пятница, 29 октября 2010 г.

Отечественный рынок услуг в области защиты персональных данных. Новая статья.


Да, уважаемые читатели блога, это именно анонс нашей с Евгением Царевым новой публикации в авторитетном издании - "Connect! Мир связи". Именно в 9 номере этого журнала вышла очередная наша совместная работа - название в теме поста, PDF-версия статьи здесь. Всем рекомендую сей номер приобрести: помимо нашей работы, в нем Вы найдете очень много интересного, так как тема номера - "Информационная безопасность". Вот, Евгений мне прислал "авторский" бумажный экземпляр (в нашем городе его просто не продают) - новенький, хрустящий и пахнущий свежей типографской краской - за что ему огромное спасибо.

Потенциальным читателям хочу сказать что, по нашему мнению, получилось достаточно интересно, хотя бы потому, что авторский коллектив состоит из представителей с различных сторон баррикад: Евгений - интегратора, продающего услуги по ПДн, и я - оператора, потенциального их покупателя. Итог нашего "противоборства" - в 9 номере "Коннекта"!

ЗЫ. Тем же, кто уже заждался результатов "совместного исследования", хочу сказать, что это не "они". "ОНИ" будут СКОРО, следите за анонсами!

среда, 27 октября 2010 г.

ФСТЭК не доверяют?


13 октября 2010 года в Министерстве юстиции под номером 18704 был зарегистрирован прелюбопытнейший документ - приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

Требования Приказа распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет.

Как всегда, не обошлось без терминологической неразберихи. Так, Andrey_CM отмечает, что, согласно 149-ФЗ, существуют государственные информационные системы (федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов) и муниципальные информационные системы (созданные на основании решения органа местного самоуправления), Приказ же распространяется на федеральные государственные информационные системы, и такой "синтез" не совсем понятен. Кроме того, Приказ является обязательным для операторов информационных систем общего пользования при их разработке и эксплуатации информационных, однако расшифровка термина "оператор ИСОП" в нем отсутствует, поэтому приходится только догадываться, о ком же идет речь.

В целом, подход стандартный: целостность и доступность (конфиденциальность по понятным причинам не рассматривается), антивирусы, обнаружение атак, запись и хранение сетевого трафика, контроль доступа, МЭ, криптография, ТСО, видеонаблюдение, резервное копирование, гарантированное питание. Однако есть и интересные моменты.

Первое, что стоит отметить, это пункт 4 документа: "информация, содержащаяся в информационной системе общего пользования, является общедоступной". Стало быть, любые персональные данные, размещаемые в таких системах, (например, информация о доходах чиновников и их родственниках), являются общедоступными.

Документ предусматривает разделение ИСОП на 2 класса, самый критичный (первый класс) ИСОП - нарушение целостности и доступности информации в которых может привести к угрозе безопасности страны. Сам по себе факт признания госрегуляторами того, что не только нарушение свойств конфиденциальности информации, но и ее целостности и доступности, способно привести к угрозе безопасности страны, вызывает удивление. Но есть более интересный тренд.

Все (!) технические средства защиты, используемые в системах 1 класса, должны иметь сертификат ФСБ. Повторюсь - не только криптография, а ВСЕ - включая антивирусы, межсетевые экраны и средства обнаружения атак. Сертифицированные ФСТЭК средства защиты могут использоваться только во 2 классе ИСОП (те, что не попали в 1 класс), да и то с приставкой ИЛИ: дословно - "сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции".

До сих пор компетенции по сертификации средств защиты информации были четко поделены между ФСТЭК и ФСБ. Не означает ли появление этого документа начала передела сфер влияния между государственными регуляторами?

Еще на год?


22 октября 2010 года в Государственную Думу был внесен законопроект № 444277-5 "О внесении изменений в статью 25 Федерального закона "О персональных данных", которым предлагается продлить мораторий на применение положений части 3 статьи 25 Федерального закона "О персональных данных" на срок до 1 января 2012 года.

Автор документа — депутат Госдумы А. Аксаков, мотивирует свою законодательную инициативу тем, что выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней. В то же время расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом "О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов". Следствием указанных проблем, очевидно, станет массовое несоответствие требованиям Федерального закона. При этом с начала 2011 года государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей.

В общем, мотивация та же, что была и год назад: денег нет, и ничего с тех пор не изменилось.

понедельник, 25 октября 2010 г.

Персональные коммунальные


Все, кто имеет счастье платить за квартиры, знают, что тарифы на коммунальные услуги растут ежегодно где-то на 15-20%, не смотря на "рисованную" инфляцию в 7-8%. При этом, государственные чиновники приводят кучу обоснований увеличения тарифов "выше" официально установленной инфляции. Обоснования эти из года в год повторяются, и большинство населения, потирая полупустой бумажник, к формулировкам уже привыкли.

Однако сфера ЖКХ еще способна удивить. Автор этого блога, получив на прошлой неделе квитанцию на оплату услуг ЖКХ, увидел в ней следующее послание.

Интерес, безусловно, вызывает все содержание послания, однако мы обратим внимание на пункт 2. Понятно, что управляющие компании обязаны соблюдать требования законодательства по защите персональных данных жильцов обслуживаемых ими многоквартирых домов, однако реализованы эти требования будут... за счет самих жильцов!

Ну и конечно, давайте посчитаем, во что это обойдется населению. Существующий тариф на содержание и ремонт жилья в моем городе составляет 14,33 руб. с одного квадратного метра в месяц. Увеличение за счет соблюдения требований по защите ПДн составит 1,8% - это означает, что каждый собственник будет платить 26 копеек в месяц с квадрата, при средней площади квартиры в 50 кв.м. сумма будет составлять 13 рублей в месяц. Не так много - половинка буханки черного хлеба.

Что получат управляющие компании. Средняя площадь многоквартирного дома - 5000 кв.м., умножаем на 26 копеек - получаем 1300 рублей в месяц, или 15600 рублей в год. При наличии в распоряжении УК 10 домов в обслуживании, сумма составит 156 тыс. руб. в год.

Трудно сказать, насколько эффективно сможет УК организовать на эту сумму защиту персональных данных жильцов обслуживаемых ей домов, однако, на мой взгляд, эта сумма пойдет совсем на другие цели...

четверг, 14 октября 2010 г.

Узнай, кто ты: гражданин или параноик?


Работа, безусловно, накладывает свои отпечатки на человека. Особенно работа в сфере безопасности: будь то государственная или частная структура - все "безопасники" со временем становятся в той или иной степени параноиками. Да-да, коллеги, и не прикрывайтесь терминами вроде "разумная осторожность" и пословицами вроде "береженого Бог бережет" :)

Автор этого блога с твердой уверенностью может сказать, что уже сейчас наблюдает в отношение себя определенную тенденцию, связанную с проявлением параноидальных наклонностей. Сегодня ко мне домой пришли переписчики, и я проявил гражданскую несознательность: не пустил их на порог.

Теперь о самом главном - о причинах моего такого поведения. Во-первых, не смотря на поправки к закону 152-ФЗ, дающие право переписчикам собирать персональные данные граждан без их согласия, я считаю, что государство и так знает обо мне достаточно, чтобы еще в одном (по моему убеждению - весьма ненадежном) месте "следить" ими. Во-вторых, мне совершенно непонятна формулировка целей переписи, то и дело "кричащих" с экранов телевизора: дескать, чтобы потом, в послекризисные годы (!), спланировать детские сады, школы, поликлиники. Последняя перепись проводилась в 2002 году - я тогда по-честному "переписался" по телефону, и хоть годы были не "кризисные", с тех пор в нашем городе не появилось ни одного детского сада, детской поликлиники или школы - зато детей (и соответствующих проблем) прибавилось существенно. Ну и в третьих - мне просто неприятно пускать к себе домой совершенно посторонних людей и рассказывать им про себя в течение 15 минут.

Смущает еще вот что. По данным новостных агентств, в переписи населения по всей России примут участие 600000 волонтеров. Каждый из них получит зарплату в 5500 рублей. По утверждению руководителя Росстата А.Суринова, затраты на зарплату этим работникам составляют 66% всей сметы. Нехитрым расчетом получаем сумму в размере 3 млрд 300 млн рублей, стало быть вся смета переписи -  5 млрд рублей. Правда, я не учел еще инструкторов и руководителей переписных участков - на них отведем еще миллиард. Еще один - на прочий персонал. Однако, как известно, весь бюджет переписи составляет 17 млрд рублей. Возникает вопрос: куда ушли остальные 10 миллиардов?

среда, 13 октября 2010 г.

Конклюдентное несогласие


В сентябре месяце, когда шел очередной раунд активных баталий уважаемых специалистов по многим животрепещущим темам, автор этого блога решил обратиться к регулятору с вопросом об одной весьма и весьма спорной проблеме - получение согласия оператором на обработку персональных данных субъекта ПДн:

Добрый день, уважаемые коллеги!

Возник вопрос в отношении различных форм согласия и возможности использования их в рамках требований 152-ФЗ. Как известно, гражданским кодексом, помимо письменной формы договора предусмотрено еще 2 формы: "устная" (то есть когда какие-либо действия в рамках гражданско-правовых отношений осуществляются сторонами на основании устных договоренностей) и "конклюдентная" (когда действия осуществляются на основании т.н. "молчаливого" согласия - при этом сторона выражает договорные намерения своими действиями).

Некоторые юристы склонны полагать, что согласие на обработку ПДн между субъектом и оператором определено 152-ФЗ и является "наследником" понятия "договор" ГК. Общим условием обработки ПДн является согласие на это субъекта ПДн. В ч.1 ст.9 ФЗ 152 сказано, что субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе. При этом ФЗ 152 предусматривает семь случаев, когда такое согласие должно быть выражено в письменной форме:

1. Включение ПДн в общедоступные источники ПДн (ч.1 ст.8);
2. Когда в случае недееспособности субъекта ПДн согласие на обработку его ПДн дает его законный представитель (ч.6 ст.9);
3. Когда в случае смерти субъекта ПДн согласие на обработку его ПДн дают его наследники, если такое согласие не было дано субъектом ПДн при жизни (ч.7 ст.9);
4. Для обработки специальных категорий ПДн (п.1 ч.2 ст.10);
5. Для обработки биометрических ПДн (ч.1 ст.11);
6. При трансграничной передаче ПДн на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПДн, если такая передача не относится к тем предусмотренным Законом случаям, когда она может осуществляться без согласия субъекта ПДн (п.1 ч.3 ст.12);
7. В случаях, когда на основании исключительно автоматизированной обработки ПДн субъекта может быть принято решение, порождающее юридические последствия в отношении него или иным образом затрагивающее его права и законные интересы, если возможность принятия такого решения не предусмотрена федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

Некоторые специалисты склонны полагать, что если случай не подпадает под эти требования, то, соответственно, письменное согласие получать нет необходимости, но поскольку оно должно быть обязательно, то может быть выражено в устной или конклюдентной форме. Например, как мы видим, в списке нет "передачи третьим лицам". Более того, раз закон устанавливает жесткие требования только к содержанию письменного согласия, то устное или конклюдентное согласие могут быть вообще любыми. Вопрос 1: каково Ваше мнение по указанной выше позиции?

Далее. 152-ФЗ возлагает обазанность доказания получения согласия субъекта (в любой форме) на оператора. С письменным согласием - все понятно: показал документ установленной формы - доказал согласие. Вопрос 2: как быть с доказательствами иных форм, если они приемлемы? Какие доказательства для этих форм Вы примете?

Заранее благодарю Вас за ответ.

----
Алексей Волков,
Старший преподаватель
Институт менеджмента и информационных технологий
Череповецкого государственного университета

И вот сегодня мной был получен следующий ответ:


Такая вот логика. Без договора нет ни устного, ни конклюдентного согласия, а с договором оно и не требуется.

Как всегда, благодарю коллег из Роскомнадзора, а от community жду комментариев. Что делать будем, товарищи? Чем возразим?

суббота, 9 октября 2010 г.

Хорошо, не забытое - старое!


8 октября 2010 года Государственная дума приняла в первом чтении законопроект "О лицензировании отдельных видов деятельности". Автор проекта - Минэкономразвития -  предлагает упростить нынешний обременительный для бизнеса порядок выдачи лицензий: число видов деятельности, требующих их получения, сократится, а сами лицензии при этом станут бессрочными. Число видов бизнеса, требующих лицензий, сокращается с 80 до 49. При этом по семи видам речь идет об их полной отмене за счет перехода к уведомительному порядку начала деятельности. Бизнесу гарантируется бесплатность процедур лицензирования (за исключением уплаты госпошлины).

Что касается наших с Вами барановэтих тоже), дорогие читатели, то здесь, увы, ничего не изменится: цитируя часть 1 статьи 9 Законопроекта, можно только разочарованно вздохнуть:

В соответствии с настоящим Федеральным законом, лицензированию подлежат следующие виды деятельности:

   1) разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение работ (оказание услуг) в области шифрования информации;
   2) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
   3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации;
   4) разработка и производство средств защиты конфиденциальной информации;
   5) деятельность по технической защите конфиденциальной информации

Тем не менее, есть и хорошие новости. Оппонентам, уверенно утверждавшим, что закон этот не имеет отношения к Гражданскому кодексу, а сам ГК перед ним не имеет никаких преимуществ, рекомендую обратиться к этой статье:

Статья 4. Законодательство Российской Федерации о лицензировании

Законодательство Российской Федерации о лицензировании основывается на положениях Конституции Российской Федерации, Гражданского кодекса Российской Федерации и состоит из настоящего Федерального закона, федеральных законов, регулирующих отношения в отдельных сферах деятельности, и принимаемых в соответствии с ними нормативных правовых актов Российской Федерации.

Таким образом, мы имеем еще одно подтверждение того, что ГК является документом, имеющим бОльшую юридическую силу, и стало быть, согласно ГК, термин "деятельность" эквивалентен термину "предпринимательская деятельность", со всеми вытекающими...

суббота, 2 октября 2010 г.

Письма. Лично. На почту.


В одном из моих любимых фильмов "Неприкасаемые" ("The Untouchables"), герой Роберта де Ниро, Аль Капоне, сказал замечательную фразу: "В квартале, где я вырос, говорили - добрым словом и пистолетом можно достичь гораздо больше, чем просто добрым словом." Мы с вами живем в стране, применительно к которой можно, перефразировав это выражение, сказать: матерным словом и автоматом можно достичь гораздо больше, чем просто матерным словом. Справедливость этого утверждения с успехом подтвердили сотрудники Федеральной службы судебных приставов (ФССП) во время проведения операции против "недружественного" и "опасного объекта" - одного из московских отделений ФГУП "Почта России", расположенного на Малой Грузинской улице.

Началось все с того, что 29 сентября, около 10 часов утра, в отделение Почты России ступила нога заместителя начальника межрайонного отдела ФССП, первым делом попросившего зарегистрировать некое ценное письмо и проставить на нем штемпель от 24 сентября. Сотрудники почты, по понятным причинам, ему отказали, и тогда началось самое интересное.

В ультимативной форме зам. начальника ФССП потребовал выдать ему документ с наличием оттиска календарного штемпеля почтового отделения, но уже от 24 июля 2010 года, а также списка операторов почтовой связи, работавших в отделении в этот день, и сообщить сведения о всей корреспонденции, которая отсылалась через почтовое отделение в адрес одного из банков, и подкрепил свое требование официальным письменным запросом. Сотрудницы вызвали заведующую отделением, которая уведомила его, что некоторые из запрашиваемых им данных охраняются законами "О персональных данных" и "О почтовой связи", и их предоставление возможно только по решению суда, а остальная информация будет предоставлена руководством межрайонного почтамта в соответствии с законом, в течение нескольких дней.

По рассказу заведующей отделением, реакция ФССП-шника оказалась абсолютно неадекватной. Он стал стучать кулаком по стойке, орать и материться, а потом вызвал наряд милиции. Милиционеры, выслушав заведующую, удалились, предварительно объяснив приставу, что не могут оказать ему содействия в проникновении в помещения почты, где находится особо охраняемая законом личная корреспонденция граждан. И тогда начались маски-шоу.

"Огромные жлобы с автоматами перепрыгнули через стойку с криками "Всем оставаться на местах! Не сопротивляться!". Автоматчики разбрелись по всей почте, везде рылись, сломали несколько абонентских ящиков клиентов" - рассказывает газете "Коммерсант" заведующая отделением.  Прекратить противоправные действия сотрудников ФССП удалось только с приездом представителей службы безопасности "Почты России", которые потребовали объяснений, на каком основании судебные приставы вторглись в служебные помещения почты. На это был дан ответ о проведении проверки, но никаких документов, подтверждающих ее правомочность, представлено не было.

В официальном заявлении ФССП сказано, что "сотрудники отделения почтовой связи как минимум фантазируют на тему бандитизма судебных приставов, как максимум вводят в заблуждение". На почту приставы прибыли для проверки достоверности факта отправления документа через данное почтовое отделение. Все действия совершались в рамках требований закона "Об исполнительном производстве".

Но самое главное не это, а то, что сотрудники почты - как правило, молодые девушки и женщины (далее выдержки из официального заявления) "отказавшись в нецензурной форме предъявлять приставам какие-либо документы, оскорбляя судебных приставов бранными словами, почтальоны начали вести себя неадекватно, забаррикадировались в отделении почтовой связи. Судебным приставам просто пришлось прибегнуть к помощи группы быстрого реагирования",— сообщила руководитель пресс-службы московского управления ФССП. По ее словам, "по факту оскорбления и оказания судебным приставам противодействия в отношении сотрудниц почтового отделения, судебными приставами были составлены протоколы об административном правонарушении по статье 17.14 КоАП РФ ("Нарушение законодательства об исполнительном производстве"). Протоколы были направлены в суд, который должен дать оценку действиям сотрудников почты.

Не знаю, дорогие читатели, как у вас, но лично у меня картина, в которой девушки при виде ФССПшников сначала грубо матерятся, потом выгоняют их из отделения и баррикадируют двери, да так, что приходится вызывать автоматчиков, в голове совсем не укладывается. Я полагаю, не укладывается она и в головах того наряда милиции, что приезжал на вызов, хотя из журнала дежурной службы УВД его, скорее всего, изымут. И тогда сотрудницы почты в глазах суда обязательно будут выглядеть как социально опасные элементы, требующие незамедлительной изоляции от общества.

А Вы кому верите?