вторник, 15 февраля 2011 г.

Порядок есть... Порядок?


В конце прошлого года я писал заметку о том, как защищаются персональные данные пациентов в одной из череповецких поликлиник. В комментариях я указал, что в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по этому поводу было направлено официальное обращение через соответствующую форму на веб-сайте этого ведомства. На прошлой неделе (если быть точным - 11 февраля) истекло 30 рабочих дней с момента обращения и я, естественно, решил проверить, как обстоят дела с "нашими баранами".

Имея в смартфоне фотографии двухмесячной давности, я зашел в поликлинику в конце рабочего дня. В фойе царил полумрак, посетителей практически не было, и только молодая девчонка-уборщица, слушая в плеере какую-то надрывную песню про шелка и облака (надрывную в том смысле, что от такой громкости ее барабанные перепонки должны были порваться с первой же секунды), старой тряпкой размазывала по полу грязные разводы. Пробравшись вдоль стенки по длинному коридору я, наконец, попал к регистратуре, и был приятно удивлен: оказывается, в "аквариуме с регистраторами" был сделан ремонт, поставлена новая перегородка, а внутри (я сунул нос в окошко) обнаружились новые металлические закрываемые шкафы для медицинских карт!


Повернув голову в том направлении, где раньше стоял стол с папками самозаписи, я обнаружил, что он девственно чист!


Радость, тем не менее, оказалась преждевременной: повернув голову в противоположном направлении, я увидел подозрительный уголок, в котором стоял брат-близнец этого стола, а над ним возвышалась бабушка, пытавшаяся что-то записать.


Дождавшись окончания процедуры, я подошел поближе, и увидел старых знакомых: "привет, эй!" - сказали мне "папки самозаписи".


"Ничего в этой стране не меняется..." - подумал я, открывая обложку, "и сердце ёкнуло в груди"... Вот что предстало моему взору:


Там, где раньше были "дата рождения" и "полный домашний адрес" теперь - зияющая дыра!

Уж не знаю, кого стоит благодарить - Роскомнадзор ли, блог ли, знакомых заведующей поликлиники, вовремя предупредивших о нарушении и сообщивших способ его устранения. Да и не важно это. Главное - нарушение можно устранить. Хоть через пинки, и с большим опозданием. С другой стороны - радоваться особо и нечему, ибо "зияющая дыра" в "папке самозаписи" это еще далеко не синоним "порядка". Однако есть робкая надежда на известную поговорку: "вода камень точит". Ей, как говорится, и живем.

С маленькой победой нас всех, дорогие читатели!

PS. На дату публикации поста никаких ответных сообщений от Роскомнадзора по факту обращения не поступало (хотя должны были что-то написать - был ведь указан e-mail). По неофициальным данным, подслушанным мной из разговора регистраторов, в поликлинике идет проверка ведомством, название которого начинается на "Рос" (мешала перегородка). Неужто...?

90 комментариев :

  1. Может тебе организовать рейды по всем Череповецким госконторам? И забахать автоматический генератор писем в Роскомнадзор? с письмами шаблонного типа... Прикинь, какой порядок наведут =)))

    ОтветитьУдалить
  2. Это бездуховно - ты же знаешь, мне нужен творческий подход :)

    ОтветитьУдалить
  3. И потом - появляется риск быть отмутоженным с другой стороны баррикад :)

    ОтветитьУдалить
  4. Анонимный16.2.11

    Роскомнадзор сам вполне способен на организацию подобных провокаций. Думаю, что команды "фас" пока еще просто не поступило...
    С ув. Turkish

    ОтветитьУдалить
  5. Ну что ж, лед ронулся :)

    ОтветитьУдалить
  6. to Turkish: учитывая предлагаемые поправки ко второму чтению ЗоПД, в РКН и не поступит...

    to Анна: нет еще, только хрустит :)

    ОтветитьУдалить
  7. Не далее чем сегодня утром снова показывали репортаж о рассылках банками спама о своих услугах никак с этими банками не связанным гражданам. Самый простой ответ на вопрос где берут данные для рассылки - на рынке.
    Далее корреспондент шел на рынок и за недорого покупал "банковскую" базу.
    Лед тронется когда хотя бы с рынков это уберут.. а уберут, когда наказывать за это начнут по настоящему.
    С 2006 года ничего так и не изменилось с этим делом.

    ОтветитьУдалить
  8. to tiger-66: Все базы перекочуют в Сеть. Ведь в США и Европе все это можно купить. Не так открыто как у нас и совсем за другие деньги, ибо строже наказание и выше риск.

    ОтветитьУдалить
  9. Коллеги, давайте будем оптимистами! Будет у нас порядок! Вопрос только: "Когда он будет?" и "Какой ценой?"

    ОтветитьУдалить
  10. to Анна: "...жаль, только жить в эту пору прекрасную уж не придется ни мне, ни тебе..." (с)

    ОтветитьУдалить
  11. Жалко, что в ГИБДД и налоговую РКН не придёт

    ОтветитьУдалить
  12. Если позвать - придет!

    ОтветитьУдалить
  13. Я как раз туда скоро поеду по вопросу изменения данных в одном документе - посмотрю, может что и увижу :)

    ОтветитьУдалить
  14. Анонимный18.2.11

    Я тоже обратилась в Росконадзор. По поводу раздачи пенсионным фондом через детские сады бланков формы АДВ-1 для оформления СНИЛСа детям. Бланки не соответствуют ПП 687. Детский сад передавать ПДн никто не уполномачивал...

    ОтветитьУдалить
  15. Друзья, не стоит увлекаться игрой "найди и накажи". Ведь законодательство наше несовершенно, и многие благие намерения разбиваются о его невыполнимые требования. Поэтому если законодатель не может найти оптимальный баланс между субъектом и оператором, то это придется делать нам самим. И в каждом случае - думайте, что важнее. В случае с поликлиникой - это просто бардак. В описанном выше случае - может, оно и полезно, прежде всего Вам самим?

    ОтветитьУдалить
  16. Анонимный23.2.11

    Может и полезно, но почему не работает постановление правительства 687 ??? Когда муж привел мне из садика ребенка и дал в руки этот бланк он не мог четко объяснить, что это и для чего. Воспитательница тоже прохлопала ушами когда заведующая им поясняла для чего это. В итоге я долго не могла понять, что это за страхование и под чем я должна подписаться? Кто собирает данные, зачем??
    Пришлось самой звонить в пенсионный и спрашивать, не их ли это бланк.
    Разве так должно быть?

    ОтветитьУдалить
  17. Ну, не работает оно в данном конкретном случае... И нет, так не должно быть. Конечно, это бардак. Как говорил профессор Преображенский, "разруха ... у нас в головах". И к сожалению, учить этих чиновников-бездарей приходится только таким способом. Воздействием их самих на их же самих :( Лишь бы не себе в ущерб - вот о чем я.

    ОтветитьУдалить
  18. Случайно, по ссылке, вышел на Ваш блог и пришел в ужас. Победа, по поводу которой Вы радуетесь, Алексей, - это пиррова победа. Жаль, что Вы этого не понимаете. Всякий, кто выполняет антиконституционный закон - преступник. Всякий, кто пытается скрыть то, что в 152 ФЗ называется "персональные данные" - параноик. Прочтите, может быть взглянете на проблему с другой стороны: Атаманов Г.А. 152 ФЗ «О персональных данных» – закон, построенный на понятиях // Защита информации. INSIDE. 2010. № 2. С.28-45

    ОтветитьУдалить
  19. Атаманову Г.А.: во-первых, используя Ваши определения, преступник не тот, кто исполняет, а тот, кто принимает, утверждает и заставляет исполнять. Во вторых, раз Вы не параноик, может, дадите мне копию Вашего паспорта, или (на крайний случай) номер кредитки - это ведь по ФЗ 152 называется "персональные данные"? И в третьих - Вы действительно считаете, что так, как было "до" - это норма?

    ЗЫ: Термин "пиррова победа" здесь неуместен ИМХО - я даже не вижу, как его можно "прикрутить" (для тех кто не знает - это "победа равносильная поражению").

    ЗЫЫ: У меня нет журнала и негде его достать - скиньте авторку на мыло плиз?

    ЗЫЫЫ: у нас вообще-то все законодательство на понятиях, если для Вас это новость... Чего ради 152-ФЗ должен как-то выделяться?

    ОтветитьУдалить
  20. Что касается категории "преступник", то к ней действительно следует отнести всех, кого перечислили Вы, но и исполнителя тоже: знал, что закон преступный, но все равно исполнял.
    Любая "победа" 152-го ФЗ именно пиррова - кажущаяся победа,- а по сути - поражение. В статье по этому поводу кое-что есть. И почему "на понятиях" тоже.
    Статью вывешу на сайте через день-два, ссылку пришлю. А журнал рекомендую, есть дельные материалы.
    И копию паспорта, и копию кредитки могу прислать, но:
    1) Вам это ни к чему. Даже если захотите использовать их в противоправных целях, Вы ничего не сможете сделать: для совершения преступления нужен сам паспорт и сама кредитка, а это другая статья;
    2) копия паспорта - это не персональные данные, а документ, содержащий персональные данные, и это не одно и то же;
    3) кредитка - не "персональные данные". Ее и в 152-ФЗ нет. Из персональных данных она содержит только фамилию и имя (на карте), все остальное - банковская тайна. Следовательно, защищаться она должна не по 152-ФЗ, а по закону о банковской тайне.

    ОтветитьУдалить
  21. > знал, что закон преступный, но все равно исполнял

    То есть все без исключения - преступники? Включая граждан, которые пытаются отстоять свои права, указанные в этом законе?

    > копия паспорта - это не персональные данные
    > кредитка - не "персональные данные"

    Так вот именно данные-то и нужны. А документ и пластик - совсем не обязателен.

    > И копию паспорта, и копию кредитки могу прислать но Вам это ни к чему

    Мне - точно ни к чему. Выложите их на каком-нибудь открытом ресурсе, раз Вы не преступник и не параноик. Уверяю, найдется масса желающих опровергнуть следующее утверждение:

    > для совершения преступления нужен сам паспорт и сама кредитка

    Сильно только не удивляйтесь.

    ОтветитьУдалить
  22. Алексей, как и обещал, статью (даже две) про персональные данные вывесил на сайте www.rosichi.org. В них моя позиция выражена более развернуто и, как мне представляется, достаточно аргументированно. Прочтите. После можем продолжить дискуссию.

    ОтветитьУдалить
  23. Атаманову Г.А.: Прочитал я вашу статью. Даже две. Ничего нового для себя не открыл, правда... Но скажу другое.

    Вот цитата из Вашей же статьи: "Тем не менее, закон есть закон. И каким бы он ни был, его необходимо выполнять." И вот цитата из Вашего же комментария: "Всякий, кто выполняет антиконституционный закон - преступник."

    Таким образом, мы имеем два противоположных мнения, высказанных одним и тем же лицом - Вами. Посему полагаю, что мое участие в дискуссиях с Вами будет излишним. Вам, должно быть, очень комфортно дискутировать самому с собой. Остальных Вы вряд ли услышите - они нужны разве что так, для пиара.

    С наилучшими пожеланиями Вам и Вашему дискуссионному клубу!

    ОтветитьУдалить
  24. Анонимный10.3.11

    >Так вот именно данные-то и нужны. А документ и пластик - совсем не обязателен.

    На самом деле стыдно писать такие глупости "специалисту" по безопасности.

    ОтветитьУдалить
  25. Все, что нужно для вывода средств с кредитки - номера CVC и CVC2 и имя владельца. Именно за этими данными и охотятся "фишеры", а сам метод называется "фишинг". Скан паспорта может пригодится для открытия липового "ООО". Иногда его же достаточно для получения кредита. Ну а зная реальные папспортные данные и имея навыки работы с фотошопом - получить скан любого паспорта не составит проблем. Почитайте интернет - достаточно вбить в поисковую форму "что можно сделать имея скан чужого паспорта". Конечно, Вы можете и не читать - ведь все это пишут такие же как я, "специалисты"...

    ОтветитьУдалить
  26. Анонимный10.3.11

    >Все, что нужно для вывода средств с кредитки - номера CVC и CVC2 и имя владельца. Именно за этими данными и охотятся "фишеры", а сам метод называется "фишинг".

    Я, как специалист по эквайрингу, просто удивлен, какие безграмотные люди у нас работают в безопасности. Для информации: для использования реквизитов карты вам нужно: Имя, номер карты, CVC/CVC2, а еще - срок валидности и тип карты. Совокупность всех этих данных никак не персональные данные, т.к. карта - собственность банка и защищена законом о банках и банковской деятельности.

    >Скан паспорта может пригодится для открытия липового "ООО".
    Простите, к ФЗ-152 никакого отношения. Это Статья 327. Подделка, изготовление или сбыт поддельных документов УК РФ.

    >Иногда его же достаточно для получения кредита.
    Исключено. Закон о банках и банковской деятельности ЗАПРЕЩАЕТ проводить любые операции без ПРИСУТСТВИЯ лица, от которого производится операция (ну или доверенность). Если это будет сделано без его участия - это опять такие не ФЗ-152.

    >Ну а зная реальные папспортные данные и имея навыки работы с фотошопом - получить скан любого паспорта не составит проблем.

    Смешно. Сфотографировать свой собственный паспорт и отредактировать его в ФШ. Но что с этим делать дальше?

    Вы не назвали ни одного пункта как можно ИСПОЛЬЗОВАТЬ САМИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ. Вы назвали как можно использовать скан паспорта (опять же, без нарушения УК РФ его никак нельзя использовать, но допустим), но как вы можете использовать САМИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

    ОтветитьУдалить
  27. Уважаемый анонимный г-н (Атаманов Г.А.?)! Вы можете сколько угодно мне твердить что я безграмотен, пусть даже потому, что забыл указать в перечне сведений срок валидности и тип карты. Я с Вами даже соглашусь, ибо не считаю себя абсолютно крутым и умным - однако есть и глупее. Не в этом дело. Дело в том, что в современном мире многие категории сведений перемешались - ПДн, КТ, БТ, ГТ и много чего еще. И вот такой вот однобокий подход к оценке 152-ФЗ - не 152-ФЗ, который Вы пропагандируете, очень часто неприменим. Относительно 152-ФЗ - я не отрицаю того, что закон плох - почитайте что-нибудь кроме этого поста в моем блоге. Но я сторонник того, что ПДн необходимо защищать. И рассматривать проблему защиты данных нужно в комплексе. Вы этого, очевидно, не разумеете. И как я полагал ранее, слышать никого кроме себя не хотите.

    ОтветитьУдалить
  28. Алексей Волков, нет вы ошиблись, меня зовут Евгений и я ничего не пропагандирую. Защищать надо не ПДн, а субъектов.
    Кстати, коль уж ко мне адресовано обращение о необходимости рассматривать проблему защиты данных в комплексе, я отвечу: как надо или не надо, это можно спорить. Вы занимаетесь защитой информации ради защиты информации (это видно, например, из этой статьи - какую РЕАЛЬНУЮ пользу принесло вырезание части журнала?). Я же сегодня занимаюсь исключительно практическими вещами - предотвращение экономического ущерба очень крупному предприятию (более 10 тыс работников) с помощью инф. технологий. Уверяю вас, что ни предприятию, ни его сотрудникам никто не смог нанести ущерба путем завладения ПДн. Разве только государство, которое пытается "развести на бабки".

    ОтветитьУдалить
  29. Евгений, Вы - большой молодец! Делаете очень важное и нужное дело. Однако того, что я занимаюсь защитой ради защиты, совсем не видно, и уж тем более из этой статьи. В этой статье субъект решил обратиться в орган его защиты потому, что ему не нравится, что его ПДн разбросаны где попало (это его право) и что из этого вышло. И если Вы читали комментарии выше, то я как раз критиковал подход "вырезания" части листа без изменения самого процесса. Об этом, собственно, и заголовок поста говорит (знак вопроса в конце). Ну а во всем остальном - согласен с Вами. И прошу прощения за ошибку.

    ОтветитьУдалить
  30. Товарищи! Спокойствие, только спокойствие!
    Нам тут всем еще общаться и общаться и цели у нас схожие, но каждый имеет свою философию, свои пути их достижения и в этом нет ничего плохого. Давайте все-таки искать общий язык, а не ругаться и обвинять друг друга!

    ОтветитьУдалить
  31. Артем, так кто против-то? Просто мне не нравится позиция г-на Атаманова, ЗДЕСЬ наклеивающего ярлыки "параноик" и "преступник" на всех, кто исполняет "антиконституционный закон" 152-ФЗ (в том числе и на меня), а У СЕБЯ осознающего-таки необходимость его исполнения и даже более того - приводящего в своей статье пример типового документа. Если есть философия - так уж пускай она будет одна. А так - очень удобно. Например, дискутировать можно самому с собой :) Ну а на то, что я бездарность - я даже не обижаюсь. особенно когда это звучит из уст одаренного специалиста :)

    ОтветитьУдалить
  32. >>Вы не назвали ни одного пункта как можно ИСПОЛЬЗОВАТЬ САМИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ.

    Почитайте тут .. тут много пунктов ;-)

    http://community.livejournal.com/personal_data/tag/%D0%BC%D0%B0%D1%85%D0%B8%D0%BD%D0%B0%D1%86%D0%B8%D0%B8

    ОтветитьУдалить
  33. Можно еще здесь - http://forum.razved.info/index.php?t=732&a=stdforum_view&o=&st=0

    А судебную практику можно еще и здесь посмотреть (там можете найти и защиту прав субъектов, хотя судебных ошибок и ляпов хватает) - http://fz-152.org/forum/viewforum.php?f=67

    ОтветитьУдалить
  34. >Имя, номер карты, CVC/CVC2, а еще - срок валидности и тип карты. Совокупность всех этих данных никак не персональные данные, т.к. карта - собственность банка и защищена законом о банках и банковской деятельности.

    Карта действительно собственность банка. Но эти данные попадают под банковскую тайну согласно ст. 857 ГК РФ и, как частный случай профессиональной тайны, согласно ч.5 ст.9 "трехглавого закона" (2006 года № 149-ФЗ). Согласно закона о банках и банковской деятельности сведения о клиентах вообще-то не перечилены в попадающих под банковскую тайну ;)
    Но это совсем не мешает одним и тем же сведениям попадать под различные категории сведений конфиденциального характера - т.ч. это и ПДн (см. определение в ЗоПД и Евроконвенции, в которую мы вляпались и теперь расхлебываем) и банковская тайна одновременно

    >какую РЕАЛЬНУЮ пользу принесло вырезание части журнала?

    См. пример мошенничества с врачебной тайной (факт обращения к врачу попадает под эту категорию профтайны) - http://www.tsarev.biz/news/moshennichestvo-s-ispolzovaniem-svedenij-o-sostoyanii-zdorovya/

    ОтветитьУдалить
  35. Жаль, Алексей, что Вы за деревьями не увидели леса. Я имею ввиду мои статьи. Первая действительно разделена на две части: 1-я часть - это моя позиция, как гражданина и специалиста, 2-я - как чиновника, должностного лица. Такового было условие редакции. Мог и хотел убрать эту вторую часть, но не стал. Не мой принцип. Не думал, что Вы повторите очень распространенную ошибку - обсуждать не то, что написано, а то, что вы думаете по поводу написанного. А главное из написанного - это то, что в российском законодательстве произведена подмена понятий: объектами защиты вместо физических лиц, как того требует логика и как принято в Европе, объявляются персональные данные. Причем те, которые должны иметь обязательное и свободное хождение в социуме, и ничего не говорится о сплетнях и частной жизни, т.е. сведениях, которые действительно должны: 1-е - пресекаться, 2-е - защищаться.
    Что касается Ваших догадок, то я рад, что вопрос разрешился сам собой. Я никогда не скрываю своего имени при выражении своей позиции. Достоверность информации - главное требование к обеспечению информационной безопасности субъектов информационных отношений в моей концепции в отличии от общепринятой, где главное требование - конфиденциальность.

    ОтветитьУдалить
  36. PS: Кстати, у меня слова не расходятся с делом. Это нашло свое отражение, в том числе, в Частной модели, где к угрозам я отнес кражу ПЭВМ, вирусы, модификацию и уничтожение информации (не имел права выбросить разглашение). Все остальное для ПДн не актуально.
    Еще раз: читать нужно то, что написано, а не свои мысли по поводу написанного. В том числе, законы. А написаны они очень хитрО, не то что мои статьи, в которых я "разжевываю" все до мелочей. Нужно только читать внимательно.

    ОтветитьУдалить
  37. Атаманову Г.А. Вот Вы все твердите:

    > читать нужно то, что написано а не свои мысли по поводу написанного

    Я привел 2 написанных Вами же цитаты - ничего от себя не добавлял, не так ли? Я просто сопоставил их, и получил то, что Вы сами и подтверждаете:

    > 1-я часть - это моя позиция, как гражданина и специалиста, 2-я - как чиновника, должностного лица.

    Что же получается? Дома, в тапочках и спортивках, сидя с кружкой чая за компом, Вы - гражданин, поливаете меня, такого же гражданина, клеите на меня ярлыки "преступник" и "параноик" (а как специалист - еще и "бездарь"), говорите о том, что в стране с ИБ все плохо, что закон никуда не годен, АНТИКОНСТИТУЦИОНЕН и выполнять его - ПРЕСТУПЛЕНИЕ... Но стоит только Вам одеть костюм и выйти на работу - так Вы сразу становитесь другим человеком: говорите, что закон надо выполнять не смотря ни на что, и даже предлагаете свои варианты его исполнения!

    > Такового было условие редакции. Мог и хотел убрать эту вторую часть, но не стал. Не мой принцип.

    О каких принципах Вы говорите? Принципиальная позиция должна быть одна, и ее нужно отстаивать. А раз у Вас их как минимум 2 (с учетом выше сказанного), должно быть Вы, как и многие философы, раздираемы внутренними противоречиями.

    Ну да ладно, оставим это. Если по существу - я повторюсь: ничего принципиально нового для себя в Ваших статьях я не открыл. Позицию Вашу по поводу того, что требование по обеспечению конфиденциальности ПДн не актуально и выполнять его не нужно, я не разделяю. Почему - смотрите выше. Коллеги подкинули ссылочек. Блог мой почитайте (что-нибудь кроме этого поста). Блоги коллег в разделе "Стоит почитать".

    Да я говорил уже это. И, как и полагал, не был услышан.

    ОтветитьУдалить
  38. topless_freak11.3.11

    О! Еще один Шмелев нарисовался. Товарищ Атаманов, конфиденциальность пэдээн не нужно будет обеспечивать тогда когда мы будем жить при комунизме, а люди все без исключения будут честные и порядошные. пока же увы. ваше желание попеаритца и подзаработать - оценили, как и раздвоенье личности. Волкову должно быть приятно. что это происходит на его площадке.

    ОтветитьУдалить
  39. Коллеги... То ли весна на улице, то ли новолуние...

    Благая цель закона - защита прав субъекта при нанесении последнему какого-либо ущерба, связанного с обработкой его ПДн. Сами ПДн отнесены к сведениями конфиденциального характера, по понятным причинам не просто так (термин "частная жизнь" гораздо более всеобъемлющ, чем сведения о сексуальных предпочтениях). При их обработке должны выполняться 3 базовых принципа: конфиденциальность, целостность и доступность, причем тем сильнее, чем серьезней может быть ущерб обладателю этих сведений - субъекту, реализует эти принципы оператор, а ущерб не может посчитать никто, пока он не будет реально нанесен. Вот в этом и кроется главное противоречие, и суть закона - отыскание того самого баланса между стоимостью информации и защитных мер. Баланса интересов, если угодно. Этого в нашем 152 нет, зато есть много другого бестолкового... Но об этом уже написано немерено.

    Дело не в конфиденциальности. И не в достоверности. Дело в ущербе. В каждом конкретном случае должны обеспечиваться 3 принципа. К Ц Д. И понятное дело, что если в одном случае хуже будет от нарушения достоверности (целостности), то в другом - от конфиденциальности.

    Субьект по закону имеет привелегии. В этом посте он ими воспользовался. О том, как их реализовали - будет еще один пост, когда придет ответ от регулятора. Пока их реализовали крайне плохо.

    "За деревьями и лесом" есть опушка. А если мы пойдем дальше и будем долго-долго идти, то обойдем землю и придем в точку отправления.

    ОтветитьУдалить
  40. Анонимный11.3.11

    Весна - в лесу осторожнее, того гляди олени забодают))

    ОтветитьУдалить
  41. >Прочитал я вашу статью. Даже две

    Вот я тоже. Причем можно было прочитать всего одну т.к. они повторяются. В статье есть и правильные вещи и неправильные, увы
    Ключевые тезисы о том, что ПДн не нуждаются в защите и Закон о ПДн нужно отменить - не разделяю. Думаю, что Ю.В.Травкин, на которого вы ссылаетесь, тоже не разделяет ;-)
    Что еще не разделяю..) Когда человек выдает свое мнение за истину в последней инстанции.
    Нет бы сказать - я вот тут написал статью по теме - что думаете, коллеги? Дык нет же..

    >>А главное из написанного - это то, что в российском законодательстве произведена подмена понятий: объектами защиты вместо физических лиц, как того требует логика и как принято в Европе, объявляются персональные данные.

    И вывод отсюда - отменить закон? А почему не такой: Давайте посмотрим как там.. в Европе и США и выберем, что нам ближе..и сделаем так же у себя, с учетом им многолетнего опыта??

    ОтветитьУдалить
  42. Уважаемый Геннадий Альбертович

    Коллега. Раз пошла такая пьянка попробую разобрать одну из Ваших статей. Это может Вам пригодится при подготовке к конференции 25 марта 2011 (http://new.volsu.ru/index.php?ELEMENT_ID=2407 ). Тем более, что Вы сами написали:

    >Еще раз: читать нужно то, что написано, а не свои мысли по поводу написанного. В том числе, законы. А написаны они очень хитрО, не то что мои статьи, в которых я "разжевываю" все до мелочей. Нужно только читать внимательно.

    Возьму статью http://rosichi.org/archives/170 и попробую ее разобрать:

    >Вот так и нас никто не спросил: хотим мы, чтобы защищали наши т. н. «персональные данные» или нет

    Увы. Но мы уже вляпались в этот вопрос ратифицировав Евроконвенцию ETS N 108. Т.ч. вопрос об этом уже не может стоять. Да и право на тайну личной жизни у нас определено в Конституции и это право является неотъемлемым (т.е. отказаться от него мы не можем)…
    А если посмотрите 188 Указ Президента, то начиная с него тайна личной жизни=персональные данные.

    > Главный лейтмотив принятия 152-го ФЗ – нас не пускают без него в ВТО

    Вообще-то не совсем ВТО, а реадмиссия, безвизовый режим с Европой и международное сотрудничество в целях выдачи преступников.

    > На блоге компании INFOWATCH

    САСШ, вообще-то, не является страной присоединившийся к Евроконвенции и их законодательство не следует сравнивать.

    ОтветитьУдалить
  43. > Некоторые из них будут ужесточаться еще больше, о чем сообщил, например, в своем докладе на семинаре «Персональные данные: от понятия до защиты», прошедшем в Ростове 14-15 октября 2009 г.

    Данные несколько устарели. Предложение Правительства от сентября 2010 года:
    // статью 24 изложить в следующей редакции:
    "Статья 24. Ответственность за нарушение требований настоящего Федерального закона
    1. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
    2. В случае нарушения положений настоящего Федерального закона, повлекшего за собой неправомерный доступ к персональным данным, неправомерное уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных, субъект таких персональных данных вправе требовать от оператора, виновного в таком нарушении, выплаты компенсации в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда.
    3. Оператор освобождается от ответственности в виде выплаты компенсации, предусмотренной настоящей статьей, в случае если он обеспечил определенный в соответствии с настоящим Федеральным законом уровень защищенности персональных данных путем выполнения установленных требований к защите персональных данных при их обработке в информационных системах персональных данных или в случае если неправомерный доступ к персональным данным, неправомерное уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных произошли в результате возникновения чрезвычайного и непредотвратимого при данных условиях обстоятельства.".".//

    Т.е. штрафы до 5 млн. и индульгенция в виде оплаты работ лицензиата (и не только ФСТЭК, но и ФСБ).

    ОтветитьУдалить
  44. > Согласно п. 4 статьи 29 Конституции РФ

    Вот здесь Вы не туда полезли т.к. и до ЗоПД персональные данные относились к информации ограниченного распространения. А вот антиконституционность ЗоПД в том, что:
    а) нарушена ч.3 ст.17 Конституции в отсутствии баланса интересов и абсолютизации права субъекта
    б) в ЗоПД установлена презумпция виновности оператора ПДн (обязанность доказать наличие согласия) вместо презумпции добросовестности субъектов сделки и презумпции добросовестности субъектов предпринимательской деятельности.

    > Ограничения предполагаются только для информации, составляющей государственную тайну.

    Нифига подобного. Конституцией лишь указан уровень принятия решения для ГТ. В остальных случаях ограничения распространения защищаемой законом тайны (по разным оценкам от 40 до 60 видов тайн не являющихся ГТ) действует все та же ч.3 ст.17 Конституции.

    > Тем не менее т. н. регуляторы, ссылаясь на 152-ФЗ, обязывают всех давать письменное согласие на любые виды обработки любых персональных данных любыми операторами

    Вот здесь следовало бы указать, что регуляторы не правы в своем требовании:
    - ч.2 ст.6 ЗоПД предусмотрены случаи необязательности согласия субъекта
    - ЗоПД предусмотрено, что согласие дается субъектов «в своем праве и в своих интересах». Т.ч. если субъект не имеет интереса, то он не обязан давать согласия
    - в согласии должны быть четко прописаны цели обработки ПДн. И ни в коем случае нельзя давать согласие на все.

    > Причем Закон не устанавливает с какого возраста индивид становится субъектом персональных данных и с какого возраста он должен давать согласие

    А нафига этот пассаж?
    Есть понятие дееспособности т.ч. в ЗоПД это прописывать совсем ни к чему. Не ЗоПД единым регулируются вопросы обработки ПДн ;)

    ОтветитьУдалить
  45. > Он практически никак не коррелирован с действующими законами РФ и, в частности, с Федеральным законом РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
    Голословное и не раскрытое утверждение.

    > И если есть «специальные», значит должны быть «неспециальные».

    См. ст.6 Евроконвенции. Обращаю внимание на то, что ч.4 ст.4 ЗоПД предусмотрен приоритет Евроконвенции над ним самим. ;)

    > Так в законе под термином «персональные данные» понимается

    См. ст.2 Евроконвенции

    > если бы начали скрывать расовую принадлежность своего президента, особенно во время его выступлений по телевидению

    См. эту ветку ( http://bankir.ru/dom/showthread.php?t=78706 ) с 22 по 27.11.2010. Лучше бы, конечно, прочитать всю, но это уже по желанию ;)

    > Раньше, до выхода закона «О персональных данных», такие справки пересылались по почте по запросу департамента,

    Нифига они не пересылались – наша бюрократия всегда гоняла за кучей справок. А вот то, что ЗоПД в жесткой коллизии с проектом по госуслугам, так это факт.

    > 152-й ФЗ обязывает сохранять и конфиденциальность сведений о судимости

    См http://www.computerra.ru/Authors/573444/ в третьей части совместной с автором этого блога статьи

    > В совершении преступления виновен преступник, а не средство его совершения.
    Соглашусь, что виноват преступник. Но зачем ему облегчать задачу? Вам знакомо понятие «треугольник мошенничества»?

    ОтветитьУдалить
  46. > Наиболее распространенные доводы – возможность на основании персональных данных регистрации на их субъектов «левых» фирм, оформление «левых» кредитов и т. п.

    - http://community.livejournal.com/personal_data/213945.html
    - http://community.livejournal.com/personal_data/221597.html
    - http://community.livejournal.com/personal_data/124054.html
    - http://community.livejournal.com/personal_data/104808.html

    > в русском языке термином «оператор» (в социальном плане) принято обозначать специалистов в некоторых отраслях промышленности или низко квалифицированных специалистов, набирающих тексты на ПК

    А как Вам уже давно существующее в законе о связи понятие «оператор связи» :-D

    > Если читать закон дословно и через призму логики, то к категории операторов должен быть отнесен только тот, кто определяет цели и содержание обработки персональных данных

    См. http://bankir.ru/dom/showthread.php?t=102454

    > Следовательно, устанавливать правила обработки персональных данных и, следовательно, платить за это должны государственные органы!
    Платить или не платить – это отдельный вопрос. Но вот то, что за защиту/незащиту лицами, которым оператор доверил обработку (ч.4 ст.6 ЗоПД), отвечает прежде всего оператор (ст.19 ЗоПД) – это факт.

    ОтветитьУдалить
  47. > непонятно кого следует считать «оператором» на уровне местного самоуправления: орган местного самоуправления как единое целое или каждое структурное подразделение, имеющее статус юридического лица?

    Оператором следует считать «лицо, определяющее цели обработки и состав обрабатываемых ПДн» (по ЗоПД) или в другой формулировке «физическое или юридическое лицо, государственный орган, ведомство или любую другую организацию, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться» (по Евроконвенции). И совсем неважно обрабатывает это лицо самостоятельно ПДн или поручило обработку ПДн иному лицу.

    >Перенос сроков вступления закона в силу — пустое занятие

    Перенос сроков – это вынужденная необходимость для доведения Закона до ума.

    >Закон необходимо отменить

    Не получится… Как уже сказал выше, мы вляпались в Евроконвенцию.

    >Изменения, внесенные В.М.Резником и утвержденные Государственной Думой

    Нифига они еще не «утверждены» Думой ;)
    В мае было лишь первое чтение т.к. Минкомсвязи так и не разродился проектом изменений (по плану март 2010 года). Ко второму чтению подготовлены кардинальные изменения, но их согласуют с октября 2010 года…
    Срок второго чтения запланирован на май сг. Не согласуют – придется еще раз (и не раз) переносить…

    ОтветитьУдалить
  48. >К сожалению, ущерб подобного вида у нас до сих пор считать не принято. А следовало бы!

    Ошибаетесь. Посчитали «и прослезились (с)» - на это требуется порядка 4%-6% ВВП. См. стенограмму Парламентских слушаний 20.10.2009 - http://www.aksakov.ru/media/File/filelist/st08.doc

    >нами были разработаны «Рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах»

    http://a-datum.ru/forum/viewforum.php?f=49

    >2. Порядок организации работ по защите персональных данных при их обработке в информационной системе предприятия

    http://a-datum.ru/index.php?option=com_content&view=article&id=101:2010-02-26-14-14-33&catid=82:2010-02-26-14-07-34&Itemid=96

    ОтветитьУдалить
  49. to toparenko: конструктивно, четко, аргументированно, по делу, респект как всегда. Обед даром не прошел :)

    ОтветитьУдалить
  50. topless_freak11.3.11

    Топаренко: "а еще они называли его земляным червяком" но Волков вроде не в обиде)))

    ОтветитьУдалить
  51. to topless_freak: кошешно неш (отплевывая землю) :)

    ОтветитьУдалить
  52. tiger-66: спасибо за комментарий.
    Жаль, конечно, что Вы приписали мне несуществующее выдавание «мнения за истину в последней инстанции». У меня же речь шла только об обозначении позиции, а не утверждение правоты (можете убедиться в этом, прочтя еще раз). Если Вы найдете там заявку на «истину в последней инстанции», я принесу извинения. А вот призыв к конструктивному диалогу в той же реплике как раз присутствует. Но реакция, последовавшая за этим, была странной. Я и на новизну не претендовал, только на обозначение позиции. Каждый видит то, что хочет видеть. Еще раз приходится констатировать: читать нужно то, что написано, а не приписывать одному автору высказывания другого (это я уже А.Волкову) и, тем более, свои собственные мысли, а потом этим – приписанным – оппонировать.
    Теперь по существу:
    То, что ЭТОТ закон нужно отменять – уверен на все 100%. Как известно, из плохого исходного материала конфету не сделаешь. Сколько его не правь, ничего путного не получится. В основу 152-ФЗ положена ложная посылка. Кто читал Евроконвенцию (цитировать не буду) поймет: определение ПДн в принципе иное; понятия «оператор» там тоже нет. Есть «контролер базы данных », а это не одно и то же. Ну и так далее …. (лучше см. у Травкина). Главное: там защищают человека, у нас данные. То, что перечислено в качестве ПДн в 152-ФЗ защищать не только не нужно, но и не должно! Защищая предписанные 152-ФЗ ПДн предписанными «регуляторами» мерами мы только усугубляем и без того аховое положение в стране. Против – только те, кто на этом зарабатывает. Но они или не понимают или не хотят понять, что «пилят сук, на котором сидят».
    Защищать нужно, но не то и не так!
    Причина разногласий кроется в том, что Вы исходите из того, как есть, я – из того, как должно быть. Но как есть быть не должно! Это же очевидно. Преступность, бездействие правоохранителей, коррупция, бюрократия, продажные суды и т.д. и т.п. Все понятно. Но если следовать по пути, предписанному 152-ФЗ, ситуация будет только усугубляться. Система в ходе аутопоэтического воспроизводства воспроизводит структуру, коммуникации, смыслы и ТЕНДЕНЦИИ. Вот в чем фишка. Закон не должен регулировать, он должен создавать условия: «задавать опорные точки» и вектор развития. Это базовые положения системной теории. И делаться это должно пошагово. Как, например, с автомобильными стандартами в Европе. «Евро-1» - неэтилированный бензин и катализатор. Когда это стало нормой, появляется «Евро-2» - ремни безопасности и шумы двигателя. Затем «Евро-3» - шум шин и еще черт знает что ….Детали не имеют значения, главное – подход, методология решения вопроса. У нас же хотят все и сразу. А так не бывает. И те, кто закон писал, это отлично знают, а кто-то «греет на этом руки», а мы все вынуждены им помогать.
    Дорогой tiger-66, неужели Вы думаете, что те, кто писал 152-ФЗ не знали, как там у них на «гнилом» Западе? Знали и лучше, чем мы с Вами. Но сделали так, как сделали. И поправки будут именно такие, как надо, потому что делать их будут те же люди, что и писали исходный текст.
    Это как раз тот случай, когда не иметь никакого закона лучше, чем иметь такой.

    ОтветитьУдалить
  53. Топаренко: спасибо большое за комментарий. Это совсем другое дело. Здесь есть что обсуждать.
    1. Ратификацию Евроконвенции не считаю «вляпыванием». Это нужное и благое дело. Вопрос в том, как это делать. В Европе контролера базы данных не обязывают брать согласие, равно как и регистрироваться в своем Роскомнадзоре. Вообще никаких бумаг, страшилок и наказаний за непринятие тех мер, которые предписал «регулятор». Наказание – по факту. Критерии тоже прописаны.
    2. Главный лейтмотив принятия 152-го ФЗ именно: нас не пускают без него в ВТО! Называлась еще одна причина – несоблюдение авторских прав. Но она не имела отношения к обсуждаемому вопросу, и я на нее не ссылался.
    3. В моей статье речь шла о сравнении подходов «по обеспечению безопасности персональных данных в России и в европейских странах и США». Так что ссылка на США вполне уместна и корректна. Более того, под термином «Запад» понимаются не только и не столько западно-европейские страны, сколько страны, проповедующие западные ценности, во главе с США.
    4. Все данные рано или поздно устаревают. Но на момент написания статьи они были актуальны, а приведенные Вами выдержки только подтверждают приведенный тезис. Так что еще раз: «Спасибо». При случае использую. Ведь «штрафы до 5 млн. и (было бы лучше «или» - Г.А.) индульгенция в виде оплаты работ лицензиата» - это что, если не прямое лоббирование понятно чьих интересов?
    5. По поводу «п. 4 статьи 29 Конституции РФ»: что здесь не так? Разве 152-ФЗ ей не противоречит? Противоречит! И это очевидно. А приведенные Вами аргументы «глубже» и подтверждают ту же мысль: 152-ФЗ противоречит Конституции РФ. Кстати, можно найти еще кучу противоречий, но разве в этом есть необходимость? Достаточно и одного. Я ведь не ставил перед собой задачу детального анализа указанного закона.
    6. В предложении: «Тем не менее, т. н. регуляторы, ссылаясь на 152-ФЗ, обязывают всех давать письменное согласие на любые виды обработки любых персональных данных любыми операторами», - имеется в виду, что согласие должно даваться только на обработку ПДн с использованием средств автоматизации, а не на любую обработку. Так, например, Роскомнадзор «наехал» на управляющие компании за то, что они вывешивали списки должников на подъездах. Если списки были набраны на компе и распечатаны на принтере – они правы, если написаны от руки или напечатаны на печатной машинке – нет. Согласие в последнем случае не нужно, потому что 152-м ФЗ «регулируются отношения, связанные с обработкой персональных данных, осуществляемой … с использованием средств автоматизации или … (дальше мало понятный бред …». Так что если средства автоматизации не используются, то и 152-ФЗ не работает, равно как и все подзаконные акты, вышедшие в его развитие.
    7. Упрек в том, что утверждение о некоррелированности 152-ФЗ с действующими законами РФ не раскрыто, принимаю, но что оно голословно – нет. Думал, что если кто-то и будет читать, так только специалисты, знакомые с основными законами, в частности, с 149-ФЗ. Достаточно сравнить термины и определения понятиям, используемым в этих законах, все становится понятно.
    8. За достоверность утверждения о том, что «раньше, до выхода закона «О персональных данных», такие справки пересылались по почте по запросу департамента», ручаюсь. Проверенные данные. Во всяком случае, у нас было именно так. Ситуация, приведенная в статье в качестве примера, не вымышленная. Абсолютно достоверная и действительно произошла на моих глазах.
    9. «Оператор связи» - это не просто «оператор», а оператор связи. Если бы в 152-ФЗ вместо «оператора» ввели понятие «оператор персональных данных», еще куда ни шло. Но когда это просто «оператор» - это или грубейшее нарушение правил использования языка или наглая провокация.

    ОтветитьУдалить
  54. Топоренко (продолжение):
    10. Уточните, что Вы имели в виду, приводя цитату из определения понятия «оператор»? Она только подтверждает наличие правовой коллизии: через запятую перечислены разнопорядковые понятия – административно-управленческие и хозяйственно-юридические. А это грубое нарушение логики. У перечисляемых, тем более в законе, понятий должно быть единое основание.
    11. Не согласен с тем, что «перенос сроков – это вынужденная необходимость для доведения Закона до ума». Понятно же что «до ума» довести его нельзя. Это мера по выколачиванию из т.н. «операторов» т.н. «бабосов».
    12. Назначение финальных ссылок непонятно. Если Вы хотели предложить свой вариант, пришлите по эл.почте. Приму с благодарностью, но не факт, что воспользуюсь. Просто прокурор города на запрос о соответствии разработанных нами документов законодательству РФ, направленный по настоянию юристов, сделал заключение, что «законодатель не наделяет органы местного самоуправления полномочиями по принятию нормативных правовых актов (к коим относится положение – Г.А.) по отдельным вопросам, касающимся обработки персональных данных (в т.ч. по обеспечению безопасности персональных данных при их обработке в информационных системах). Такими полномочиями наделены лишь государственные органы». Поэтому Рекомендации – это то, что у других называется положением. Получается, что все положения о защите ПДн, разработанные не только в органах местного самоуправления, но и во всех организациях, предприятиях и учреждениях не легитимны. Есть два известных положения, утвержденные постановлениями Правительства РФ, и других быть не должно. А рекомендации есть рекомендации. Они не обязательны к исполнению, их содержание определяется исполнителем и, как представляется, должны учитывать уровень подготовки тех, кому они адресованы. Именно из этих соображений исходили мы при разработке своих Рекомендаций.

    PS: Если что-то упустил, то не по злому умыслу. С информацией по ссылкам обязательно ознакомлюсь.
    Есть просьба: почетче выражать мысль. Возможно, у вас в результате длительного общения выработался свой стиль и вы понимаете друг друга, что называется, «с полуслова». Для тех, кто с вашим сленгом не знаком, понимание затруднено. А, как считал герой х.ф. «Доживем до понедельника»: «Счастье – это когда тебя понимают». Он был не далек от истины.

    ОтветитьУдалить
  55. Атаманову Г.А. Конструктив это хорошо. А проблемы с пониманием точно есть. Я так и не понял, чего я не так написал – фразы–то обе Ваши. Ну и судя по дальнейшему обсуждению, про дискуссионный клуб в одном лице я был прав :) Умение признавать свою неправоту, принимать во внимание мнение профессионалов и отыскивать компромиссные решения – вот залог успешной дискуссии. Вы далеко не первый и дай Бог не последний, кто озаботился этой проблемой. Травкин тоже не единственный Гуру. Ваше мнение нам интересно, как одно из многих. Но не стоит его возводить в степень единственно правильного, особенно для себя самого. Сомнение –двигатель прогресса. Это я Вам как преступник и параноик говорю – закон то я выполняю, и данные защищаю :)

    ОтветитьУдалить
  56. Алексей! Ну зачем Вы приписываете мне желание «возводить [свое мнение] в степень единственно правильного»? На основании чего Вы сделали такой вывод? Ведь если Вы вернетесь к началу поста, Вы убедитесь, что я не утверждал свою правоту, а призывал Вас . Там, где я действительно считаю свое мнение единственно правильным, я говорю об этом прямо и открыто. Хотите в этом убедиться, зайдите на сайт Фонда «Наука-XXI» и прочтите мое открытое письмо. Только есть одна просьба: не нужно ничего за меня додумывать! Если появятся вопросы, лучше спросите. И я постараюсь максимально честно и откровенно на них ответить. Ведь если бы я считал свое мнение единственно правильным, разве стал бы я ввязываться в полемику, да еще «вызывать огонь на себя»? Ну, очевидно же, нет! А вот что касается философии и методологии безопасности, то здесь действительно мое мнение единственно правильно. Не абсолютно правильно! А правильно выбрано направление и подходы к решению проблемы. Детали, нюансы подлежат обсуждению. Именно поэтому задумал, но смог реализовать идею дискуссионного клуба, в котором обсуждение велось бы в строгой академической форме. Но что мы имеем? Кто может обсуждать на научном уровне проблему, как правило, не владеет компьютером, кто владеет компьютером, как правило, не обладает достаточным уровнем знания и культурой научной дискуссии и может пользуясь анонимностью и, следовательно, безнаказанностью, обхомить любого академика и отбить у него всякую охоту участвовать в любых дискуссиях. Это не в Ваш огород камень и не в адрес Вашего блога. Это – рассуждение на тему. Примеров в сети хоть отбавляй: мат-перемат, хамство, язык придурков – все это не способствует повышению качества общения и, тем более, исследования проблемы. Именно поэтому два года назад у меня и родилась идея организовать такую площадку. Но тут появился Фонд «Наука-XXI». Я переключился на него. Разместил там около десятка статей. Стал даже лауреатом конкурса научных работ. Не первым, но единственным из регионов. Но и там - ни одного отклика, пусть даже ругательного. Тогда я и написал это «открытое письмо». И опять тишина …. Вот такие вот дела, Алексей, не стоит делать выводы при дефиците информации. Это неверный метод. Да и в отношении компромисса тоже. Те, кто меня знает, не дадут соврать: я – «гений компромисса» (чтобы поняли правильно – это цитата), но только не в науке. Здесь другой принцип – «Платон мне друг, но истина дороже». В науку я пришел поздно, до этого – 20 лет Гостехкомиссии, где мне были ближе вопросы технические и технологические. Сейчас я от этого отошел в сторону философии и методологии. Теперь, надеюсь, понятно, что я достаточно объективно оцениваю свое место в проблеме: о технологии судить могу и вполне компетентно, в технику даже не лезу. Отстал. И признаться в этом не боюсь. Что есть, то есть. «Надувать щеки» - не мой принцип. «Быть, а не казаться» - это мне ближе.
    Кстати, Травкин, конечно же, не Гуру, но я его уважаю, хотя не знаком с ним лично, но знаком с его статьями. По моему мнению, грамотный специалист, достоин, чтобы его цитировали и на его мнение ссылались.
    Что касается сомнений, то у меня их хоть отбавляй. Я с ними родился, с ними и умру. Не было бы сомнений, не пошел бы в науку. Но и Вам, Алексей, не мешало бы засомневаться в правильности Вашей позиции. Ведь даже человек, которого уважаете Вы – Топоренко – подтверждает и убедительнее, чем я, что 152-ФЗ – антиконституционный и коррупциогенный. А то, что он методологически несостоятелен, разве есть сомнения?
    И последнее: если Вас так обидели два моих термина – параноики и преступники – то либо примите мои извинения, либо пояснения. В России сейчас все потенциальные преступники: выполняя один закон, обязательно нарушишь другой. Они так написаны. По моему мнению – специально. А играя на наших чувствах, особенно страха, из нас из всех делают параноиков. Знаю, о чем говорю, все-таки это почти тема моей диссертации.

    ОтветитьУдалить
  57. Уважаемый Геннадий Альбертович! Коллега! (с)

    Если бы Вы ознакомились с содержанием ссылок, приведенных одним из уважаемых мной профессионалов (Ю.В.Травкин, кстати, в их числе :) ), то, очевидно, недоразумений относительно моей позиции с Вашей стороны было бы меньше. Ну или не было бы совсем. Посему, постараюсь кратко изложить содержание предыдущих серий :)

    Никто не говорит, что закон - хорош. Все понимают, что он антиконституционен и коррупциногенен. Но 152-ФЗ - ДАЛЕКО НЕ единственный закон в РФ, имеющий такие характеристики. В их же числе и УК РФ, и много чего еще. Печально, что в эту же когорту в той или иной степени попадают практически все законы, призванные защищать права и свободы граждан и бизнеса.

    Но это совсем не значит, что все законодательство нужно взять и отменить. Лучше хоть какое-то законодательство, чем никакого. А иначе будет абсолютная анархия.

    Моя миссия в отношении 152-ФЗ - понять самому и помочь гражданам и бизнесу разобраться, что в ЗоПД хорошо, что - плохо, как можно выполнить его благую цель, защитить свои права и не подставиться под удар.

    Об этом (в том числе) и блог, и статьи, и выше написанные комментарии, наконец. У меня же складывается впечатление, что вы их читаете "диагонально", примеряя указанные мысли в отношение своих собственных суждений, видя некоторую (местами весьма существенную) разницу и приводите орудия в боевое положение.

    Take it easy. Мир нам не перевернуть. Революцию - не совершить. Сколько бы воздуха мы не сотрясали. Это - пустое. Гораздо важнее - найти единомышленников и подготовить к переменам подрастающее поколение.

    Поэтому, как говорится, wellcome to our club. "Гениев компромисса" у нас еще не было (ШУТКА) :)

    ОтветитьУдалить
  58. >Знали и лучше, чем мы с Вами. Но сделали так, как сделали. И поправки будут именно такие, как надо, потому что делать их будут те же люди, что и писали исходный текст.

    Не факт.
    Иначе бы не затевали это дело – см. http://fz-152.org/
    Да и тех кто тогда писал уже нет там. А другие, из того же ведомства, так и не смогли разродиться проектом изменений

    >Топаренко: спасибо большое за комментарий

    «Toparenko» - это ник (именно латиницей). За последний год пришлось выйти на достаточный уровень публичности т.ч. слегка погуглив по нику можно найти и реальные ПДн в Сети ;)

    >1. Ратификацию Евроконвенции не считаю «вляпыванием».

    Так нафига было ее подписывать, а не пойти по вектору САСШ в этом вопросе?

    >В Европе контролера базы данных не обязывают брать согласие, равно как и регистрироваться в своем Роскомнадзоре

    Обязывают. И брать согласие и регистрироваться. Другой вопрос как это делается. См. Евродирективу 95/46/EC:

    // Статья 2. Определения
    Для целей настоящей Директивы:
    (h) “согласие субъекта данных” означает любое свободно данное конкретное и сознательное указание о своей воле, которым субъект данных//

    // Раздел IX
    Уведомление
    Статья 18. Обязанность уведомлять надзорный орган//

    ОтветитьУдалить
  59. > 2. Главный лейтмотив принятия 152-го ФЗ именно: нас не пускают без него в ВТО!

    В ВТО достаточно много стран вообще не собирающихся присоединяться к Евроконвенции. Та же Украина вступила в ВТО без принятия закона по персональным данным. И лишь в прошлом года приняла такой закон для решения вопроса по в рамках дорожной карты к безвизовому режиму с ЕС.
    У нас та же проблема - т.ч. ВТО здесь практически «никаким боком»

    > и (было бы лучше «или» - Г.А.) индульгенция

    Индульгенция – это документ удостоверяющий отпущение былых или будущих грехов. Т.ч. в контексте документа дающего освобождение от ответственности за грядущее разглашение будет «и» :-D

    > 5. По поводу «п. 4 статьи 29 Конституции РФ»: что здесь не так? Разве 152-ФЗ ей не противоречит?

    Именно этому пункту этой статьи Конституции ЗоПД не противоречит. Тем более, что к ГТ ЗоПД вообще не относится.

    > Кстати, можно найти еще кучу противоречий, но разве в этом есть необходимость? Достаточно и одного.

    Недостаточно одного. Следует искать все и выправлять эту кривизну.
    Например http://forum.razved.info/index.php?t=61

    ОтветитьУдалить
  60. > Так, например, Роскомнадзор «наехал» на управляющие компании за то, что они вывешивали списки должников на подъездах. Если списки были набраны на компе и распечатаны на принтере – они правы, если написаны от руки или напечатаны на печатной машинке – нет.

    Вообще-то и в Европах идет вне зависимости на бумаге или автоматизировано. ;)
    См. Евродирективу:
    // Статья 2. Определения
    Для целей настоящей Директивы:
    (b) “обработка персональных данных” (“обработка”) означает любую операцию или набор операций, выполняемых над персональными данными, как автоматическими средствами, так и без таковых, такие как сбор, запись, организация, хранение, актуализация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, блокирование, стирание или разрушение;
    (с) “картотека персональных данных” (“картотека”) означает любой структурированный набор личных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе;//

    ОтветитьУдалить
  61. Другой вопрос, что у нас умудрились в определение ИСПДн запихнуть термин «база данных», а по ч.2 ст.1260 ГК РФ это исключительно обработка с применением СВТ:
    // Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).//

    Потому см. http://fz-152.org/forum/viewtopic.php?f=9&t=5

    По «черным спискам» уже прошлись в совместной статье на которую я давал ссылку ранее.

    > Если бы в 152-ФЗ вместо «оператора» ввели понятие «оператор персональных данных», еще куда ни шло.

    По сравнению с остальными ляпами это уже мелочь ;)
    Да и по исправлению этого вопроса не потребуется ломать копья

    > через запятую перечислены разнопорядковые понятия – административно-управленческие и хозяйственно-юридические. А это грубое нарушение логики. У перечисляемых, тем более в законе, понятий должно быть единое основание

    Это перевод положения Евроконвенции. В оригинале это выглядит так:
    // Article 2 – Definitions
    For the purposes of this convention:
    d. "controller of the file" means the natural or legal person, public authority, agency or any other body who is competent according to the national law to decide what should be the purpose of the automated data file, which categories of personal data should be stored and which operations should be applied to them. //

    ОтветитьУдалить
  62. > 11. Не согласен с тем, что «перенос сроков – это вынужденная необходимость для доведения Закона до ума». Понятно же что «до ума» довести его нельзя.

    Если Вы все-таки почитаете стенограмму Парламентских слушаний 20.10.2009 то увидите, что уже тогда было понятно, что в таком виде ЗоПД неприменим. И именно тогда было принято решение, что закон следует переработать и на его исправление был дан год.
    Учитывая, что за год не уложились было принято решение о переносе еще на пол года.

    Довести «до ума» его можно и нужно. К сожалению не поможет если просто перевести Евродирективу и принять ее как закон у нас – очень много других НПА подлежит изменению… И эту работу делать надо.
    Как показывает опыт прошедших 2-х лет конструктивная критика доходит до ЛПР, а вот огульное хаяние (даже если там содержится и рациональное зерно) отфильтровывается на самых нижних уровнях фильтрации…

    > 12. Назначение финальных ссылок непонятно.

    Даны несколько иные варианты рекомендаций (их еще можете скачать с http://www.globalcio.ru/cio-library/info-security/704/ ) и перечень мероприятий по приведению (несколько урезанный вариант их вошел Приложением № 2 к Методическим рекомендациям ЦБ/АРБ - http://www.cbr.ru/credit/Gubzi_docs/recommendations.pdf )
    Кстати перечень мероприятий смоленчани нашли уже давно и самостоятельно - http://www.admin.smolensk.ru/www.fstec.ru/person.htm

    ОтветитьУдалить
  63. > «законодатель не наделяет органы местного самоуправления полномочиями по принятию нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных. Такими полномочиями наделены лишь государственные органы»

    Насколько я понял из Вашей статьи прокурор ответил, что Вы не оператор по указанным целям обработки и потому не имеете право определять режимы обработки. И здесь я полностью согласен с прокурором.
    А вот, что касается остальных предприятий/организаций, то там необходимо разбираться по всем целям обработки – по одним целям они не операторы, по другим являются операторами. И вот по тем целям, где являются операторами ПДн они должны издать собственные НПА определяющие порядок работы с ПДн.

    > Есть просьба: почетче выражать мысль.

    Честно говоря бывает лень в надцать какой-то раз говорить об одном и том же – т.ч. даю просто ссылку, где это (или связанный вопрос) уже обсуждалось.
    Терминология в первом посте этой ветки - http://forum.razved.info/index.php?t=8
    ЗоПД – Федеральный закон РФ 2006 года № 152-ФЗ «О персональных данных»
    Трехглавый закон – Федеральный закон РФ 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации». Соответственно «старый трехглавый закон» Федеральный закон РФ 1995 года № 24-ФЗ «Об информации, информатизации и защите информации»
    188 Указ – Указ Президента РФ 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»
    Письмо шести - http://www.cbr.ru/credit/Gubzi_docs/pismoKO.pdf

    ОтветитьУдалить
  64. Остальное, что не ясно, уточняйте.
    Я тоже 20 лет защищал ГТ (и даже когда-то было отношение на прикомандирование к НТК Гостехкомиссии - но начальник моего Главка «не нашел возможности» откомандирования и я дембельнулся из МО) т.ч., думаю, сможем прийти к одному языку ;)

    > Именно поэтому задумал, но смог реализовать идею дискуссионного клуба, в котором обсуждение велось бы в строгой академической форме.

    До боли знакомо ;)
    В 2005-2006 годах я сделал этот проект - http://securitywiki.ru/MnogieGraniBezopasnosti
    Когда-то там были разрешены комментарии. Однако комментариев не последовало, а эта возможность была использована спамерами…
    После переноса данных (еще б найти на это время) на http://www.wikisec.ru/ этот проект закрою…

    В принципе есть надежда, что удастся сформировать площадку для обсуждения на http://www.aciso.ru/ - но это пока на перспективу т.к. эта ассоциация еще только создана.
    По вопросам ПДн и ЗоПД можно обсуждать на форуме НП ДАТУМ - http://a-datum.ru/forum/
    Если есть предложения по выправлению ЗоПД – пока есть возможность (до окончательного принятия) обсуждать на сайте Общественных слушаний по ЗоПД - http://fz-152.org (или там же на форуме)
    По ИБ-шным вопросам могу посоветовать подфорум на банкире - http://bankir.ru/dom/forumdisplay.php?f=143
    Ряд вопросов как безопасности, так и информационной безопасности обсуждаются на форуме СПКР - http://forum.razved.info
    И т.д. и т.п.

    > подтверждает и убедительнее, чем я, что 152-ФЗ – антиконституционный и коррупциогенный

    Есть эволюционный путь и есть революционный. Пока не исчерпаны эволюционные пути выправления.

    ОтветитьУдалить
  65. А.Волкову:
    Уважаемый Алексей!
    Ссылки действительно просмотрел не все. Катастрофически не хватает времени. Но я обещал и обязательно сделаю.
    Смею уверить, что если что-то читаю, то стараюсь читать внимательно. Другое дело, что Вы, наверное, правы относительно моего «боевого положения», но только в отношении обсуждаемого закона. На кухне я его иначе как мерзкопакостным не называю. Слишком уж он одиозен. До неприличия.
    Я не против защиты информации вообще, а против такой «защиты» и такой информации. Революция в средствах обработки информации произошла (происходит) невероятно быстро, а сознание перестроить с такой скоростью невозможно. Нужно время, чтобы сформировалась новая культура, в т.ч. культура безопасности. Но для этого нужны совсем другие подходы, нежели те, которых придерживаются нынешние законодатели.
    Революцию совершить можно, правда, при определенных условиях (по Ленину - необходима революционная ситуация, это когда верхи не могут, а низы не хотят). Но, как показывает исторический опыт, толпа невероятно жестока по отношению к революционерам. Они – революционеры – за «электорат» жизни свои кладут, а «электорат» их потом копытами тупо топчет. Поэтому революционный путь, конечно же, не тот путь, которым следует идти здравомыслящему человеку. Но уж ситуация больно паршивая и хочется быстрых и позитивных перемен. Надежды на подрастающее поколение лично у меня нет никакой. Они либо уже все без исключения отравлены, либо скоро будут отравлены ядом западнизма (это по А.Зиновьеву). Им уже сейчас наши разговоры об улучшении законодательства кажутся глупым брюзжанием.
    А вот про единомышленников полностью согласен. Хоть и не силен в английском – в школе, ВУЗе и аспирантуре учил и сдавал немецкий – но предложение понял и с удовольствием принимаю. Спасибо! Только постоянного компромисса не обещаю. Логически выверенные аргументы и достоверные факты – это то, что требуется для его поиска. Будем искать…

    ОтветитьУдалить
  66. Ну вот и славно. А фактов и аргументов toparenko Вам накидал более чем достаточно. Ищите, сравнивайте, выверяйте, обсуждайте. Я тоже поучаствую. Ну а что касается "мерзкопакости" - повторюсь, это проблема законодательства вцелом. Иногда мне кажется, что пора бы уже коррупцию как основу конституционного строя РФ утвердить - чего тут скромничать? Все бы тогда на свои места встало :)

    ОтветитьУдалить
  67. Toparenko:
    1. Про ник понял, про ФИО догадался (надеюсь правильно).
    2. Веру в грамотного законодателя оценил, но не разделяю. Были грамотные мерзавцы, сейчас,может быть, и не мерзавцы, но уже не такие грамотные (предположение, основанное на анализе).
    3. Евроконвенция – это «отмазка» для принятия закона, позволяющего «кошмарить» бизнес по полной. Огромные «бабки» из ничего и ни за что под благовидным предлогом заботы о субъекте.
    4. Про согласие и регистрацию: директиву не читал, но по факту уточнял – в Германии ни регистрации, ни согласия не требуют (имеется в виду письменного). Если ты обращаешься в контору, значит согласен с условиями обработки информации, принятыми в ней. Что-то вроде договора оферты, только еще проще: не требуют даже самого текста договора или любой другой дури, вроде положений об обработке ПДн, инструкций и т.д.
    5. Надзорный орган необходимо уведомлять только в случае дискредитации данных, но не о желании их обрабатывать. Это существенная разница.
    6. На ИНФОФОРУМЕ в 2007 г., почти полностью посвященном ЗоПДн, и в пленарных докладах, и на секциях (в частности, Волчинской Е.К.) главной причиной принятия этого закона называлась именно необходимость вступления в ВТО. Хотя, скорее, это все (в т.ч. и то, что Вы называете) - не причины, это поводы, те же «отмазки» (прошу прощения за сленг, но лучше не придумаешь). Главная причина – «бабосы». Из воздуха.
    7. Расторгуев С.П. (автор книги «Философия информационной войны) правильно пишет, что контролировать нужно не продукт, а его производителя. Применительно к теме: анализировать закон – абсолютно пустое и бесполезное дело. Кому нужно мнение какого-то «черта из табакерки» и кто его будет читать? Обсуждали закон «О полиции» и приняли в той редакции, какая была необходима. С законом об образовании та же ситуация. И т.д. и т.п. Вопрос: зачем время зря тратить? А если и тратить, то хотя бы не впустую. Те форумы, ссылки на которые Вы мне прислали, вряд ли кто читает из законодателей даже низшего звена. Здесь больше согласен с Алексеем Волковым: обращаться к молодежи. Может быть, когда станут министрами, вспомнят и что-нибудь сделают путного.
    8. Не важно что сказано в Евроконвенции в ст.1 152-ФЗ четко и ясно написано: «… законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой … с использованием средств автоматизации …».
    9. Что касается терминов и определений, приведенных в 152-ФЗ, то я уже не раз об этом писал, если обобщить и коротко – это «бред сивой кобылы».
    10. Ваша вера в Парламент и парламентские слушания похвальна, но, опять же, я на этот счет иллюзий не питаю. С моей точки зрения это не более, чем клоунада для электората.
    11. Прокурор ответил, что разрабатывать какие бы то ни было положения нельзя. Ни об обработке ПДн, ни об их защите. Как раз режимы обработки каждый может и должен определять сам, в зависимости от своих возможностей и в меру понимания технологии, а макулатуру плодить не нужно. Более того, противозаконно.
    12. Проект http://securitywiki.ru/MnogieGraniBezopasnosti посмотрел. Интересная мысль и нужное дело, но, к сожалению, для себя, например, я места там не увидел. Все-таки я – теоретик, а вы больше практики. Меня интересует «откуда ноги растут», а вас - как лучше добиться хорошего результата. И http://www.aciso.ru/ замечательная вещь. Полезная и нужная. Но опять для практиков.
    13. Кстати, для эволюции теория не нужна, она осуществляется как бы сама собой. А вот революцию без теории сделать невозможно (перевороты, которые устраивают америкосы по всему миру, – это не революции, это симулякры революций). Революция, в том числе и в законодательстве, требует хорошей теоретической базы. Та, что есть – не есть хорошая. Более того, она не просто ложная, она бредовая. Надеюсь, когда общество созреет до осознания необходимости кардинальной перестройки парадигмы, возможно, заинтересуются и моими наработками.

    ОтветитьУдалить
  68. >3. Евроконвенция – это «отмазка» для принятия закона, позволяющего «кошмарить» бизнес по полной. Огромные «бабки» из ничего и ни за что под благовидным предлогом заботы о субъекте.

    См. Федеральный закон 2005 года № 160-ФЗ, появившийся на год раньше ЗоПД.

    >4. Про согласие и регистрацию: директиву не читал, но по факту уточнял – в Германии ни регистрации, ни согласия не требуют (имеется в виду письменного).

    Я не случайно привел ссылку. В Европах достаточно любого согласия, а письменное – это уже из «презумпции виновности» в ЗоПД и извращение наших регуляторов.

    >Если ты обращаешься в контору, значит согласен с условиями обработки информации, принятыми в ней.

    То же самое сказал Пленум Верховного суда в 21 пункте этого Постановления - http://community.livejournal.com/personal_data/156703.html

    ОтветитьУдалить
  69. >5. Надзорный орган необходимо уведомлять только в случае дискредитации данных, но не о желании их обрабатывать. Это существенная разница.

    Евродиректива:
    //Раздел IX
    Уведомление
    Статья 18. Обязанность уведомлять надзорный орган
    1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям.//
    Т.ч. издержки как раз в том, что РФ до сих пор не ратифицировала Доппротокол к Евроконвенции, где говорится (в том числе) о независимости Уполномоченного. В результате в Европах так и не признают нас присоединившимися к Евроконвенции.
    А издержки того, что у нас этим занимается госорган выплывают в «палочную систему» и желании загнать всех в реестр – ибо от количества контролируемых зависит бюджет и штата контроллеров :-D

    >Те форумы, ссылки на которые Вы мне прислали, вряд ли кто читает из законодателей даже низшего звена.

    На главной странице http://fz-152.org висят два видеоприветствия руководителей комитетов Думы. Можете еще глянуть состав оргкомитета - http://fz-152.org/index.php?option=com_content&view=article&id=12&Itemid=4 и погуглить по ФИО состоящих в нем ;)
    Т.ч. читают

    >Может быть, когда станут министрами, вспомнят и что-нибудь сделают путного.

    На Руси с покон века самым тяжелым испытанием били не вода и огонь, а «медные трубы». Т.ч. не факт, что перспективен этот путь, если не будет постоянного подправления вектора движения…

    ОтветитьУдалить
  70. >8. Не важно что сказано в Евроконвенции в ст.1 152-ФЗ четко и ясно написано: «… законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой … с использованием средств автоматизации …».

    Смотрим ЗоПД несколько в другом месте:
    // Статья 4. Законодательство Российской Федерации в области персональных данных
    4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.//

    10. Ваша вера в Парламент и парламентские слушания похвальна, но, опять же, я на этот счет иллюзий не питаю.
    Будем посмотреть (с)
    Во всяком случае проект изменений ко второму чтению я читал – предлагаются довольно кардинальные изменения.
    Другой вопрос, что это еще проект и не факт, что в нем все останется после процесса согласования… Т.ч. Vox populi продолжает оставаться актуальным

    > С моей точки зрения это не более, чем клоунада для электората.

    Fais se que dois adviegne que peut. C'est commande au chevalier © Конан Дойл.

    >Все-таки я – теоретик, а вы больше практики.

    Теория без практики мертва и бесплодна, практика без теории бесполезна и пагубна © Чебышев П.Л.
    Т.ч. фронт работ найдется для всех ;)

    ОтветитьУдалить
  71. >Надеюсь, когда общество созреет до осознания необходимости кардинальной перестройки парадигмы, возможно, заинтересуются и моими наработками.
    Надеяться не вредно ©

    Но не следует забывать, что информационные противодействия/войны, пропаганда и контрпропаганда, дезинформация и обеспечение достоверности информации, управление формальными и неформальными информационными потоками – это все вообще-то области входящие в ИБ

    ОтветитьУдалить
  72. >Теория без практики мертва и бесплодна, практика без теории бесполезна и пагубна © Чебышев П.Л.

    А если практика не без теории, а основана на ложной теории? Не значит ли это, что такая практика пагубна вдвойне? Мне думается, что именно так и обстоят дела. Нынешняя практика, опирающаяся на ложную теорию, пагубна не вдвойне, а катастрофически.

    >обеспечение достоверности

    К сожалению, обеспечение достоверности не вошло пока что (да и вряд ли когда либо войдет) в практику обеспечения информационной безопасности. Это в моей парадигме "достоверность" - основное требование к информации с точки зрения обеспечения безопасности субъекта информационных отношений. А, как уже было отмечено, в общепринятой и официальной главное требование - конфиденциальность. Что с точки зрения логики есть абсолютная или глупость, или мерзость ...

    >Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора

    Тем не менее Роскомнадзор выписывает предписания об административных нарушениях не на основании Евродирективы, а на основании 152-ФЗ, который, как выясняется, они трактуют абсолютно неверно.

    >То же самое сказал Пленум Верховного суда в 21 пункте этого Постановления - http://community.livejournal.com/personal_data/156703.html

    Но там же речь идет о законе "О средствах массовой информации", а не о ПД. А в ЗоПД про согласие в письменной форме написано строго. Так что не забалуешь. Об этом, если мне не изменяет память, и Лукацкий неоднократно писал.
    Деятельность многих провайдеров различных услуг становится незаконной именно по этому пункту.

    >Но не следует забывать, что информационные противодействия/войны, пропаганда и контрпропаганда, дезинформация и обеспечение достоверности информации, управление формальными и неформальными информационными потоками – это все вообще-то области входящие в ИБ

    Замечательно. Приятно встретить еще одного единомышленника. Именно об этом моя диссертация и все, практически, работы. Но только под ИБ большинством специалистов (и неспециалистов тоже) понимается ЗИ! А то, что Вы перечислили, чаще всего относят к информационно-психологической безопасности. Хотя я с такой классификацией не согласен. У меня есть на этот счет своя точка зрения (http://rosichi.org/archives/116). Кстати, "единственно правильная" до тех пор, пока ее никто не опроверг.

    ОтветитьУдалить
  73. > Это в моей парадигме "достоверность" - основное требование к информации с точки зрения обеспечения безопасности субъекта информационных отношений. А, как уже было отмечено, в общепринятой и официальной главное требование - конфиденциальность. Что с точки зрения логики есть абсолютная или глупость, или мерзость ...

    Не соглашусь. Точнее, соглашусь отчасти. Обеспечение безопасности - это комплексная проблема, и потому в общем случае нельзя выделять конфиденциальность и забивать на все остальное, равно как и достоверность (целостность), или доступность. В каждом конкретном случае необходимо анализировать риски и определять, какие свойства и характеристики безопасности необходимо обеспечивать.

    Конфиденциальность важна для тех, кому есть, что скрывать. Например, нашим чиновникам - источники их доходов. Достоверность важна для тех, кому важно, например, быстро получить услугу от государства. Доступность важна тем, кто хочет быстро найти своего потерявшегося родственника. При всем при этом, это может быть один и тот же человек.

    Главное - это баланс и комплексный подход, чего невозможно обеспечить, акцентируя внимание лишь на одном свойстве. Так что, превознося одно свойство над всеми остальными, Вы в своей прадигме делаете ту же ошибку, что и те, кто продвигает "конфиденциальность превыше всего".

    ОтветитьУдалить
  74. >А если практика не без теории, а основана на ложной теории?

    Следует не забывать, что на Западе спецы по ЗГТ практически не выплескивались на рынок труда. И ИБ в гражданском секторе у них вышла из IT, а физическая безопасность из юридических подразделений. У нас шло постоянное выплескивание силовиков на гражданский рынок труда.
    В результате у нас большее влияние комплексного подхода к безопасности (в общем) и информационной безопасности (в частности).

    Например вопросы кадровой безопасности на Западе стали «откровением» лет 5 назад. А не так давно слушал с каким апломбом один из западных ИБ-шников рассказывал, что ИБ это не только IT-безопасность :lol:

    ОтветитьУдалить
  75. > Но только под ИБ большинством специалистов (и неспециалистов тоже) понимается ЗИ!

    Вообще-то есть такая область ЗИ как ЗИ в СМИ (иногда ее сужают до банальной цензуры, хотя это более широкое направление). В принципе ЗИ и ИБ равноценные понятия, но не следует их путать с ЗД (защитой данных)/безопасностью данных/IT-безопасностью – вот эти действительно более узкие понятия, входящие в ИБ.

    > А то, что Вы перечислили, чаще всего относят к информационно-психологической безопасности

    Пускай относят. Главное, чтоб не забывали, что это не самостоятельное направление, а подраздел ИБ. Но и ИБ не самостоятельный раздел, а подраздел общей безопасности.
    Ну и сама безопасность (как и информационное обеспечение, подсистемой которого является IT) не «сферический конь в вакууме», а подсистема системы принятия управленческих решений.

    ОтветитьУдалить
  76. А система принятия управленческих решений есть подсистема общественного и государственного строя, который, в свою очередь, является частью мирового сообщества, являющегося элементом множества цивилизаций вселенной. Следовательно, информационная безопасность и Вселенная неразделимы :)

    ОтветитьУдалить
  77. Да, и вот это:

    > Кстати, "единственно правильная" до тех пор, пока ее никто не опроверг.

    интересное мнение. Может, просто никому не надо? :)

    ОтветитьУдалить
  78. >который, в свою очередь, является частью мирового сообщества

    Естественно и это следует учитывать. Но пока лучше остановиться на уровне государства и власти в нем ;)

    ОтветитьУдалить
  79. Констатация факта: есть сходство в подходах, но налицо различие в терминологии. Это неизбежно, т.к. наши тезаурусы формировались не пересекаясь. Блог такого согласования не "потянет". Для этого потребовались бы многочасовые очные дискуссии.
    Есть одна очень распространенная и серьезная проблема - неточное употребление терминов. Многие ее, как правило, не замечают. Привыкли. Например:
    >Обеспечение безопасности - это комплексная проблема, и потому в общем случае нельзя выделять конфиденциальность и забивать на все остальное, равно как и достоверность (целостность), или доступность.

    Очень часто, и в РД и НМД, встречается вот это - достоверность (целостность). Т.е. употребление термина "достоверность" как синоним термина "целостность". Это методологически не совсем верно. Целостность - характеристика формы, ее нерасчленности. Т.е. категория онтологическая. Достоверность - характеристика степени соответствия знания действительности или ее истинности. А, значит, категория гносеологическая. Т.е. понятия резноуровневые.
    Примеров могу привести много. Некоторые есть в моих статьях, повторяться не буду.

    Что касается комплексности проблемы, то это абсолютно верно. Но анализировать сложную комплексную проблему сразу по всем характеристикам нельзя. Ее разбивают для удобства на части и ранжируют по степени влияния на результат. При этом важно соблюсти законы логики. В частности, правильно выявить оппозиции. Например, конфиденциальность - это не самостоятельно существующее свойство информации. У нее есть диалектическая оппозиция - доступность. Доступность-конфиденциальность - это как две стороны одной медали. По законам русского языка должно быть "доступность-недоступность", но для информации недоступность полная быть, практически, не может, а частичная недоступность есть "конфиденциальность".
    Так вот, при анализе любого сообщения, блока информации, информационного потока должна решаться триединая задача (я ее называю "3Д"):
    1) достоверность (истина/ложь)- характеристика качества информации;
    2) достаточность (много/мало для принятия правильно решения)- характеристика количества;
    3) доступность (доступно/недоступно или конфиденциально) - характеристика функциональности.
    Задача эта многофакторная и конкретная, а решается в зависимости от ситуации и ее понимания (осознания).

    ОтветитьУдалить
  80. >ИБ в гражданском секторе у них вышла из IT, а физическая безопасность из юридических подразделений.

    А у нас вся теория безопасности вышла из экономики. Ее авторами (если им можно верить) является группа "товарищей" под руководством академика Сенчагова. Это они придумали такую глупость как "безопасность - это состояние защищенности".

    >Может, просто никому не надо?

    Очень даже надо, только они об этом не знают!
    Все знают на бытовом уровне, что на гнилом фундаменте дом не построишь. А построишь - рухнет и хозяина придавит. Но когда речь заходит о теории, все почему-то думают, что здесь другие законы работают. Нет, друзья! Миром правят одни и те же законы. Подробнее можно почитать у А.А.Богданова в его "Тектологии" (есть в сети).

    ОтветитьУдалить
  81. > ... Следовательно, информационная безопасность и Вселенная неразделимы.

    Мысль верная, но уровни познания разделимы. В науке принято делить системы по степени структурной сложности на:
    1) микроуровень: объект защиты - индивид;
    2) макроуровень: объект защиты - корпорация;
    3) мегауровень: объект защиты - государство.
    Исходя из этого
    > Но пока лучше остановиться на уровне государства и власти в нем ...
    будет не совсем правильно. Субъекты (они же объекты защиты) этих уровней несводимы друг к другу, равно как и их интересы. Но они (субъекты - объекты) неразрывно связаны и существуют одновременно, поэтому их и разрывать нельзя и смешивать нельзя. Задачи защиты, средства и методы обеспечения безопасности будут различны, но решать их нужно все сразу в незазрывном единстве.

    Кстати, "государство", по-науке, это "территория" + "население" + "власть". Поэтому "безопасность государства" должна рассматриваться как "безопасность территории" + "безопасность населения" + "безопасность власти".
    А "национальная безопасность" - это "безопасность нации". А "нация" - это общность людей, объединенных языком, культурой, экономикой, но не обязательно территорией. Поэтому понятие "национальная безопасность" - экстравертивное, направленное во-вне и, следовательно, агрессивное, ведь представители одной нации могут жить на разных территориях и, следовательно, интересы нации и ее безопасности распространяются на все эти территории. Именно поэтому у америкосов была принята доктрина именно национальной безопасности. По этим же причинам нам она не подходит.
    У нас этого либо никто не понимает, либо не хочет понимать. Лепят все в одну кучу. В результате - свалка из разнопорядковых понятий, хаос, неразбериха и, вообще, черт знает что ...
    А жаль, однако, ...

    ОтветитьУдалить
  82. >А у нас вся теория безопасности вышла из экономики. Ее авторами (если им можно верить) является группа "товарищей" под руководством академика Сенчагова.

    Издержки того, что многие учебники по обеспечению безопасности имелии соответствующие грифы. Соответственно представители "школы безопасности" не давали эти знания в открытые источники.

    Ну а дилетаны начали формировать собственный понятийный ряд...

    >Это они придумали такую глупость как "безопасность - это состояние защищенности".

    В определении изначально пропущено ключевое слово ;)
    Должно было бы быть "безопасность - это идеальное состояние защищенности".
    Т.е. состояние к которому можно (и нужно) приближаться, но окончательно достичь невозможно

    ОтветитьУдалить
  83. Безопасность не может трактоваться как состояние, тем более, защищенности. Если рассматривать безопасность как состояние, то только сложной системы, состоящей из самого объекта, отношений объекта с внешней средой, состояний и отношений элементов, из которых состоит объект, и только в данный конкретный момент времени. А это есть СИТУАЦИЯ. Но опасность/безопасность это даже не ситуация, а ее обозначение, осуществленное на основании анализа наличных фактов или переживания наличных фактов, т.е. категория исключительно аксиологическая.
    "Защищенность" - это вообще средневековая "универсалия", т.е. абсолютно абстрактное понятие, не имеющее эффективного содержания.

    ОтветитьУдалить
  84. А.Волкову:
    >Конфиденциальность важна для тех, кому есть, что скрывать. Например, нашим чиновникам - источники их доходов.

    Алексей, если я не ошибаюсь, сокрытие чиновниками (и не только) доходов по законодательству РФ есть преступление. Следовательно, тот, кто помогает совершать это преступление, защищая такую информацию, является соучастником преступления. Соучастник - со-участник - какой ни есть, а участник преступления, т.е. преступник. 152-ФЗ обязывает защищать в том числе и, кстати, в особенности, именно такую информацию. Следовательно, каждый, кто выполняет 152-ФЗ является соучастником преступления.
    В результате простых логически выверенных суждений мы пришли к тому, с чего начиналась наша дискуссия: каждый, кто защищает (помогает защищать) перечисленную в 152-ФЗ информацию, рано или поздно становится соучастником преступления, а, значит, и преступником.

    И, заметьте, не я это сказал. Я это только вывел из вашего суждения в результате простых логических операций.

    ОтветитьУдалить
  85. > каждый, кто выполняет 152-ФЗ является соучастником преступления

    Во-первых - давайте уточним: далеко не каждый, кто выполняет 152-ФЗ - помогает скрывать чиновникам доходы. Конечно тот кто помогает, руководствуясь в т.ч. 152-ФЗ - соучастник. Ну а какое преступление было совершено в конкретном примере - я так и не понял, возвращаясь к началу.

    Во-вторых, интересно Вы рассуждаете, Геннадий Альбертович. Я бы даже сказал, адаптивно. И не объективно, увы. В зависимости от своих суждений Вы можете один и тот же документ рассматривать и в общем, и в деталях, главное - подогнать под Вашу прадигму. Это, знаете ли, манипулирование сознанием :)

    ОтветитьУдалить
  86. То, что 152-ФЗ "заточен" под сокрытие многих данных не только о чиновниках, олигархах, махинаторах разных мастей и других преступниках и их преступлениях, это очевидно. Тому есть множество подтверждений, в т.ч. на сайтах, ссылки на которые делали Вы и toparenko. Кстати, я не нашел там ни одного случая наказания за причиненный вред, связанный с утечкой ПДн, но есть масса фактов наказания за невыполнение требований "регуляторов" (что подтверждает и tiger-66).
    А "зацепился" за Вашу фразу (абсолютно верную), чтобы подчеркнуть, что в том - первом - выступлении (начало нашей дискуссии), я никого не хотел обидеть, а просто констатировал факт. И попытался доказать, что был прав, когда называл некоторые категории граждан, участвующих в реализации 152-ФЗ, параноиками и преступниками. Для этого воспользовался таким методом: опереться на тезис оппонента и в результате логических рассуждений вывести новый тезис, подтверждающий уже свою правоту. В моих суждениях ведь все логично, там нет софизмов.

    Конечно Вы правы, что "далеко не каждый, кто выполняет 152-ФЗ - помогает скрывать чиновникам доходы", но 152-ФЗ каждого обязывает это делать. И, даже, если кто-то этого не хочет, рано или поздно он это будет вынужден сделать и стать "преступником". А постепенно многие сами начинают верить в то, что это нужное дело, т.е. невольно переходят в разряд "параноиков". Еще и реалии нашей нынешней жизни этому способствуют.

    Что касается манипулирования сознанием, то это всего лишь метод, а хорош он или плох зависит от двух вещей - цели, которую ставит перед собой манипулирующий, и результата, который он получит.
    Смею Вас уверить, что цели у меня благие. Хотелось бы и результат получить соответствующий.

    ОтветитьУдалить
  87. > Что касается манипулирования сознанием, то это всего лишь метод, а хорош он или плох зависит от двух вещей - цели, которую ставит перед собой манипулирующий, и результата, который он получит. Смею Вас уверить, что цели у меня благие. Хотелось бы и результат получить соответствующий.

    Вам что-нибудь говорит словосочетание "Аум Синрике"? Приведенная выше мысль - один из основных мотиваторов Гуру :)

    ОтветитьУдалить
  88. Алексей, Вы, наверное, хотели «ущучить» меня своим вопросом, но опять только подтверждаете мою правоту. Основа Аум Синрекё – это учение о методе. Упрощенно их главную идею можно было бы сформулировать так: делай, что тебе сказал Верховный (в их случае – Асахара, в нашем случае – Закон), и достигнешь того, чего хочешь. И, главное, ты не несешь ответственности, за то, что творишь. Верховный ответит. Это, как раз, тот подход, которого придерживается большинство защитников ПДн: защищать! Неважно ради чего и плевать к чему это приведет. А приведет это, в конечном итоге, к развалу экономики страны! Такого бремени, какое пытается взвалить на нее 152-ФЗ, ни одна экономика мира не выдержит, тем более российская.
    Человека от других существ отличает (должно отличать) именно целеполагание. Цель определяет в известной степени не только средства, но и структуру системы, стремящейся ее достичь. Так считает, например, С.П.Расторгуев, автор «Философии информационной войны» (есть в сети). Главное – цель определить правильно!
    Так что я не сторонник девиза «цель оправдывает средства», как, наверное, Вы подумали, но согласен, что «цель (в известной степени) определяет средства»! А это далеко не одно и то же.
    Кстати, я тоже с пафосом мог бы спросить: а фамилия Эйнштейн Вам о чем-нибудь говорит? Цели у него, как известно, были благие, а результат – Хиросима и Нагасаки ….
    Вот что действительно опасно: один человек мечтал осчастливить человечество, а другие, воспользовавшись его идеями (заметьте - под благовидными предлогами), - это человечество уничтожают.
    Извечная проблема. Вы в ней, как я понимаю, не специалист. Я тоже не претендую на глубокие знания в этой области. Предлагаю оставить … или, наоборот, вернуться к истокам, к философскому обоснованию проблемы защиты информации вообще и персональных данных, в частности. Все-таки без четкого осознания «ЗАЧЕМ?»/«ДЛЯ КАКОЙ ЦЕЛИ?» «ЧТО?» и «КАК?» работать толком никогда не будет и позитивных результатов не даст!

    ОтветитьУдалить
  89. > Вы, наверное, хотели «ущучить» меня своим вопросом

    Геннадий Альбертович, а оно мне надо? Я вообще-то спокойно отношусь к конституционному праву граждан на свободу мысли :)

    Ну а по поводу цели - смотрите здесь: http://anvolkov.blogspot.com/2011/03/blog-post_16.html?showComment=1300772480113#c2382708254649326112

    ОтветитьУдалить
  90. По ссылке посмотрел. Если правильно понял, то в том, что защищать нужно субъекта, а не его ПДн, наши взгляды совпадают. Вот только, к сожалению, законодатель думает иначе.

    > а оно мне надо?
    Думаю, что надо. Если бы было не надо, Вы бы не завели блог. И хорошо, что надо. А если никому ничего станет не надо, что тогда?

    Кстати, я тоже не против свободы мысли, но против свободы ее изложения. Перефразируя известную максиму - свобода одного француза заканчивается там, где начинается нос другого француза - получим: свобода изложения мысли одного субъекта заканчивается там, где начинается самолюбие другого субъекта. Или, проще, в терминах 90-х: "Фильтруй контент!" и "За контент ответишь!". Я считаю, что это два самых главных принципа обеспечения информационной безопасности. Стараюсь соблюдать. Ну а если что упустил/допустил, всегда готов держать ответ ...

    ОтветитьУдалить