовать адекватным и признанным стандартам, вроде PCI DSS, ISO 27001… или СТО БР ИББС.

Если брать все compliance-направления ИБ-рынка, то именно направление СТО БР ИББС мне кажется самым перспективным. Уже к сегодняшнему моменту большое количество банков провели свое собственное исследование на предмет есть ли смысл проводить работы по приведению в соответствие требованиям СТО БР ИББС. Большинству, как и мне, выбор кажется очевидным.

Направление персональных данных получило максимальный «кусок» рынка в 2009 году, теперь же его доля, на мой взгляд, будет постепенно сокращаться. Часть возьмет СТО БР ИББС, часть Экспертные аудиты, PCI DSS и т.д. В 2009 году деньги на развитие ИБ/ИТ, выделялись только на персональные данные как объективную неизбежность. Сейчас ситуация с бюджетами лучше, и в разговорах о развитии, службы ИБ говорят не только о защите персональных данных, но и о других вещах.

Поэтому по итогам 2010 мы увидим более здравую картину без столь значительного перегиба в сторону защиты персональных данных.

6927 . 2383

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Что изменилось области персональных данных для: Операторов персональных данных?
• Золотые слова или поиск качественного решения защиты прав субъектов персональных данных

Автор: Царев Евгений | Метки: Privacy, Банки, безопасность персональных данных, Законодательство, защита персональных данных, Инновации, Интеграторы, Информационная безопасность, угрозы безопасности