среда, 30 марта 2011 г.

Выступление на конференции: видео


Выкладываю обещанное видео выступления. Презентация, сопровождавшая доклад, размещена здесь.



Видео других выступлений доступны по этой ссылке.

ЗЫ: иногда меня уносит, иногда поттупливаю, иногда слегка понтуюсь - но все к удовольствию слушателей :)
ЗЫЫ: для тех, у кого есть органичения доступа к ресурсам Интернет: видео размещено ВКонтакте, в публичном доступе, из дома посмотреть точно получится ;)

вторник, 29 марта 2011 г.

Статья в журнале "Персональные данные"


В мартовском выпуске электронного журнала "Персональные данные" опубликована первая часть совместной с Александром Бондаренко статьи под названием "Оценка рисков и защита персональных данных". Работа является своеобразным исследованием вопросов, рассмотренных ранее здесь и здесь, потому получилась достаточно объемной и разбита на две части (вторая часть выйдет в апреле). Кроме того, по соглашению с изданием, материал в течение некоторого времени будет недоступен публично, потому... следите за блогом, а пока - только анонс издания и выпуска ;)

Оценка рисков и защита персональных данных. Как оценить стоимость ПДн – и можно ли вообще это сделать? Уникальное исследование по оценке рисков и защиты персональных данных – только в ближайшем номере информационно-аналитического журнала "Персональные данные".

Читайте в мартовском номере "Персональных данных":

• Универсальная Электронная Карта (УЭК). Зачем она нужна и как будут защищаться наши данные?
• Данные должников в интернете – новая инициатива: кому и зачем это нужно?
• Практический опыт обеспечение конфиденциальности персональных данных для "высшей школы". Пути решения проблем.
• Недостоверные сведения в уведомлении в Роскомнадзор. Что ждет оператора ПДн?
• ЭКСКЛЮЗИВ! Как оценить стоимость ПДн – и можно ли вообще это сделать? Уникальное исследование специалистов по оценке рисков и защиты персональных данных.
• Скандал в Европейском парламенте: зачем Казначейству Соединенных Штатов передавали банковские данные граждан Евросоюза?
• а так же многое другое и очень интересное.

Также хотим сообщить Вам, что в настоящее время у Вас есть уникальная возможность познакомиться с материалами единственного в стране ежемесячного электронного информационно-аналитического журнала "Персональные данные" (http://www.privacy-journal.ru/), полностью посвященного вопросам обработки, хранения и защиты персональных данных субъектов. Для этого достаточно оформить подписку на наш журнал.

На страницах журнала – эксклюзивные интервью ведущих экспертов по проблеме обработки персональных данных, аналитические материалы о нововведениях в законодательстве страны, исследования, информация о мерах и средствах защиты персональных данных, так же все о состоявшихся и готовящихся семинарах и конференциях на тему персональных данных.

Будем рады видеть Вас в числе наших читателей или авторов!

С уважением, редакция журнала "Персональные данные"

понедельник, 28 марта 2011 г.

Доколе?..


Сегодня вышел очередной доклад (до сих пор, что удивительно) "трепыхающейся" на злобу власти группы оппозиционеров (Немцов, Рыжков, Касьянов сотоварищи), именуемый "Путин. Коррупция". Это занимательное чтиво размещено на сайте putin-itogi.ru. Уж не знаю, насколько те подробности, что в нем приведены, соответствуют действительности, однако мне почему-то кажется, что в очень большой степени...

PS. Конечно, критики скажут (и я с ними даже соглашусь), что про авторов доклада можно написать не менее душещипательные истории, однако пока таковые мне лично не попадались... Может, просто плохо искал? :)

среда, 23 марта 2011 г.

Убирайте жесткие диски в сейфы


Вчера выступал на конференции, посвященной проблематике технической защиты ИСПДн. Презентацию вы, дорогие читатели, уже видели, потому не буду долго распинаться - расскажу о своих впечатлениях.

Во-первых, сам по себе приезд представителей ФСТЭК в нашу область - событие знаковое, а уж тем более - выступление на конференции с докладом. Поэтому все их ждали, и ФСТЭК ожидания публики не обманула. Была продемонстрирована неплохая, но достаточно стандартная презентация, ничего нового я для себя не увидел, и уж тем более - ничего сверхсекретного, однако представитель ФСТЭК попросил не размещать материалы в открытом доступе.

В отношении "тотального лицензирования" по ТЗКИ представитель ФСТЭК сказал, что его позиция (особо подчеркнул, что она совпадает с позицией центрального аппарата) такова, что лицензия нужна тем, кто оказывает УСЛУГИ, а не всем поголовно. Однако мало кто на это обратил внимание (видимо, получать ее никто и не собирался).

А вот дальше - интересные моменты. Мелькнувшая во вступительном слове мысль, что "сертификация" в качестве "оценки соответствия" для негосударственных структур - дело, по сути, добровольное (!), в итоге была сведена к необходимости обязательной сертификации. Здесь же прозвучала другая интересная мысль: если жесткий диск с ПДн после работы убирается в сейф, то никаких технических мер, кроме охраны того самого сейфа, не требуется. Но и она как-то была упущена слушателями. Далее следовало выступление Роскомнадзора, в котором идея съемных НЖМД как "отличного заменителя" КСЗИ была поддержана, а также прозвучала фраза, смысл которой сводился к необходимости построения одинаковой системы защиты для информации любых уровней конфиденциальности.

Выступление вашего покорного слуги следовало сразу за регуляторами, и оно, честно сказать, как процесс мне не понравилось. Всему виной особенности размещения: трибуна, за которой пришлось стоять (а я очень не люблю трибуны) и место, где проецировались слайды, находились в разных концах, и разделены были т.н. "столом президиума". Поэтому и мне, и президиуму для того, чтобы отслеживать происходящее на экране, приходилось поворачиваться боком (а иногда и больше :) к слушателям. Но последние были довольны, смеялись и аплодировали, чего нельзя было сказать о регуляторах... Особенно велико было их удивление тому, что стоимость владения лицензией на ТЗКИ составляет 3 миллиона: "откуда такие суммы, это же документ, и при выдаче лицензии проверяются документы, это 2 тысячи рублей..." К счастью, в зале находились представители двух из 3-х лицензиатов Вологодской области, и они смогли грамотно и доходчиво объяснить, что и как считалось.

После моего выступления представитель ФСТЭК очень красиво разрядил обстановку, сказав мудрую мысль о том, что действительно проблем много, действительно однозначных ответов на вопросы очень часто не отыскать, и все это происходит потому, что никто и никогда не делал экспертизу существующей нормативно-правовой базы в области защиты информации. А представитель Роскомнадзора добавил, что "всем нужно отрабатывать свою зарплату", после чего все, довольные и счастливые, ушли на перерыв.

После был круглый стол, на котором почему-то было очень мало вопросов. Роскомнадзор спрашивали про согласия на обработку и кадровые проблемы, ФСТЭК говорил про новый СТР-К и некоторые другие документы, которые разрабатывает Воронежский институт, но когда они увидят свет - неизвестно. В общем, как-то вяло - народ, видимо, подустал. Да и что спрашивать - сказали же, однозначного ответа не существует. Ну а потом все разошлись. Занавес.

С огромным сожалением вынужден констатировать тот факт, что доклада ФСБ по криптографии на конференции так и не прозвучало. То ли у представителя не нашлось времени, то ли не нашлось представителя - сие нам не ведомо. Но очень обидно, досадно... Ну да ладно.

От себя хочу сказать спасибо Алексею Лукацкому и Ригелю за материалы (некоторые мысли и слайды позаимствованы, копирайты соблюдены). Особое спасибо toparenko за рецензию :) Для того, чтобы скачать презентацию, необходимо открыть ее по ссылке и нажать на кнопочку Download, кто не хочет регистрироваться - пожалуйста, выложил на iFolder.

ЗЫ. Если будет видео - размещу отдельным постом :)

вторник, 22 марта 2011 г.

среда, 16 марта 2011 г.

Порядок есть порядок


В прошлом году в МУЗ "Детская городская поликлиника №4" г. Череповца одним из граждан были выявлены некоторые нарушения, связанные с персональными данными маленьких пациентов. По этому факту было направлено обращение в Роскомназдор через интернет-сайт этого ведомства. По истечении 30 рабочих дней с момента обращения Роскомнадзор инициировал проведение внеплановой проверки, предварительные результаты которой мы с вами имели возможность наблюдать. И вот сегодня настало время подвести окончательный итог этой истории.

Напомню, что обращение, отправленное через сайт, носило следующую смысловую нагрузку:

"...Указанные факты могут нанести потенциальный вред моему ребенку и семье, прошу определить, есть ли в изложенных фактах нарушение законодательства о ПДн, и если таковые имеются - поспособствовать к их устранению."

Ответ Роскомнадзора на это обращение:


Что ж, какое обращение - такой и ответ, не правда ли? Но честно говоря, ответ "ни о чем". Поэтому ваш покорный слуга вооружился камерой смартфона и отправился сегодня с утра навестить это учреждение здравоохранения.

Первое, что бросилось в глаза - все те же "папки самозаписи":


Однако мы с вами уже знаем, что из листов, содержащихся в них, уже давно удалили домашний адрес и год рождения, поэтому я особо ими не интересовался. Собственно, на этом можно было бы поставить точку: нарушение устранено, но процесс остался таким же, каким и был, а это значит, что победа, как говорилось в комментариях, действительно "пиррова". Позабавило меня и это объявление:


Согласитесь, "талонная система" и "папки самозаписи" - два взаимоисключающих понятия, даже с точки зрения организации самого процесса: в первом случае обязательно наличие талона, во втором - он совсем ни к чему. Однако эти два понятия великолепно уживаются в голове чиновника, исполняющего распоряжения вышестоящего руководства. Отличный образчик всего нашего законодательства. Дойдя до "стола самозаписи", я открыл папку и все-таки нашел то, что действительно компенсировало потраченное мной время - вот это объявление:


"Ну и что тут такого?" - спросите меня вы - "ведь данные-то действительно становятся общедоступными". Ан нет, не все так просто. Дело в том, что для лиц, не имеющих доступ к регистрационным данным пациента, этот лист содержит ОБЕЗЛИЧЕННЫЕ персональные данные. Идентифицировать пациента могут только сотрудники поликлиники, сопоставив указанные в листе самозаписи данные с данными медицинской карты по номеру участка, поэтому в таком виде защищать ФИО и возраст, в общем-то, и не требуется.

Другой вопрос - в автоматическом переводе персональных данных в категорию общедоступных при внесении их в эту папку. Согласно п. 12 ст. 3 152-ФЗ, общедоступные ПДн - это те ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требования об обеспечении их конфиденциальности. Насколько мне известно, никаких федеральных законов о том, что на ФИО и возраст не распространяется требование конфиденциальности, нет, а значит остается первый вариант - согласие.

Смотрим про него - п. 1 ст. 9 152-ФЗ говорит о том, что субъект принимает решение о предоставлении и дает согласие на их обработку своей волей и в своем интересе. Интерес действительно мой, но вот воля... Учреждение здравоохранения осуществляет медицинское обслуживание населения - то есть, предоставляет услуги. И получается, что гражданин, решивший этой услугой воспользоваться, согласно логике объявления, просто вынужден перевести ряд своих ПДн в категорию общедоступных, иначе услугу он не сможет получить. Про сам способ получения согласия, которое, кстати, является конклюдентным, а не письменным, я вообще молчу - копий уже переломано немало.

Вот такие вот дела. Три месяца понадобилось регулятору на то, чтобы выдрать из листов самозаписи дату рождения и домашний адрес. И нарушение вроде устранили, но тут же наклеили очередной "ляп". Честно говоря, я надеялся на изменение процесса записи к участковым терапевтам, но, видимо, это не в компетенции Роскомнадзора, а регистратура оказалась великой и непобедимой силой (о недостатках процесса - этот комментарий).

Отчего-то не радостно совсем... Ну а читателям, чтоб не грустить, предлагаю самим расставить знаки препинания в заголовке поста.

пятница, 4 марта 2011 г.

Железный информационный занавес


Мой коллега Ригель затронул очень интересную тему: использование облачных сервисов в условиях социально-политической нестабильности в государстве. Вопрос этот показался мне крайне важным, и потому ваш покорный слуга не смог не отметить его в этом блоге. О чем, собственно, речь.

Все, кто следят за развитием информационных технологий, наверное, знают (ну или слышали) про так называемые "облачные сервисы", проще говоря - "облака" (тем кто не знает - пожалуйста, ссылка). У этой концепции есть масса как сторонников (преимущественно ИТ-специалисты), так и противников (специалисты по ИБ). Однако все идет к тому, что технологии обработки данных, использующие "облака", в ближайшем будущем будут основным и наиболее перспективным трендом. Поэтому в последнее время участились конференции по безопасности облачных вычислений, на которых ИТ и ИБ-специалисты пытаются найти компромиссные решения, и когда-нибудь они их все-таки найдут. Однако существует другая угроза, о которой собственно и пишет Ригель, и методики ее нейтрализации на данный момент не существует (точнее, существует, но...).

Технология "облачных вычислений" предполагает постоянное подключение клиента к сети Интернет, которая, как известно, является мощным и относительно свободным информационно-пропагандистским инструментом. Российские власти и раньше его недолюбливали, а в связи с последними событиями на манежной площади и ближнем востоке, когда протестующие организовывались через Facebook и Twitter, скорее всего, сдули пыль с красной кнопки, выключающей доступ к Интернету на всей территории РФ. Нервозная обстановка во власти сохраняется: не смотря на официальную статистику, говорящую о полной поддержке курса партии и правительства, различные интернет-голосования говорят об обратном, да и в community весьма и весьма неспокойно. И как знать, в какой момент у власти дрогнет рука и даванет на тот самый выключатель, вместе с отключением которого "отвалятся" и все "облачные" сервисы и бизнес, "пересевший" на "облака", тут же остановится?..

Возможно, именно поэтому на пути развития ИТ и ИБ в РФ существует так много препятствий. Возможно, именно в этом заключается миссия существования многочисленных регуляторов, изо всех сил пытающихся доказать свою необходимость, важность и нужность для госаппарата и пытающихся контролировать каждый вздох информационного и бизнес-сообщества (на котором, к тому же, можно неплохо заработать). Обо всем этом можно только гадать. Ясно лишь одно: "железный занавес", которому завтра исполняется 65 лет, с распадом СССР никуда не делся. Он перекочевал в информационную сферу, где успешно существует и по сей день, и угроза полной его активации сейчас актуальна, как никогда.

Что до бизнеса... В конце концов, ему решать. Главное - помнить о том, что счастье ежика, зайки и медвежонка от путешествия по облакам может внезапно прекратиться...

Ну и чтобы не заканчивать пост на столь печальной ноте, пользуясь случаем, поздравляю прекрасную половину человечества с наступающим праздником! :)