среда, 6 июля 2011 г.

Открытое письмо Президенту РФ Д.А.Медведеву


Дорогие читатели! Если Вы поддерживаете это письмо, пожалуйста, в комментариях оставляйте (только) свое Ф.И.О., и распространяйте текст на других ресурсах! Текст письма в файле для самостоятельной персональной отправки через kremlin.ru здесь (не забудьте поправить поле "Письмо подписали").


Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru http://kremlin.ru/assignments/11427 , а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

06.07.2011

Письмо подписали:

Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений

Письмо направлено через http://letters.kremlin.ru/

141 комментарий :

  1. Анонимный6.7.11

    Поддерживаю
    Кузнецова И.В.

    ОтветитьУдалить
  2. http://lukatsky.blogspot.com/2011/07/152.html

    http://personal-data.livejournal.com/286984.html

    http://www.tsarev.biz/news/otkrytoe-pismo-prezidentu-d-a-medvedevu/

    http://secinsight.blogspot.com/2011/07/blog-post.html

    ОтветитьУдалить
  3. Читатели, желающие ЛИЧНО подписать письмо - сохраняйте текст в txt, doc, rtf формате (к сожалению в формате odt письма не принимаются) и направляйте через http://letters.kremlin.ru/ . После чего желательно разместить письмо в Вашем блоге или ином Вашем информационном ресурсе. Можете оставить отметку об отправке и размещении в данном блоге или в блогах коллег, ссылки - выше.

    Спасибо за поддержку!

    ОтветитьУдалить
  4. Поддерживаю, надеюсь это обращение не останется незамеченным.

    ОтветитьУдалить
  5. Анонимный6.7.11

    Подписываюсь
    Ряполов Дмитрий Юрьевич, г.Барнаул

    ОтветитьУдалить
  6. Анонимный6.7.11

    Подписываюсь
    Тавролов Михаил Игоревич

    ОтветитьУдалить
  7. Анонимный6.7.11

    Поддерживаю
    Прибок Станислав

    ОтветитьУдалить
  8. Анонимный6.7.11

    Лысков С.В.

    ОтветитьУдалить
  9. Александр6.7.11

    а я вот не поддерживаю, если закон изменят в сторону операторов, т.е. оператору предоставят выбор....чем и как?.. То никакого выбора и не будет, будет такой же хаос как и сейчас, все просто забудут про этот закон, напишут пару бумаг, что у них мол стоят пароли, а Клавдия Ивановна предупреждена об ответственности. И никто ущерб субъекту, тем более считать не будет, с нашим законодательством он просто является недоказуемым! А в данном виде он хоть как-то приносит страх руководителям, что в случае невыполнения требований ему влетит по шапке и того может быть хуже. Руководитель постоянно будет требовать от своих сотрудников обеспечивать защиту ПДн, в организациях в штате появятся специалисты ИБ и т.д.

    ОтветитьУдалить
  10. Александр6.7.11

    И теперь пусть руководитель думает никак себе набить карман, а как построить грамотную подчеркиваю, грамотную систему защиты!

    ОтветитьУдалить
  11. 2Александр

    >И теперь пусть руководитель думает никак себе набить карман, а как построить грамотную подчеркиваю, грамотную систему защиты!

    К сожалению предлагаемые сейчас меры не имеют ничего общего с грамотной системой защиты и абсолютно не работают по основному каналу утечки инсайдерским рискам. Пока имеем лишь продажу индульгенций в виде сертифицированных СЗИ, которые не применимы уже при виртуализации, не говоря уж об облачных технологиях

    ОтветитьУдалить
  12. Александру: Ваше право. Мы призываем к разумному балансу интересов, и к обеспечению соблюдения прав субъектов. То, что происходит сейчас, и что усугубится после принятия Законопроекта - это "как не подставиться перед регулятором". И ни о каком грамотном подходе речи не идет.

    ОтветитьУдалить
  13. Денис6.7.11

    Возможно стоило бы также добавить немаловажный аспект, что по сути права самих граждан, как субъектов, не учитываются, так как выполнение требований законодательства усложняет (а в ряде случаев делает невозможным) получение услуг, особенно в разрезе внедрения элекронной формы предоставления услуг. Ну и то, что уже многократно обсуждалось – законодательство не обеспечивает защиту интересов непосредственно субъектов.

    ОтветитьУдалить
  14. Анонимный6.7.11

    Подписываюсь.
    Тирский Дмитрий Сергеевич, г. Хабаровск

    С ув. Turkish

    ОтветитьУдалить
  15. Александр6.7.11

    лучшая защита от инсайдерских рисков - это наказание за разглашение защищаемой закон информации. Мое мнение стоит изменять статьи КоАП и УК!

    ОтветитьУдалить
  16. Александру: прежде, чем наказать, нужно сначала установить виновных, а учитывая, что у оператора нет никаких полномочий проводить внутренние расследования, а методы защиты, изложенные в Законопроекте, по сути, ничего не решают для управления инцидентами - все это полная ерунда.

    ОтветитьУдалить
  17. Да и потом - наказание за разглашение и компенсация ущерба - совершенно разные вещи.

    ОтветитьУдалить
  18. Денису: мы исходили из принципа "краткость сестра таланта", да и времени было в обрез. Так или иначе, Ваши мысли отражены, пусть и в несколько другой формулировке.

    ОтветитьУдалить
  19. Анонимный6.7.11

    Подписываюсь. Дышлевская Ирина Романовна, г. Омск
    Медицинское учреждение эти требования никогда не выполнить в нужном объеме.

    ОтветитьУдалить
  20. Денис6.7.11

    Идея понятна. Но в свое письмо все-таки пару строк решил добавить - хуже не будет.
    Инициатива вообще хорошая очень, но эта проблема все-таки не так освещена, как те же ТО или ЖКХ, а для какого-то влияния все же нужно, чтобы и в СМИ была информация и подписей/обращений больше. А пара сотен, хоть и экспертов, к сожалению, могут остаться без внимания :(

    ОтветитьУдалить
  21. Денису: абсолютно правильно!

    ОтветитьУдалить
  22. Анонимный6.7.11

    Подписываюсь
    Козлов Сергей Дмитриевич

    ОтветитьУдалить
  23. Алексей6.7.11

    Подписываюсь.
    Хурамов Алексей Михайлович, г.Челябинск.

    ОтветитьУдалить
  24. Анонимный6.7.11

    Поддерживаю.
    Сосова Е.А., г. Краснодар

    ОтветитьУдалить
  25. Анонимный6.7.11

    Подписываюсь
    Петров А.А.

    ОтветитьУдалить
  26. Подписываюсь!
    Красильников Александр Юрьевич, г.Челябинск.

    ОтветитьУдалить
  27. Анонимный6.7.11

    Подписываюсь.
    Созинов Михаил Сергеевич, г.Новосибирск

    ОтветитьУдалить
  28. Анонимный6.7.11

    Егоров А.А.
    Москва

    ОтветитьУдалить
  29. Анонимный6.7.11

    Подписываюсь.
    Коломиец Владимир Александрович, г. Оренбург

    ОтветитьУдалить
  30. Анонимный6.7.11

    Маркина Светлана Викторовна

    ОтветитьУдалить
  31. Спиридонов Сергей, г. Тверь

    ОтветитьУдалить
  32. Анонимный6.7.11

    Подписываюсь
    Чаплыгин Роман Евгеньевич

    ОтветитьУдалить
  33. Савченко Евгений Михайлович

    ОтветитьУдалить
  34. Подписываемся:
    Михаил Юрьевич Емельянников,
    Попова Зоя Владиславовна
    (Консалтинговое агентство «Емельянников, Попова и партнеры»)
    http://emeliyannikov.blogspot.com/2011/07/blog-post_06.html

    ОтветитьУдалить
  35. Анонимный7.7.11

    Митягин Тимофей Андреевич

    ОтветитьУдалить
  36. Этот комментарий был удален автором.

    ОтветитьУдалить
  37. Поддерживаю полностью. Подписываюсь.
    Магонов Павел Константинович.

    ОтветитьУдалить
  38. Отправил письмо лично через kremlin.ru надеюсь обратят внимание.

    ОтветитьУдалить
  39. Анонимный7.7.11

    неплохо было бы заявить об открытом письме на habrahabr.ru

    ОтветитьУдалить
  40. А есть, еще вчера: http://habrahabr.ru/blogs/infosecurity/123524/

    ОтветитьУдалить
  41. Анонимный7.7.11

    Латыпов Сулейман Зуфарович

    ОтветитьУдалить
  42. Анонимный7.7.11

    Сикоева Карина Михайловна

    ОтветитьУдалить
  43. Комиссия по информационной безопасности и киберпреступности РАЭК присоединилась к Открытому письму Президенту Д.А. Медведеву по закону о персональных данных: http://raec.ru/times/detail/554/

    ОтветитьУдалить
  44. Анонимный8.7.11

    Открытое письмо подписантам Открытого письма Президенту Российской федерации Д. А. Медведеву от 06.07.2011 года, опубликованного на сайте http://personal-data.livejournal.com/286984.html и других.

    «Что делали с паникерами во время войны? – Расстреливали!»
    Из выступления Д. А. Медведева на заседании 06.07.2011 по вопросу об исполнении поручений Президента Российской Федерации

    Уважаемые господа подписанты Открытого письма Президенту российской федерации Д. А. Медведеву! Зачем вы вводите людей в заблуждение и развиваете у них фобию относительно принятого Государственной Думой 05.07.11 г. в третьем чтении законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных"? Зачем вы отнимаете время у Президента РФ?
    Передергивая факты, вы искажаете смысл закона и преследуете, на мой взгляд, узкокорпоративные интересы, которые можно выразить простой фразой: «Мы не хотим тратиться на защиту персональных данных и поэтому закон для нас вреден!».
    Читать далее на http://www.elvis.ru/news.shtml

    ОтветитьУдалить
  45. >Мы не хотим тратиться на защиту персональных данных и поэтому закон для нас вреден!
    Затраты должны быть объективные, нам надоело кормить интеграторов, понимаю г-на Вихорева - это его бизнес, а написав письмо мы не время у президента отнимаем, а создаем угрозу бизнесу Вихорева. Огласите стоимость работ, хотя бы по разработке документации, т.к. ее объем не зависит от оператора (малый, средний, крупный, гос. и т.д.) Обращался я к таким как вы - более 1,5 млн. И позиция по лицензированию ТЗКИ - от 2 млн. Аутсорсинг не дешевле - просто рассрочка.

    ОтветитьУдалить
  46. Анонимному: Вы хотите, чтобы я что-нибудь на это ответил? :) Каждый человек имеет право высказать свою точку зрения. Но только глас народа - глас Божий. Переубеждать и комментировать бессмысленно - ведь в военное время живем, кругом враги, которые только и хотят, чтобы украсть наши ПДн. А те, кто делают на ТАКИХ фобиях деньги - того и гляди дадут команду на расстрел :)))

    ОтветитьУдалить
  47. Анонимный8.7.11

    ...а каков слог у г-на Вихорева!

    ОтветитьУдалить
  48. Вихорев8.7.11

    Сергею: согласен, затраты должны быть объективными. Для этого надо правильно построить модель угроз. Уверяю, Вас, многое делать после этого не придется. А по-поводу интеграторов могу сказать, что Вы не к тем обращались. Документацию (шаблоны) сечас можно купить просто в Интернете - это стоит 40-60 тыс. руб. или скачать с сайта Минздравсоцразвития - бесплатно. Лицензия ТЗКИ (кстати, не факт, что она нужна оператору - он же не оказывает услуги сторонним) оформляется заявительным порядком: на сайте ФСТЭК есть Регламент по этому вопросу, в нем перечень необходимых документов, собираете, по почте отправляете, платите госпошлину 364 рубля и через 45 дней получаете лицензию. За 2 млн. Вам ее должны пзолотить и вставить в брильянтовую рамочку. Если же Вы хотите получить не шаблоны, а полностью готовую документацию, то здесь очень просто посчитать: возьмите свего сотрудника со средней зарплатой и посчитайте сколько времени уйдет у него на разработку документов "с нуля", умножте это не его ставку - это и будет стоимость документации.

    ОтветитьУдалить
  49. По большей части - "перегиб" на личности. Это, конечно, здорово привлекает внимание, но выглядит крайне непрофессионально. Но в любом случае спасибо - теперь понятно, какие есть аргументы у людей "по ту сторону баррикад". И у нас, благодаря таким выпадам, есть готовые контраргументы на тот случай, если придется общаться с людьми, принимающими решения. Поэтому мы будем умнее и не будем раскрывать карты, как это сделал сам того не ожидавший уважаемый г-н Вихорев - он-то решений никаких не принимает. Потому и грозится расстрелять :)

    ОтветитьУдалить
  50. Вихореву:

    > по-поводу интеграторов могу сказать, что Вы не к тем обращались

    Конечно, а как же еще - все в Элвис-Плюс :)

    > платите госпошлину 364 рубля и через 45 дней получаете лицензию.

    Рекомендую заглянуть сюда: http://anvolkov.blogspot.com/2011/03/blog-post_30.html

    ОтветитьУдалить
  51. 2Вихорев
    Модель угроз строить будет не оператор, он может ее только усилить. В стоимость лицензии входит стоимость оборудования.

    ОтветитьУдалить
  52. Анонимный8.7.11

    Алексею Волкову: имеющий уши - да услышит, имеющий голову - да подумает:) Вихорев С.В. - Эксперт с большой буквы очень даже принимающий решения. А уж приведенная им цитата - просто блеск, хотите Вы того или нет.

    ОтветитьУдалить
  53. Вихорев8.7.11

    Сергею: Нет, Вы не правы, оператор будет строить модель АКТУАЛЬНЫХ угроз - это очень важно. По лицензии - каое оборудование Вы имеете ввиду? Мне кажется, Вам просто лапшу на уши вешают...

    ОтветитьУдалить
  54. Анонимному: не буду спорить, я не знаю г-на Вихорева и не могу оценить его экспертные качества. Однако судя по характеру его письма, биографии и работодателе, от имени которого он выступает - он эксперт ДРУГОЙ стороны. И поэтому повторюсь - не смотря на "личностную" направленность его письма, мы все, впятером, говорим ему СПАСИБО за те аргументы, которые он изложил. Теперь мы знаем, чем оперирует ДРУГАЯ сторона - и наши прогнозы полностью оправдались. Ну а в отношении того, принять или отклонить законопроект, уважаемый г-н Вихорев решения принять ну никак не может - его все же принимает Совет Федерации и Президент. Отсюда и злость, и намеки на то, что всех нас, поддержавших инициативу и подписавших письмо, рекомендуется расстрелять как паникеров в военное время, в котором, по его мнению, мы все сейчас живем :)

    ОтветитьУдалить
  55. Анонимному: и потом - из приведенной вами цитаты явно видно абсолютное непонимание ЦЕЛЕЙ всего происходящего. Главная цель - защита прав субъекта в случае ущерба, а не защита ЛЮБЫХ ПДн ради предотвращения утечек. Именно поэтому сообщество выступает против необоснованных требований, которые заставляют защищать ДАННЫЕ, ценность которых для субъекта находится под большим вопросом, и при этом все эти защитные мероприятия ровным счетом ничего не дают субъекту. Ну а про сертифицированные средства - рекомендую взглянуть сюда, какой от них толк: http://anvolkov.blogspot.com/2010/09/devicelock.html

    Мы - ХОТИМ защищать. Но не устаревшими методами защиты гостайны и не бестолковыми сертифицированными средствами, предназначенными для того же, а АДЕКВАТНО и ОБОСНОВАННО, и главное - с пользой и для оператора, и для субъекта.

    Сейчас же - польза только для интеграторов и регуляторов. А за утечки никто не отвечает.

    ОтветитьУдалить
  56. А читал ли он закон? Судя по комментариям - нет!

    ОтветитьУдалить
  57. Анонимный8.7.11

    Алексею Волкову: а Вы найдите способ познакомиться с ним, очень рекомендую. Про принятие решений любым органом - информацию для его принятия готовят именно подобные специалисты экстра-класса, большая редкость ныне. Ну и про волнующий Вас расстрел - это роскошная цитата, между прочим, от нашего Президента, а Вы все Вихорев, Вихорев :)

    ОтветитьУдалить
  58. Анонимному: Познакомиться? Да без проблем! :) И я уверен - мы очень мило бы пообщались, без всяких проблем и переходов на личности. Общались же мы и с представителями ФСБ, и ФСТЭК, и Роскомнадзора. Все они - КАЖДЫЙ из них - просто замечательные. умные и добрые люди. Просто позиции у нас разные по профессиональным вопросам - но не убивать же друг друга из-за этого, так ? :)

    Что же касается "преследования корпоративных интересов" - так понятно было после подмены законопроекта, чьи "корпоративные интересы" превалируют. И как сказал реально ОЧЕНЬ уважаемый эксперт с НАШЕЙ стороны, у нас есть один шанс из ста, но мы просто обязаны были им воспользоваться. Сидеть и молчать было никак нельзя - это противоречило нашим гражданским принципам.

    Я г-на Вихорева прекрасно понимаю, и в чем-то даже поддерживаю: кушать хочется всем, и именно это. подчас. превалирует над здравым смыслом. Ведь если он такой суперэксперт, он где-то там, у себя, глубоко внутри, должен понимать, что мир вокруг требует перемен, а то, что есть сейчас с ПДн - это позапрошлый век. Глобальная информатизация и интеграция в мировую экономику неизбежна, она УЖЕ случилась, и мы ну никак не в силах навязать всему миру свои подходы к защите ПДн. И поэтому все происходящее - это всего лишь потому, что "кушать надо"...

    ОтветитьУдалить
  59. Вихорев8.7.11

    Алексею Волкову: Во-первых будем корректны. В законе нет ни слова о сертификации. Там говорится о средствах, прошедших в установленном порядке процедуру оценки. Это шире, чем сертификация: это может быть и декларация производителя и результаты проверки на месте. Во-вторых, сертифицированные - это не значит устаревшие. Позволю себе процитировать статью из PCWEEК "Закон “О персональных данных”: состояние и перспективы" (автор: Валерий Васильев, 05.07.2011, http://www.pcweek.ru/security/article/detail.php?ID=132418): "Многие вендоры, в том числе и иностранные, озаботились сертификацией своих продуктов в соответствии с требованиями ЗоПД. В результате российские сертификаты получили и многие хорошие зарубежные продукты".

    Теперь об ответственности операторов перед субъектом.Честно говоря, мы много слышали о том. что зарубежом "потеряли" ту или иную базу с данными о клиентах. Но, по-моему, я ни разу не слышал, что бы хоть одна компания заплатила потерпевшему (или может я что-то пропустил?). Зато есть замечательный пример внедрения стандарта PCI DSS (это тоже стандарт защиты ПДн, только на пластике). Так вот по данным МПС Visa (http://usa.visa.com/download/merchants/visa-international-operating-regulations-main.pdf) на тех, кто не соблюдает правила накладывается штраф в размере до $25 тыс. (подчеркиваю именно на тех кто нарушил правила стандарта, а не по вине которых причинен ущерб потребителю, там отдельная песня). А у нас для этого есть КоАП и УК (которые, кстати, надо корректировать).

    И последнее. По поводу пользы для оператора. К примеру, в правительстве Москавы есть Департамент поддержки среднему и малому бизнесу. Так вот при нем создан экспертный совет для помощи среднему и малому бизнесу в решении проблем защиты ПДн. И этот департамент оказывает не только моральную, но и материальную поддержку этого сегмента бизнеса. Я читаю, что это более правильная позиция, чем добиваться отмены 9или болкирования) закоа.

    ОтветитьУдалить
  60. Сергей Викторович, рад знакомству.

    Вы правы насчет оценки соответствия. Но не забудем о 330ПП, и если де–юро оно нелегитимно, то де–факто нет больше никаких механизмов этой оценки, кроме обязательной сертификации. И потом – Вы дадите гарантию, что после принятия законопроекта с ПП330 не снимут гриф? Я – нет.

    Сертификация – это затраты, которые ложатся напрямую на потребителя (стоимость сертифицированного и несертифицированного экземпляра может отличаться в разы), а толку от сертификации - никакой. Ссылку я давал выше. Мнение журнала pcweek, конечно, интересное, но Вы же знаете, что такое журналисты :)

    В Европе Вы не слышите о компенсации ущерба именно потому, что это – охраняемые законом данные. или Вы как предполагаете - публиковать решения суда и данные о досудебных урегулированиях? Кто сколько "получил"? Это же не национальная лотерея.

    Однако одной Москвой Россия не ограничивается ;) И регионы гораздо беднее.

    И мы не добиваемся отмены или блокирования закона. Дочитайте пожалуйста до конца. Чего мы хотим – я говорил выше. Баланс интересоа государства, бизнеса и граждан. Операторы устали быть дойными коровами, а субъекты бесправными козлами. И достичь его очень тяжело только потому, что есть прослойка в виде «окологосударственных» контор, зарабатывающих деньги и имеющих сильнейшее лобби.

    Вы же знаете, что это так :)

    ОтветитьУдалить
  61. Вихорев8.7.11

    Начну с конца. А Вы сами, Алексей, читали 330ПП? В свое время мы довольно долго спорили на эту тему с А. Лукацким. Дело в том. что это постановление (исходя из его п.1) рапространяется на СЛУЖЕБНУЮ информацию, то есть сфера его действия весьма органичена и это в основном, госструктуры. Потому и гриф.

    Теперь о балансе интересов. Это, конечно, важно. Вот только граница этого баланса уж больно зыбкая. В одной из своих статей я как-то приводил такой пример: Приходит в банк бабушка и говорит "Я, милок, накопила 100 тыс руб. и хочу положить их в сейф, что бы не сперли". А банкир ей и отвечает: " Эко, бабка, загнула! Вот если бы ты мильен пнринесла, я бы его в сейф положил, а так - вон в углу консервная банка, положи туда и ступай с Богом!" Так же и здесь. Сейчас за этот самый пресловутый баланс в основном ратуют ассоциации операторв. Ой, чтой-то я не наблюдал в этих объединениях большого клоичества самих субъектов ПДн (ну, разве что, представителей этих операторов). И Вы всерьез думаете, что операторы в этом случае будут преследовать интересы субъекта? Это уже из области дедушки Крылова, про волка в овечьей шкуре. К сожалению, объединить интересы всех субъектов невозможно, да и опыта в защите у них, как правило, нет. Вот и надо в этом случае государству взять патронат над ними для защиты их интересов. Если бы это было не так, то в Роскомнадзор не было бы столько жалоб!

    Теперь о Ваших целях. Цитирую по Вашему тексту: "Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных." Разве это не блокирование закона на неопределенное время? И это так Вы заботитесь о субъектах?

    ОтветитьУдалить
  62. Анонимный8.7.11

    1. "говорится о средствах, прошедших в установленном порядке процедуру оценки"
    Уже НЕСКОЛЬКО ЛЕТ процедуры декларирования неопределены, подвижек никаких не наблюдается и де-факто есть только аттестация, которая парализует систему управления обновлениями и патчами и неадекватна угрозам 21 века.

    2. Вся парадигма пообъектовой защиты неадекватна современным угрозам - облачным технологиям, мобильным технологиям и проч.

    3. "Многие вендоры, в том числе и иностранные, озаботились сертификацией своих продуктов в соответствии с требованиями ЗоПД"
    Совершенно очевидно что это было сделано вынужденно - т.к. российское законодательство вынуждает операторов нерационально преувеличивать значимость сертификатов для СЗИ - и здесь предложение подстраивается под спрос, снижая соотношение защищённость/цена.

    4. "я ни разу не слышал, что бы хоть одна компания заплатила потерпевшему" - они обязаны уведомлять регуляторов и самих субъектов об утечках - поэтому и рынок там требует защиты от утечек (что совпадает с интересами субъектов), а не защиты от требований законодательства/регуляторов.

    5. PCI DSS защищает данные платёжных карт - а это разновидность действительно очень критичных персональных данных, и требования по их защите предъявляются к узкой группе операторов, которые зарабатывают существенные средства на обработке этих ПДн. ФЗ-152 распространяется на всех операторов (включая ИП с одним ПК и тремя сотрудниками, которые должны писать кипу никому ненужной макулатуры и тратится на сертиф.СЗИ) и любые виды ПДн, кроме общедоступных и обезличенных.

    6. "И этот департамент оказывает не только моральную, но и материальную поддержку этого сегмента бизнеса."
    Это как помощь запада Африке - сначала содрать миллионы, а потом вернуть тысячу в качестве благотворительности, да и то лишь избранным, чтобы остальные завидовали и не рыпались.

    ОтветитьУдалить
  63. Сергей Викторович,

    Читал. И придерживаюсь позиции Лукацкого. Почему? Пункт 1 определяет, что положение распространяется на информацию КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА. "Служебная тайна" или "служебная информация" нигде не употребляется. И в условиях, когда нет четкого понимания. что же такое это за "конфиденциальная информация" и "информация конфиденциального характера" - каждый трактует эти понятия в свою пользу. И нет никаких гарантий того, что в скором времени к "информации конфиденциального характера" (помним указ 188) законодательно не будут отнесены ПДн.

    О целях. Закон в его существующем виде действует. Никто его не отменял. Мы не просим отменить существующий закон - мы просим не принимать законопроект. потому как он вносит еще большую смуту. Многие его положения можно трактовать двояко, в том числе указанные вами в ст. 18.1 и 19.

    И наконец, о балансе. У нас с Вами принципиальная разница в подходах. Быть может. потому, что я, как и мои коллеги, идеалист. Но я совершенно точно знаю, что возможно защитить ПДн и БЕЗ выполнения всех тех требований, что установило правительство. И уж тем более без сертифицированных средств и аттестованных систем.

    И я не против госрегулирования - но в том плане, чтобы обеспечить РЕАЛЬНУЮ компенсацию субъекту ущерба, ему нанесенного. И если гарантировать субъекту достойную компенсацию, то уж поверьте - каждый оператор зачешется и будет защищать данные так. что мама не горюй! А так - все вроде защищаются, жалоб - полно, да толку-то? Вот, поглядите сюда: http://anvolkov.blogspot.com/2011/05/blog-post_25.html. Их проверяли. Утечки как были. так и остались. И субъекту - НИЧЕГО не перепадет!

    ОтветитьУдалить
  64. Анонимный8.7.11

    7. "Вот и надо в этом случае государству взять патронат над ними для защиты их интересов."
    ФЗ-152 защищает интересы субъектов лишь косвенно, но зато отлично защищает интересы "приводящих в соответствие" и почти не защищает от инсайдерских утечек - которые, по оценкам статистиков и аналитиков, и есть основная причина разглашений ПДн.

    ОтветитьУдалить
  65. А почему Сергей Викторович против того, что принятие поправок в закон будет отложено? 152 действует почти 5 лет, с 1 июля - окончательно. Не скажу что большинство (судя по реестру операторов), но, скажем так, часть операторов его требования выполнила. А теперь, в случае принятия этих поправок, ждем подзаконные акты (перечень мер для гос., уровни защищенности и требования для остальных + перечень негосударственных ИСПДн попадающих под контроль регуляторов - от правительства; состав и содержание мер - от регуляторов + угрозы безопасности персональных данных, актуальные при обработке в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности - это кроме Банка и внебюджетных фондов непонятно кто разрабатывает), опять все приводим в соответствие и до 01.01.13 г. уведомляем РКН. Побойтесь Бога, ЗА ЧТО?

    ОтветитьУдалить
  66. Вихорев8.7.11

    Алексею Волкову: Советую еще раз внимательно перчитать п. 1. Там есть изятие. Обратите внимание на слова "за исключением" (согласен. текст достаточно корявый). Если правильно раставить подчинение в соотвествии с нормами русского языка, то Вы увидете, что ПДн под юрисдикцию этого постановления - не подпадают.

    Нельзя отрицать, что в новой редакции есть существенные уточнения и по терминологии, и по процедурам. Посмотрите хотя бы ст. 12 Тансграничная передач. это существенные изменения, которые, кстати, в первую очередь помогают именно оператору. Теперь ему не надо запрашивать посольство, получать апостиль и прчее. Или статья 11 Биометрические ПДн. Там сделана важная оговорка: "которые используются оператором для установления личности". Получается, если я храню фоптоальбом с вечеринки сотрудников - это не БПДн, а если я проверяю фото на входе - это БПДн. И это тоже на пользу операторв. А расширение количества случаев, когда не требуется согласия субъекта на обработу? И все это как раз и преследует целью солюдения пресловутого баланса интересов. Именно поэтому этот вариант закона нужен.

    Еще раз говорю не сертифицированные, а прошедшие а пршедшие оценку, будьте корректны, это же закон. Так вот из своего опыта могу сказать, что у одного из операоторов мы по его просьбе использовали именно несертифицированные средства (практически там было досточно прменение средств заложенных в ОС), пред завершением работ мы проведи оценку соотвествия и выдали соотвествующее заключение. Оператор прошел проврку РКН успешно. Так что выходы есть.

    Чтобы обеспечить субъекту РЕАЛЬНУЮ компенсацию, вполне прменимы нормы гражданского или уголовного права в части компенсации ущерба. Однако при этом надо доказать, что ущерб дейсвтительно был в результате противоправных деяний оператора (создать доказательную базу) и определить (посчитать) сумму этого ущерба. Ну, еще было бы неплохо иметь хоть маленькую судебную практику по этим вопросам. Вот о чем надо говорить. Но это, к сожалению, вопросы, которые лежат вне юрисдикции этого закона. Так что бурные усилия, если Вы хотите защитить имено субъекта и добиться возможности возмещения ему ущерба, надо обратить в сторону внесения соотвествующих дополнений и изменений в УК РФ и ГК РФ.
    АНОНИМУ.
    1. Аттестация здесь не причем. Если нет процедуры декларации. то у нас есть ст. 6 ГК РФ, которая вводит аналгию права и аналогию закона. Применяйте процедуру, описанную в законе о Техническом регулировании.
    2.Вы не правы, сейчас уже много решений для облачных вычисленний, советую посетить конференции по этим вопросам.
    3. Что вендоры полдстраиваются под рынок - это хоршо! Что же здесь плохого. Что это влияет на цену - не уверен. Спрсите Cisco.
    4. Ну, уведомили, и что дальше?...
    5. эта "узкая группа" ограничивается всеми сетевыми магазинами, например.
    6. Я бы прежде чем делать такие выводы, познакомился бы с работой Департамента. А то ведь люди и обидется могут...

    ОтветитьУдалить
  67. Сергей Викторович,

    Мы с Вами можем бесконечно дискутировать на тему, нужен законопроект или нет, но ни вы меня, ни я вас, не переубедим в обратном. Слишком большая разница в мировоззрении, подходах, опыте и ощущении того, как должно быть. Тем не менее, это не мешает и нам, и Вам высказывать свои позиции. И это реальная демократия. Только вот с личностными упреками Вы перегнули смальца, ведь все то, что Вы сказали, можно сказать и применительно к Вашей позиции. Но я лично не обиделся, ни за расстрел, ни за корпоративные интересы (хотя я чисто свое мнение излагал, как и коллеги). Бог с ним. И пусть даже, по Вашему мнению, текст корявый. Но суть–то видна ясно и отчетливо. Просто люди–то поддерживают, много людей. И мы их не гипнотизируем, и не разводим. Почитайте комментарии, поглядите списки поддержавших. Далек ооо не все такие идиоты, как я, и далеко не у всех мнение скопировано с моего. И с мнения коллег–соавторов.

    ОтветитьУдалить
  68. И наше мнение сначала слушали, потом согласовали, потом даже опубликовали, а потом почемуто передумали. И сразу стало ВАШЕ мнение. Без вариантов. А ведь многие из тех, кто поддержал письмо, работали, думали, публиковались, доказывали и отстаивали его. И вы полагаете, что все это выглядит честно и справедливо – вся эта подковерная возня?поэтому и письмо. И мы готовы встречаться, думать, обсуждать, участвовать – давайте вместе искать компромиссы! А то, что происходит это, извините, игра в одни ворота. И почему правительство должно за бизнес решать, как ему строить отношения с субъектом – никому так и не понятно. А уж тем паче, как защищать данные, от субъектов зачастую отаязанные.

    ОтветитьУдалить
  69. Анонимный8.7.11

    0. "мы проведи оценку соотвествия и выдали соотвествующее заключение. Оператор прошел проврку РКН успешно" РКН не проверяет техническую защиту.

    1. Имел ввиду сертификация (опечатался). Возможно лицензиаты имеют поблажки и могут додумывать процедуры, но от операторов регуляторы требуют оценки соответствия "в установленном порядке", который есть только для сертификации.

    2. Приведите пример средства защиты в соответствии с актуальным ФЗ для защиты ПДн в облаках, в интернет-кафе, мобильных устройствах, для ФИО-адрес-email-фото в моём смартфоне.

    Вдогонку:
    - опишите признанный регуляторами способ получения Согласия в электронном виде;
    - опишите как легитимно по методике ФСТЭК обосновать неактуальность угрозы вторжения НЛО (очень опасна, но имеет почти нулевую вероятность)© автор блога;
    - опишите как по модели нарушителя ФСБ защититься от инсайдерских рисков (а ведь они наиболее актуальны - http://bankir.ru/technology/article/1383866).

    3. У нас стоит средство шифрования Cisco со стойким западным криптоалгоритмом. По ФЗ о ПДн мы должны заменить его на такое же с ГОСТом. Объективная степень защиты для ПДн - идентична, стоимость возрастает двукратно.

    4. Они несут и материальную ответственность за утечки - гугл в помощь. В любом случае - для субъекта compliance ИБ дело десятое, поэтому если защищать - то гибко и рационально, а если штрафовать - то за конкретные ущерб/утечку.

    6. Никого обидеть не хочу, но нам в замкадье от их работы не тепло, не холодно...

    ОтветитьУдалить
  70. Вихорев8.7.11

    Алексею Волкову: Дело в том. что многие, кто присоединился к письму - не являются специалистами в области ИБ (я не говорю провсех!) Многие подписались под этим по эмоциональным поводам. Кстати, мы уже это проходили перд перносом сроков исполнения ст. 25 закона. Посто я хотел сказать, что когда в широкую среду выпускаются такие высказывания, как приведены в письме, да еще со ссылками. котрые якобы показыывают несоотвествие международному праву - то это естетсвенно вызывает истерию. А я против такй истерии.

    Вообще-то существует как бы две основные ветви права: публичное и частное. Частное право регулирует имущественные и личные неимущественные отношения между гражданами или коллективами людей (предприятиями, фирмами и пр.). Отношения субъектов, подпадающие под частное право, имеют ряд отличительных признаков. Прежде всего, такие отношения складываются по воле самих участников, совершаемые ими действия приобретают силу, если осуществляются добровольно. Затем, такие отношения основаны на равноправии сторон. Ну, и наконец, такие отношения непосредственно не связаны с органами государственной власти и подчинением им. Как видно, отношения оператора и субъета мало укладываются в эти рамки. С другой стороны, в противовес (а может быть и в дополнение) частному праву, публичное право регулирует отношения, в которых реализуется интерес общества в целом. Важнейшим признаком публичных отношений является участие у качестве одной из сторон такого субъекта, который действует в качестве агента публичной власти: государства или его органа или лица, наделенного в силу закона особыми публичными функциями. Этот вариант как раз и подходит к рассматриваемому закону. Дело в том, что он затрагивает интересы неограниченного числа субъектов, то есть общества в целом. Но в этом случае нельзя олтрицать и роль государства, как определнного гаранта соблюдения установленных правил. А если оно гарантирует соблюдение правил, то, по всей вероятности. оно и должно эти правила уставливать императивно. Что, собственно, и происходит. Ну не может каждый субъект выдвигать свои требования по защите! Операторы сойдут с ума. Ведь к примеру правила торговли устанавливает государство (отношения между бизнесои и личностью) и Вы же на это не жалуетесь, наоборот, Вы используете еще и Закон о защите прав потребителей, чтобы добиться положительного результата во взаимоотношениях с продавцом. Почему же в нашем случае Вы это отрицаете?

    АНОНИМУ.
    0. РКН техническую проверку не проводит, но привлекает для этих целей регионалов из ФСТЭК.
    1. Это "неправильные регуляторы". Вот с этим и надо бороться. А еще было бы неполохо их просетить в некторых воросахь - все мы люди.
    2. На вскидку не опишу, да и место не хватит Но что касается интернет-кафе и мобильныхь устройств вообще проблем не вижу. Это давно решенная проблема: ели инересно. можем встретиься.
    3. Ну Вы же об этом узнали не вчера (по поводу запрета криптографии)? Да и Cisco Вы наверное поставили не сегодня. Можно было бы и предусмотреть. А то мы сначала делаем. а потом думаем. Кстати, есть и сертифицированные Cisco и цена не двукратная. Пределывать всегда дороже. И еще, во Франции также действуют такие же ограничения и ничего, демократии меньше не стало...
    4. Съест-то он съест, да кто ему даст! Наши тоже несут материальную ответственности за ущерб (ГК РФ,ст. 15), если Вы сможете его доказать.
    6. Сочувствую, но это не вина Закона.

    P.S. А. Волкову: личных упреков в своем письме не имел. Если бы это было так, я бы назвал всех по фамилии...

    ОтветитьУдалить
  71. > А если оно гарантирует соблюдение правил, то, по всей вероятности. оно и должно эти правила уставливать императивно. Что, собственно, и происходит.

    Это, простите, Ваше ЛИЧНОЕ "по всей вероятности". Я смотрю на это по-другому.

    Ну не может каждый субъект выдвигать свои требования по защите! Операторы сойдут с ума.

    Да как же тогда в Европе живут сейчас без таких правил? В Америке? В остальном мире? И операторы там все сами устанавливают. И удивительное дело - все в здравом уме!

    Государство должно выступать гарантом получения УЩЕРБА. А у нас - государство соблюдает правила. Но если сертифицированную железку bkb ПО "ломают" (посмотрите по ссылке про DeviceLock) и из-за этого случается утечка - что, государство будет отвечать? ФСТЭК? или вот например вы, "оценили соответствие". И представьте что оператор допускает утечку. Что - вы будете за это отвечать? Ничего подобного - САМ оператор! Тогда зачем вообще все это? Правительство со своими требованиями? Про субъекта уж молчу - тот вообще в суде ничего и никогда не получит.

    > личных упреков в своем письме не имел.

    И на том спасибо :)

    ОтветитьУдалить
  72. "Государство должно выступать гарантом получения УЩЕРБА."

    Алексей, ты наверное имел ввиду "возмещения Ущерба" ? А то совсем устрашающе получается :)

    ОтветитьУдалить
  73. > возмещения Ущерба

    Оговорочка по Фрейду. При том подходе, что пропагандирует С.В., оно как раз и есть - гарант получения ущерба :)

    ОтветитьУдалить
  74. Вихореву: И закон о защите прав потребителей - Вы очень удачно в пример привели. Он, закон этот, реально работает на потребителя. И при этом, заметьте, не регламентирует ни порядок ценообразования, ни то, каким должно быть торговое оборудование, ни то, какими словами продавец должен приветствовать и провожать посетителей магазина. И даже закон О торговле этих норм не содержит. Госрегулирование там - как раз такое, какое надо: есть орган, есть суд. Суд всегда встает на сторону потребителя, и тот если товар не поменяет, то деньги точно ему присудят в размере потраченном плюс какой-никакой моральный вред. И до УК РФ и КОАПП дело при разборе таких споров вообще не доходит, как правило в подавляющем большинстве случаев.

    А с ЗоПД получается все совсем по другому, как - я описал выше: кругом одни требования (в скобках аналогии с законом о потребителях)- методы (ценообразование), средства (торговое оборудование), регламентирующие документы и персонал (встречи проводы). При этом оператор (продавец) отвечает (мизерно) за их НЕИСПОЛНЕНИЕ перед РЕГУЛЯТОРАМИ (какого хрена у тебя холодильник белый и импортный? должен быть русский, красный и овальный!!!), а субъект (потребитель) всем - вообще побоку. Поглядите ссылки, что я прислал.

    Так что увы и ах, но опять правда - наша.

    ОтветитьУдалить
  75. Анонимный8.7.11

    2. "Это давно решенная проблема: ели инересно. можем встретиься."
    Ага, приезжайте к нам на урал, побеседуем, а потом я сюда ваши ответы выложу. Нет уж - письмо публичное, мои вопросы публичные - давайте публичный ответ или нормальную ссылку.

    3. Телекоммуникационное оборудование с криптографией существовало и работало задолго до появления ФЗ о ПДн. Люди в 2005 году и ранее защищали банковскую тайну вместе со сведениями о клиенте и подумать не могли, что в 2007 г. AES ВДРУГ перестанет для регуляторов "защищать ПДн". Яркий пример маразма - всегда защищал, по факту защищает, а регуляторы считают что не защищает. Вот так принято и всё тут.

    Если государство в лице регуляторов разработает адекватные требования, адекватную любому юр.лицу модель угроз и меры по защите - я только ЗА, сейчас же оно ДАЖЕ КЛАССИФИКАЦИЮ ПДн не смогло нормально провести - какой-то бред про 1000 и 1001 субъектов, да к тому же только ДЛЯ ЗАПРЕЩЁННЫХ САМИМ ЖЕ ФЗ-152 типовых систем. Приказ трёх - это полный провал госрегулирования ЗПДн...

    ОтветитьУдалить
  76. Анонимный8.7.11

    Уважаемый господин Вихорев, с удовольствием прочитал сегодня ваше письмо на сайте вашего работодателя :-) А еще с удивлением обнаружил что более менее активное обсуждение ведется именно тут, в блоге именно этого "подписанта письма".

    Ни в коем случае не претендую даже на намек о не профессионализме, несомненно вы заслуженный профессионал своего дела, но все же... Неужели вы всерьез считаете что ФСТЭК или ФСБ сможет за меня решить (заставить / навязать / разработать рекомендации), как мне защищать персональные данные субъектов? А дух текущего законодательства, и принятых в третьем чтении поправок говорит именно об этом.

    Зачем "наезжать" на подписантов? Да, в их письме есть несколько, на мой взгляд, не уместных слов, и можно было бы оперировать другими понятиями (это я на тему 6% ВВП :-). Но суть то письма в том, чтобы донести наших "верхов" и до общественности, что пресловутый дух закона направлен в целом не на защиту интересов субъектов, а если и направлен, то сделано это какими-то примитивными, допотопными, гостайновскими методами... Вам так не кажется?

    Почему мы не можем прописать законодательно простые вещи:
    1. Защищай ПДн, защищай адекватно рискам и ущербу, так как считаешь нужным и с применением тех средств защиты которые считаешь адекватными.
    2. Плохо защитил? Получи огромный штраф, компенсации субъектам, а может и уголовку...

    Ваше же письмо больше почему-то походит на, простите за слово, буквоедство...

    С уважением.

    ОтветитьУдалить
  77. Анонимный8.7.11

    Может быть, господа, вам платят за то, что вы весь рабочий день сидите в сетях и пишете без остановки где только можно, высказываясь на разные темы - тогда все в порядке. Но если этот базар и самопиар не санкционирован работодателем - гнать вас в шею нужно из компаний, работнички.

    ОтветитьУдалить
  78. Александр М.8.7.11

    > Почему мы не можем прописать законодательно простые вещи:
    1. Защищай ПДн, защищай адекватно рискам и ущербу, так как считаешь нужным и с применением тех средств защиты которые считаешь адекватными.
    2. Плохо защитил? Получи огромный штраф, компенсации субъектам, а может и уголовку...

    С этими словами я не согласен...эти слова не для граждан нашего российского менталитета. Закон 152-ФЗ, при принятии таких поправок вовсе перестанет быть законом. Задайте себе вопрос, что такое закон.. Закон должен чему-то обязывать, а виде "делайте что хотите" лишь бы субъекту ущерба не было..закон станет абсурдным. На мой взгляд, действительно зачем тратить много денег, стоит потратить немного времени и составить модель угроз, где прописать какой возможен ущерб при нарушении какой-либо хар-ки, если нет ущерба и защита дорогостоящими средствами теряет смысл!

    ОтветитьУдалить
  79. >Может быть, господа, вам платят за то, что вы весь рабочий день сидите в сетях и пишете без остановки где только можно, высказываясь на разные темы - тогда все в порядке. Но если этот базар и самопиар не санкционирован работодателем - гнать вас в шею нужно из компаний, работнички.

    Работа оценивается не по затраченному времени (и не по количеству дырок на просиженных штанах), а по качеству выполненной работы (и в срок). Значит они её делают, рас не выгнали.

    ОтветитьУдалить
  80. Коллеги, спасибо за поддержку! Предлагаю не обращать внимание на этот «базар». Переход на личности – последний аргумент в споре. Наше дело правое, и мы обязательно победим. Пусть не сейчас, но будущее точно за нами!

    ОтветитьУдалить
  81. Анонимный9.7.11

    "Наше дело правое, и мы обязательно победим. Пусть не сейчас, но будущее точно за нами!"
    Ураааа, товарищи!
    Ржунимагу

    ОтветитьУдалить
  82. В средневековье над Бруно тоже ржали, а вон потом как оказалось. Только на костре сжечь сейчас не смогете, времена не те. Так что ржите–немогите :))

    ОтветитьУдалить
  83. >Советую еще раз внимательно перчитать п. 1. Там есть изятие. Обратите внимание на слова "за исключением" (согласен. текст достаточно корявый). Если правильно раставить подчинение в соотвествии с нормами русского языка, то Вы увидете, что ПДн под юрисдикцию этого постановления - не подпадают

    Цитирую последний абзац Положения, введенного ПП330-2010:
    //Настоящее Положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы//

    Ну никак не пойму как вы исключили чистые ПДн из под этого постановления...
    Я, конечно, могу попробовать вывести из под него ПДн, составляющие профтайну - но это не значит, что это смогут сделать все операторы, да и не факт, что суд примет мои доводы и не примет сторону регулятора (админресурс все-таки может сказаться на убедительность доводов)...

    ОтветитьУдалить
  84. Поправлюсь "Цитирую последний абзац пункта 1 Положения, введенного ПП330-2010:"

    ОтветитьУдалить
  85. Анонимный10.7.11

    И я добавлю:

    "многие, кто присоединился к письму - не являются специалистами в области ИБ"

    А кто повашему все эти люди? Домохозяйки, повора суши-баров, строители? Абсолютно полное непонимание блогосферы. У Царева, Лукацкого, Волкова тематические блоги, к ним заходят люди В ТЕМЕ. А не пенсионеры последние новости почитать.

    "у одного из операоторов мы по его просьбе использовали именно несертифицированные средства (практически там было досточно прменение средств заложенных в ОС), пред завершением работ мы проведи оценку соотвествия и выдали соотвествующее заключение"

    РКНу эти ваши "заключения" побоку, тк согласно п. 18 ПП781 это все проверяет ФСБ и ФСТЭК. И сразу встает вопрос, как вы соблюли треб-я п. 20 тогоже ПП (индексы и порядковые номера в реестрах...)? Или то, что можно Вихореву с медалью ФСТЭК, нельзя Иванову (Петрову Сидорову) без медали?

    Простите но диалог похож на тролинг. Вот что я скажу.

    ОтветитьУдалить
  86. Анонимный11.7.11

    Леша.
    Меня порадовали высказывания твоих гостей. В своей аналогии с законом о защите прав потребителей, слово "мизерно" все же следует поменять на "существенно".
    Сосредоточимся на РГ по КТ? :)

    ОтветитьУдалить
  87. > слово "мизерно" все же следует поменять на "существенно"

    Да перестань. 20 тыщ штрафу. И оспаривать предписание в суде можно дооооооолго. Пугалки это все...

    ОтветитьУдалить
  88. Вихорев11.7.11

    Два дня не отвечал, Коллеги, извините, дела семейные. Попробую ответить сейчас. Правда в неколько этапов - много накопилось...

    1. Сначала на отклик, размещенный на http://secinsight.blogspot.com/2011/07/blog-post_07.html Я хотел бы еще раз разъяснить свою позицию. Дело не в том, что в открытом письме ошиблись с номером статьи. Бог с ним, с номерм. Дело в том, что в Конвенции вообще НЕТ ТАКОЙ НОРМЫ, ЧТО БЫ ОПЕРАТОР САМ ВЫБИРАЛ СЕБЕ ТРЕБОВАНИЯ. Ну нету и все! И поэтому не надо вводить людей (тех, кто эту конвенцию не читал) в заблуждение. А с другой стороны мы не уникальны в том. что государство утанавливает требования по защите. К притмеру, в Великобритании стандарт «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012), В СЩА документ «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122), в канаде набор документов «Privacy Code». Если бы было время и место таких примеров можно было бы привести и больше.

    2. Волкову. По поводу закона о защите прав потркебителей. Алексей, Вы не совсем правы относительно этого закона (к сожадению, это системная ошибка, которая отслеживается и в законе о ПДн - надо читать весь закон и еще подзаконные акты к нему, чтобы иметь правильное представление, а не выхватывать как4ую-то одну статью и по ней судить. А то будет ак у слепых восточных мудрецов, которые хотели составить представление о слоне, ощупав его хобот или ногу). Надо учитывать, что закон регулирует отношения между субъектами и не затратгивает технические вопросы. Так вот, в соответствии с законом о защите прав потребителей разработаны Правила торговли, обязательные для всех торговых организаций (читай требования по защите ПДн). Правила продажи состоят из 20 разделов, один из которых посвящен общим положениям, один вопросу контроля, за соблюдением правил, а остальные посвящены особенностям продажи определенного вида товаров. Есть еще ФЗ-29 "О качестве и безопасности пищевых продуктов" В статье 20 которого установлено, что при реализации пищевых продуктов граждане (в том числе индивидуальные предприниматели) обязаны соблюдать требования нормативных документов (читай - технические требования, разработанные ФСТЭК и ФСБ для ПДн), там, кстати, и про красные холодильники написано. Есть еще Постановление Главного государственного санитарного врача РФ №23 «О введении в действие санитарных правил» и прочее. Так что, все не так просто и аналогия с законом о ПДн - практически полная. По поводу того, что суд всегда на стороне покупателя - это ошибочное утвердение и я сам тому подтверждение.

    Кстати, есть еще замечательный пример тому, что не всегда надо наказывать за ущерб, а надо наказывать за предпосылку к нему. ПДД. Еслы Вы пересекли двойную сполшную линию, Вас оштрафуют, а то и права отнимут. А еще же ничего не случилось! По Вашей логике получается, что наказывать водителя надо только в том случае, если в результате пересечения Вами двойной сполшной произошло ДТП. Чтой-то я таких правил в старушке Европе не встречал ...

    ОтветитьУдалить
  89. Вихорев11.7.11

    Продложение, часть вторая...

    3. АНОНИМУ. На Урал, так на Урал... Письмо действиетльно публичное, и оно затрагивает вопросы закона, а Вы выходите за рамки этого обсуждения, Вас интересует техническая реализация. Это совсем другое дело, но я готов обсудать и это, но не на этом блоге. Дальше. А кто Вам сказал, что для защиты ПДн нельзя использовать западные алгоритмы криптографии? К примеру S.V.I.F.T. Спокойно и уже много-много лет ЛЕГАЛЬНО использует 3DES и ничего! Многие банки в своих банкоматах и для связи с коллегами так де используют DES и при этом ЛЕГАЛЬНО. Правда все они получили соотвествующее подтверждение от ФСБ после проведенной "оценки соотвествия установленным порядком". Покажите мне хоть один документ, который ЗАПРЕЩАЛ использование западной криптографии. Запрещено использовать не прошедшие проверку, а не вообще все.

    4. АНОНИМУ. Нет, это не домохозяйки, но это люди, которые связаны с ИТ-индустрией (подчеркиваю не ИБ, а ИТ) и котрых интересуют вопросы защиты ПДн. Посмотрите на фамилии пописавших письмо. Много ли Вы там найдете экспертов именно в области ИБ? Денло в том. что этот болг, действительно популярный, читтают не только те, кто занимается ИБ. По поводу статьи 20 ПП781. Это касается тех средств, которые разработаны по ТЗ, согласованным с федералами. На практике эти учетные номера часто заменяются децимальными номерами издения или уникальным заводским номером.

    А вот по поводу медали ФСТЭК (хотя на самом деле это не медаль, а медаль и орден) - это уже ПРЯМОЙ ПРЕХОД на личности... Это уже не корректно.

    ОтветитьУдалить
  90. Вихорев11.7.11

    Поростите, опечатался: S.W.I.F.T...

    ОтветитьУдалить
  91. Вихорев11.7.11

    Коллеги, прочитал, что написал сам и ужвснулся!
    Приношк глубокие извинения за очепятки в тексте! Очень торопился ...

    ОтветитьУдалить
  92. С.В.В.: Как-то неправильно Вас по фамилии называть, буду так.

    > в Конвенции вообще НЕТ ТАКОЙ НОРМЫ, ЧТО БЫ ОПЕРАТОР САМ ВЫБИРАЛ СЕБЕ ТРЕБОВАНИЯ

    Да, это действительно так. Но нет в ней и норм. определяющих, что государство устанавливает такие требования. Эта норма есть в директиве, и статьи там другие (http://personal-data.livejournal.com/287966.html). И не будем забывать про то, что Конвенция - 1981 года. Она по сути вообще ничего толком не содержит. В Европе уже 5-е поколение этого законодательства, и если мы хотим жить в современном государстве, а не в прошлом веке, то как-то надо прогрессивнее смотреть на вещи.

    > Чтой-то я таких правил в старушке Европе не встречал ...

    В Финляндии, например, Вы можете проехать в пьяном виде до первого нарушения - никто Вас не остановит. Но если будет НАРУШЕНИЕ - кердык. Но и потом, есть ведь международные нормы.

    > На практике эти учетные номера часто заменяются децимальными номерами

    Эти все практики ИМХО самое плохое и пагубное. И никому они не известны. и в открытом виде не опубликованы. Именно поэтому большинство экспертов - это просто люди, досконально погруженные в эти все "нюансы". Это обескураживает.

    ОтветитьУдалить
  93. Вообще, все, что происходит, является следствием нескольких факторов:

    1. Подковерная подмена удачной (по нашему мнению) версии законопроекта на неудачную
    2. Наличие формулировок, допускающих двойные трактовки по самым спорным вопросам (18.1, 19 и 22)
    3. Перетекание самых противоречивых требований позаконников в закон. Подзаконник ведь проще переиздать, чем менять законодательство, не так ли?
    4. Исходит из 3 - в законе д.б. прописан принцип баланса интересов, а его как не было так нет.
    5. И куча мелких деталей.

    Так что...

    ОтветитьУдалить
  94. Вихорев11.7.11

    А. Волкову. А я своей фамилии не стесьняюсь ...

    По существу. В Конвенции. Ст. 4 "Каждая Сорона принимает необходимые меры В РАМКАХ ВНУТРЕННЕГО ЗАКОНОДАТЕЛЬСТВА в целях придания юридической силы основопологающим принципам ЗАЩИТЫ ДАННЫХ..."
    В Директиве 95/46/EC п.(25)Преамбулы "Принимая во нимание, что принципы защиты должны быть отражены с одной стороны в ОБЯЗАТЕЛЬСТВАХ, НАЛАГАЕМЫХ НА ОБЩЕСТВЕННЫЕ ОРГАНИЗАЦИИ, ПРЕДПРИЯТИЯ, АГЕНТСТВА, или иные учреждения, ответственные за обработку ПДн, в частности в отношении качества ПДн, ТЕХНИЧЕСКОЙ БЕЗОПАСНОСТИ ..." И далее п. (46) Преамбулы: "принимая во внимание, что защита прав и свобод субъектов ПДн ТРЕБУЕТ, что бы были приняты надлежащие технические и организационные меры , как при разработке системы, так и и в процессе самой обработки ПДн, в частности для ПОДДЕРЖАНИЯ БЕЗОПАСНОСТИ и предотвращения любой несанкционированной обработки ; принимая во внимание, что государства-участники ОБЯЗАНЫ ОБЕСПЕЧИТЬ, что бы контроллеры (читай - операторы - ВС) СОБЛЮДАЛИ эти меры; принимая во внимание, что эти меры ДОЛЖНЫ ОБЕСПЕЧИТЬ НАДЛЕЖАЩИЙ УРОВЕНЬ БЕЗОПАСНОТИ..." И, наконец, ст. 17, часть 1 Директивы: "ГОСУДАРСТВА-УЧАСТНИКИ ОБЕСПЕЧАТ, что контроллер ДОЛЖЕН БУДЕТ реализовать надлежащие технические и организационные меры для защиты ПДн от случайного или незаконного уничтожения или случайной утраты, изменения, неправомерного раскрытия или доступа ... меры ДОЛДЖНЫ обеспечить надлежащий уровень безопасности для рисков, представленных обработкой и природой защищаемых данных...".

    И где же здесь тот тезис, что ОПРЕАТОР (читай - контроллер - ВС) САМОСТОЯТЕЛЬНО определяет требования? Наоборот, очень четко сказано. что это прерогатива государства-участника, которое ЗАКОНОДАТЕЛЬНо это вводит.
    Можно еще вспомнить п. (54)Преамбулы Директивы: "...принимая во внимание, что государства-участники ДОЛЖНЫ УСТАНОВИТЬ, что надзорный орган ... ДОЛЖЕН проверить обработку Пдн ДО ЕЕ ОСУЩЕСТВЛЕНИЯ..." Это, чем не "оценка соотвествия установленным порядком"?

    Про Финляндию - это хорошо! Но в остальной старушке Европе - это не прокатит! Правда и в Финляндии есть сухой закон ...

    А как же мировой опыт "бест практикс"?

    ОтветитьУдалить
  95. С.В.В.: Ну, фамильярничать меня еще в детсаду отучили :)

    По существу - посмотрите пожалуйста ссылки:
    http://personal-data.livejournal.com/287966.html
    http://travkin333.livejournal.com/28117.html
    http://secinsight.blogspot.com/2011/07/blog-post_07.html

    Не буду повторяться.

    > ДОЛЖЕН проверить обработку Пдн ДО ЕЕ ОСУЩЕСТВЛЕНИЯ...
    > оценка соотвествия установленным порядком

    Сергей Викторович, да я ведь не против. Только у меня, как у специалиста по ИБ (может я самоуверен, но тем не менее) все эти "требования", что содержались в 781ПП, 687ПП, четверокнижии, потом в 58-м приказе и т.п., вызывают.... Не буду говорить что. У моих коллег - тоже самое. Об этом понаписано и понаговорено уже столько, что повторить это - с ума сойти. В этой связи

    > А как же мировой опыт "бест практикс"?

    Вот, это уже ближе к теме. ФСТЭК бы ориентировались на него, а не на допотопные методы и способы, было бы вообще все изумительно. А так - где оценка ущерба владельцу данных? Принятие и страхование риска? Ничего - только опасность, актуальность, угрозы и их нейтрализация стандартным набором оцененных (по факту сертифицированных, как ни крути) решений. Поглядите как в Европе дела обстоят с ПДн

    http://anvolkov.blogspot.com/2010/11/blog-post.html

    и задайте себе тот же вопрос :)

    ОтветитьУдалить
  96. Вихорев11.7.11

    На счет "устаревших" - это хорошо! Но как же тогда жить бедным американцам, если у них ДО СИХ ПОР действует "Оранжевая книга" и вся "Радужная серия" И что-то они не спешат их переиздавать ...

    По поводу оценки ущерба(правильнее говорить убытков). Дык кто же мешает? В законе такая норма прописана, Что больше? Боритесь не с законом а с методикой оценки угроз. И я здесь может даже поддержу. Правда, я лет восемь пытался "оценить" ущерб - дело завязло. Это достаточно трудно, критериев пока нет. А про страхование, так мы уже лет 10 назад имели совместно с Ингосстрахом специальную программу по страхованию информационных рисков, и даже сюрвей одной организации провели, и даже застраховали (Фактура.ру). Однако, опыт оказался неудачным. Больше жедающих не было ...
    Да что Вы все время на Европу оглядываетесь! Они сами к нам приезжают учиться и многому учатся. Кстати и в Европе все практически аналогично: и требования (стандарты) на уровне государства есть, и обязательность оценки соотвествия - есть и прочее. Почитайте, напрмер Федеральный закон Германии «О защите данных» от 1990 г. ...

    ОтветитьУдалить
  97. Да, но КАКИЕ это стандарты? ЧТО в них написано и что написано в НАШИХ ... !!! ???

    У Американцев много чего действует - у них законодательство на века. Но у них и здравый смысл присутствует, и никто не бегает с оранжевой книгой как с единственным догматом, которому следует поклоняться.

    > Боритесь не с законом а с методикой оценки угроз.

    Для того чтобы с ней бороться, нужно, чтобы не было ОБЯЗАТЕЛЬНЫХ требований, установленных государством, теперь уже в законе. Правительство устанавливает уровни защищенности, на основании которых определяет требования по защите. И есть у подавляющего большинства людей, поддержавших письмо, большие сомнения, что оно не определит минимальный набор для всех категорий операторов, один-в-один с 19 статьей. Это мы уже проходили.

    ОтветитьУдалить
  98. > Федеральный закон Германии «О защите данных» от 1990 г.

    Сейчас год-то какой? :)

    ОтветитьУдалить
  99. Есть международный стандарт ISO (проект). Несмотря на то, что это “проект”, он был принят:
    - всеми “цивилизованными” комиссарами
    - СЕ
    - ОЭСР
    - АТЕС
    - представителями ООН
    Сейчас идет разговор о том, как его сделать уже “не проектом”. Там есть пункт:

    20. Меры безопасности
    1. Как ответственное лицо, так и лицо, предоставляющее услуги по обработке персональных данных, должны защищать обрабатываемые данные с применением необходимых технических и организационных мер, гарантирующих постоянную во времени их целостность, конфиденциальность и пригодность. Такие меры зависят от существующих рисков, возможных последствий для субъекта данных, природы персональных данных, современных возможностей, ситуации, в которой проводится обработка, и, если такие существуют, требований соответствующего законодательства.

    Как Вы думаете, сможет ли наше правительство (регуляторы) сделать хоть что-то, соответствующие этим требованиям? :))))

    ОтветитьУдалить
  100. Вы, конечно, скажете - так вот, последние слова опять про законодательство. Но то, что сейчас законодательством установлено, противоречит всему, что написано ДО этих слов. И выхода из ситуации пока нет, с учетом того, как "те-кто-принимают-решение" прислушиваются к экспертному сообществу и общественному мнению.

    ОтветитьУдалить
  101. "возможных последствий для субъекта данных, природы персональных данных, ... , ситуации, в которой проводится обработка" - это субъектно-ориентированные критерии - человек. То, чего нет сейчас ни у регуляторов”, ни в законодательстве: там сплошь - объектно-ориентированные критерии - данные.

    ОтветитьУдалить
  102. >Вихорев комментирует...
    у них ДО СИХ ПОР действует "Оранжевая книга" и вся "Радужная серия" И что-то они не спешат их переиздавать ...

    А разве кто возражает против РД Гостехкомиссии - пусть живут. Но у тех же американцев никто не копипастит "радужную серию" в ту кучу NIST-ов по ИБ, что вышло с тех пор.

    А что у нас вышло?
    Два ДСП-ных ГОСТА, дважы переведнные Общие критерии с разными текстами в РД и ГОСТ-е, несколько профилей защиты, РД по МЭ, СТР-К не прошедешее Минюст и не выполнявшееся даже большинством гос-ов...

    Двадцать лет создавались системы с полным игнорированием у гос-ов и нерегулируемые у комерсов... А теперь хотите, чтоб все так сразу бросились переделывать свои системы...

    Если бы внимательно посмотрели на 6 статью, то увидели, что комерсов можно было бы принудить к использованию сертифицированных средств - но только после того, как все это выполнили гос-ы и муниципалы, а также нормально прописати поручения операторов... Но просчитать даже на 2 шага не смогли - как тот молодой бычек (из бородатого анекдота) спускаясь с горы...

    >Кстати и в Европе все практически аналогично: и требования (стандарты) на уровне государства есть, и обязательность оценки соотвествия - есть и прочее

    То-то в 2004-м, по западному примеру, у нас отменили обязательность большинства ГОСТ-в :lol:

    ОтветитьУдалить
  103. И если, Сергей Викторович, у Вас есть достаточно административного ресурса для того, чтобы привести подзаконные акты в соответствие с тем, что мы с Вами здесь обсуждаем - то лично я готов принять в этом участие! Да и коллеги с удовольствием подключатся к работе. Только это должна быть СОВМЕСТНАЯ работа, на нормальных паритетных условиях.

    То же, что произошло с законопроектом - это, извините, абсолютное "кидалово", в начале 90-х годов, о которых Вы любите упоминать, за такое топили в цементе. И именно такое отношение отбило у коллег всякую охоту работать с государством. и формирует отношение к регуляторам.

    ОтветитьУдалить
  104. > То-то в 2004-м, по западному примеру, у нас отменили обязательность большинства ГОСТ-в :lol:

    Да, про это я и забыл :)))) Ну, 90-е годы, что ж...

    ОтветитьУдалить
  105. Вихорев11.7.11

    А. Волкову. По поводу инсайдерских угроз.
    Во-первых, не надо вводить людей в заблуждение. По данным опроса, проведенного компаниями Check Point Software Technologies и Ponemon Institute свыше 2400 администраторов ИТ-безопасности, основной причиной потери данных является утеря или кража оборудования, вслед за ней идут сетевые атаки, ненадежные мобильные устройства, приложения стандарта Web 2.0 и приложения для совместного использования файлов, а также случайная отправка сообщений по электронной почте тем получателям, которым они не предназначались. Кроме того,В отчете «2011 Data breach investigations report» подготовленном совместно исследовательской компанией Verizon и United States Secret Service указывается, что в 2010 г. рост доли внешних угроз составил 22% в то время как доля внутренних угроз снизилась на 31%. Инсайдерами нас только пугают...

    Ну и во-вторых, борьба с инсайдерами это не ТЕХНИЧЕСКИЕ меры, а организационные. Я еще не знаю технологии, чтобы сотруднику в мозги вставили "чип безопасности".

    И еще, я кажется начинаю понимать: Вас не Закон не устраивает, у Вас есть боязнь того, что ПОДЗАКОННЫЕ акты не будут этому соответствовать! Может быть опасения и не напрасны, но причем здесь закон! Боритесь с тем, с чем Вы не согласны, то есть с теми требованиями. которые излагаются в подзаконных актах. А то это очень похоже на старый анекдот по то, как пьяный искал ключи под фонарем...

    toparenko.

    "А что у нас вышло?
    Два ДСП-ных ГОСТА, дважы переведнные Общие критерии с разными текстами в РД и ГОСТ-е, несколько профилей защиты, РД по МЭ, СТР-К не прошедешее Минюст и не выполнявшееся даже большинством гос-ов..."

    А причем здесь Минюст? Закон о техническом регулировании предполагает ДОБРОВОЛЬНУЮ сертификацию по этим вопросам. Или Вы все-таки за жесткое регулирование? А так вообще-то уже КУЧА документов по ПД - отраслевых и они раболтают.

    "То-то в 2004-м, по западному примеру, у нас отменили обязательность большинства ГОСТ-в"

    Да, и совершили огромную глупость! У нас в России на то момент была 100-летняя история госстандартов и они работали. А потом в угоду вступления в ВТО их отменили. Вот мы и получили " картонные домики" по канадской технологии вместо нормальных каменных строений, выдерживающих русские зимы и климат...

    ОтветитьУдалить
  106. > По данным опроса, проведенного компаниями

    Сергей Викторович, я прошу прощения, Вы в бизнесе, нормальном, отечественном, не ИТ-шном, работали когда-нибудь? Где ИТ - это инструмент, где деньги зарабатываются на производстве и продаже некоего продукта или услуги? Я, позволю заметить, да. И могу совершенно точно сказать, что и у себя, и у коллег, ОДНОЗНАЧНО инсайдерские риски стоят на 1 месте.

    Вы можете приводить сколько угодно всяких результатов опросов, тем более среди администраторов ИТ-безопасности, которые к реальной ИБ имеют опосредованное отношение, сами по себе являются персоналом особого контроля, но во ФСТЭКовской прадигме являются почему-то "доверенным персоналом". Все это - полная ерунда. Я заявляю, что за весь период моей работы в сфере ИБ был только один случай, связанный с внешней угрозой, три - с кражей оборудования, а все остальные (а их немало) - инсайд.

    > борьба с инсайдерами это не ТЕХНИЧЕСКИЕ меры, а организационные

    Это в корне неверно. Минимизация инсайда - это КОМПЛЕКС организационно-технических мер, как и все ИБ.

    > то есть с теми требованиями. которые излагаются в подзаконных актах

    А как теперь бороться, если все то, с чем мы были несогласны, теперь перетекли в закон?

    ОтветитьУдалить
  107. > Закон о техническом регулировании предполагает ДОБРОВОЛЬНУЮ сертификацию по этим вопросам.

    Это лишь один из методов оценки соответствия. А вот ПП330 - говорит об обратном: только обязательная сертификация.

    > А потом в угоду вступления в ВТО их отменили.

    А ВТО, хотим мы того или нет, неизбежно. Со всеми вытекающими.

    ОтветитьУдалить
  108. Вихорев11.7.11

    Алексей, объясните мне, как ТЕХНИЧЕСКИМИ мерами бороться с тем, кто ЛЕГАЛЬНО допущен к сведениям, но имеет в голове пунктик продать эти сведения на сторону? Проще говоря, КАК защититься техническими средствами от Александра Потеева, который по долгу службы знал всю агентурноу сеть, но ему захотелось много-много женежков?
    Я вс егда говорил. что в любой организации есть два очень важных человека, которых надо холить и лелееть: главбух и сисадмин... Беседуйте, проверяйте лояльность компании (законными способами), учитесь видет предателя, наконец, платите персоналу и все будет ОК! А если у Вас так много засланных казачков, то я бы Вам посоветовал менить HR-менеждера в первую очередь ...

    ОтветитьУдалить
  109. > Беседуйте, проверяйте лояльность компании (законными способами), учитесь видет предателя, наконец,

    Абсолютно точно. Но после отмены в 2010 г. закона о частной охранной деятельности нет почти никаких законных способов, а те, что есть, должны производиться как минимум с согласия персонала. И тут даже дело не в засланных казачках. Сегодня он не засланный, завтра - засланный. Я повторюсь - бизнес у нас в России такой. И даже не в продаже дело, ведь инсайд - это "риски персонала", в т.ч. вред, невнимательность, халатность, и прочие мотивы.

    ОтветитьУдалить
  110. > я бы Вам посоветовал менить HR-менеждера в первую очередь

    Как у Вас все просто, Сергей Викторович :) Я когда в последний раз со ФСТЭК общался и задал вопрос по поводу необходимости отдельного помещения для обработки конфиденциальной информации, получил ответ: а как вы будете обрабатывать конфиденциальную информацию без выделенного помещения? Невдомек, что современный бизнес не приемлет границ даже в рамках стран, не то что в рамках одного помещения...

    ОтветитьУдалить
  111. Вихорев11.7.11

    "Абсолютно точно. Но после отмены в 2010 г. закона о частной охранной деятельности нет почти никаких законных способов, а те, что есть, должны производиться как минимум с согласия персонала. И тут даже дело не в засланных казачках. Сегодня он не засланный, завтра - засланный. Я повторюсь - бизнес у нас в России такой. И даже не в продаже дело, ведь инсайд - это "риски персонала", в т.ч. вред, невнимательность, халатность, и прочие мотивы."

    А Вы попробуйте им предложить пройти проверку на детекторе лжи (кстати, есть замечательные методики анализа лояльности персонала - наши, российские - даже без полиграфа). Если соглясятся - Вы будете знать что по чем. Если откажутся - будете знать кому доверять, а кому нет. А вот халатность, невнимательность и прочее попрошу к инсайдерам не относить. это совсем другие угрозы, хотя и внутренние. Вот здесь-то защита от дурака работает!


    "...Невдомек, что современный бизнес не приемлет границ даже в рамках стран, не то что в рамках одного помещения... "

    Почитайте все-таки федеральный закон Германии. Он хоть и "старый", но все-таки действует. Так воот там сказано, что размещать ПДн за пределами федеративной республики Германии (не то, что обрабатывать, а даже размещать) - запрещено!

    ОтветитьУдалить
  112. Вихорев11.7.11

    А. Волкову.
    "И если, Сергей Викторович, у Вас есть достаточно административного ресурса для того, чтобы привести подзаконные акты в соответствие с тем, что мы с Вами здесь обсуждаем - то лично я готов принять в этом участие! Да и коллеги с удовольствием подключатся к работе. Только это должна быть СОВМЕСТНАЯ работа, на нормальных паритетных условиях."

    Так ведь у Вас у самого есть положительный опыт в этой области, как Вы говорите: СТО БР. И получилось же! И все друг друга поняли. Может просто до этого не разговаривали?

    ОтветитьУдалить
  113. > попробуйте им предложить пройти проверку на детекторе лжи

    Но это же технические меры, не так ли? :) И документами ФСТЭК они не предусмотрены :)

    > но все-таки действует.

    Да ладно - действует? А как же трансграничная передача данных на территорию "адекватных" государств? И потом - есть организации в которых немцы работают, данные обрабатываются без проблем :) И филиалы немецких компаний в России. Доступ - полный к базе персонала :)

    > СТО БР

    Я не участвовал в его подготовке. И сейчас этим СТОБР можно разве что... Да А.Токаренко все сказал. Поглядите здесь: http://www.bosfera.ru/bo/zdravstvuj-zopd

    ОтветитьУдалить
  114. >А Вы попробуйте им предложить пройти проверку на детекторе лжи

    Ага. Ежемесячно прогонять весь топ-менеджмент и остальных инсайдеров через полиграф... Да они после этого даже если не имели желания чем-то насолить компании очень задумаются над этим вопросом.
    Вы можете предложить недемотивирующий способ или способ локализации последствий данного демотиватора?

    >положительный опыт в этой области, как Вы говорите: СТО БР

    С той редакцией, что 13 числа будет рассматривать СовФед все, что наработано в редакции 2010 года можно смело выкинуть в корзину... Да и вобще может стать вопрос о том, что бесполезен станет весь СТО БР, даже не смотря на закон об НПС...

    ОтветитьУдалить
  115. Вихорев11.7.11

    А. Волкову.
    "Но это же технические меры, не так ли? :) И документами ФСТЭК они не предусмотрены :)"

    Нет, это не технические, а организационные меры. А требования ФСТЭК ограничиваются ее комптенцией (так в законе, и в старом, и в новом): защитой от НСД в системе.

    "Да ладно - действует? А как же трансграничная передача данных на территорию "адекватных" государств? И потом - есть организации в которых немцы работают, данные обрабатываются без проблем :) И филиалы немецких компаний в России. Доступ - полный к базе персонала :)"

    Трансграничная передача здесь ни причем, Если есть такая передача, зачит есть специальные разрешения (ограничения) - читайте закон Германии. Организации, в котолрых немцы работают - это не обязательно те, которые находятся в Германии. А в России и вообще они подпадают под юрисдикцию нашего, Российского законодательства. Кстати, если бы у нас не было "адекватной" защиты, то с нами бы никто и не работал. Это как раз подтверждение того, что защита у нас "адекватная" и признается членами Конвенции.

    ОтветитьУдалить
  116. Вихорев11.7.11

    Да, Алексей, за СТО БР - извините, блогов мого, стараюсь отвечать везде. Спутал Вас с Александром Токаренко.

    ОтветитьУдалить
  117. > Кстати, если бы у нас не было "адекватной" защиты, то с нами бы никто и не работал. Это как раз подтверждение того, что защита у нас "адекватная" и признается членами Конвенции.

    Ну, это, простите, нонсенс. Конвенцию мы так и не ратифицировали (доппротокол и ратификационную грамоту никто в Европе на видел). А работать с нами иностранные граждане и компании начали задоооооолго до появления у нас 152-ФЗ и неадекватных подзаконников. Как раз в 90-х годах. И на всю катушку.

    ОтветитьУдалить
  118. >Кстати, если бы у нас не было "адекватной" защиты, то с нами бы никто и не работал. Это как раз подтверждение того, что защита у нас "адекватная" и признается членами Конвенции.

    Не признает Европа у нас защиту адекватной, и правильно - ибо действительно неадекват.
    Формальные причины Алексей написал ;)

    ОтветитьУдалить
  119. Извините за тавтологию: Закон узаканивает беспредел регуляторов. Ограничений нет, НИКАКИХ. И если сейчас будут совместными усилиями будут выработаны адекватные подзаконники, то кто помешает их поменять в дальнейшем? А уж о субъекте молчу...

    ОтветитьУдалить
  120. Анонимный12.7.11

    2 Сергей.

    А что не так с субъектом? Здесь весь шум и гам только по поводу технической защиты и только по поводу ст. 19. Особых возражений и принципиальной критики в остальной части закона никто не высказал. Наоборот, эксперты высказались положительно. И, пардон, очень много эмоций и пафоса.

    ОтветитьУдалить
  121. Анонимному: эх, придется по-новой.

    Закон, как известно, ставит своей целью защитить права субъекта при обработке его ПДн. И стало быть, в законе должны быть прописаны 1) его права 2) способы защиты этих прав.

    Вместо этого, в законе упор делается на 2) требования по защите данных 1) обязанности оператора по защите данных. Все разговоры про то, что способы защиты прав (в т.ч. компенсацию ущерба) вынесены в УК РФ и КоАПП - безосновательны, так как смотрите ЦЕЛЬ закона.

    Разнице между правами субъекта и его данными - понимаете? Не всякая утечка данных автоматически сопряжена с нарушением прав, так как утечка (искажение, модификация) сама по себе не наносит ущерб владельцу. Но всякое нарушение прав сопряжено с ущербом, которое может вызвать в том числе и нарушение КЦД. Может вызвать, а может - и нет. А регуляторы требуют безусловного выполнения требований по защите ЛЮБЫХ данных от того, что и ущерба-то может и не нанести, и весьма спорными с точки зрения эффективности (соотношение ущерба/стоимости) методами, изложенными теперь ЗАКОНОДАТЕЛЬНО.

    Закон НЕ СООТВЕТСТВУЕТ своей цели. И мы по этому поводу никогда не высказывались положительно.

    ОтветитьУдалить
  122. Анонимный12.7.11

    2 Алексей Волков

    Простите, но говоря про экспертов, я все таки имел в виду не Вас :) Единственный, кто не заморачивается исключительно только по поводу технической защиты, а говорит о всем законе в целом это господин Травкин. Остальные преследуют цели облегчения жизни ИБ службам, но уж не как не ратуют за права субъектов. Нет, слова то говорят, да только для пафоса. Вы же боритесь с Плигинскими поправками к Резниковскому проекту, который два года согласовывали все эксперты? Ну и покажите мне где в этом законопроекте все то, о чем Вы так красиво пишите выше про права субъектов?

    ОтветитьУдалить
  123. > два года согласовывали все эксперты
    > покажите мне где в этом законопроекте все то, о чем Вы так красиво пишите выше про права субъектов

    Простите, но говоря здесь про экспертов, Вы по прежнему не имеете в виду меня :) Я это все не согласовывал. И с тем, что насогласовывали "ваши" эксперты, в как Вы выражаетесь "Плигинском" тексте, как раз и не согласен. Потому что "Плигинский" - он совсем не "Плигинский".

    Зато я согласен с Травкиным, который говорит один-в-один то же что и я про субъектно (права, как должно быть) и объектно (данные, как в законе) подходы и, как и он, в большей степени приемлю тот вариант законопроекта, который "подменили". Вот он как раз и был тем, что все согласовали. Согласен, не без недостатков, но гораздо больше отражал то, что Вы называете "пафосом".

    ОтветитьУдалить
  124. Анонимный12.7.11

    По поводу позиции Травкина прочитайте еще раз http://travkin333.livejournal.com/27856.html#cutid1. И это ни разу не про "Резниковский". Еще раз повторю, что весь сыр бор только по 19 статье. Ничего про права субъектов в "письме пяти" я что-то не обнаружил.

    ОтветитьУдалить
  125. Прочитайте письмо еще раз. Не смотря на весьма досадный косяк со статьей Конвенции (А.Токаренко писал по этому поводу здесь: http://personal-data.livejournal.com/287966.html), в первую очередь в письме значится:

    Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена.

    Учитывая то, что я сказал здесь (http://anvolkov.blogspot.com/2011/07/blog-post_06.html?showComment=1310451907466#c9177658256503266234) это прямой текст. Повторюсь: тот законопоект, что принят - нельзя называть ни Резниковским, ни Плигинским. Плигинским был тот, что подменили. От Резниковского практически ничего не осталось.

    ОтветитьУдалить
  126. Анонимный12.7.11

    Кто же интересно вынес "подмененный" закон на второе и третье чтение?

    ОтветитьУдалить
  127. Вы все еще думаете, что тот, кто выносит, тот и принимает решение? Вон, поглядите, что Резник сам о законопроекте думает:

    Депутат Владислав Резник считает, что эксперты всполошились напрасно: он уверен, что поправки не распространяются на детские сады, школы и другие учреждения. Читайте далее: http://www.vedomosti.ru/newspaper/article/263553/cena_zaschity#ixzz1RsQbpeZE

    Это лишь субъект законодательной инициативы. А за всем этим стоит та структура, чьи интересы эта инициатива реализует. И смысл "лобби" заключается не всегда в денежном вознаграждении. У каждой структуры - свои "мотиваторы". Так-то.

    ОтветитьУдалить
  128. В дополнение:

    Согласованный со всеми сторонами, кроме ФСБ, законопроект действительно облегчал работу с персональными данными, вспоминает Лукацкий, а потом свои предложения внесла ФСБ — и они изменили поправки до неузнаваемости.

    Читайте далее: http://www.vedomosti.ru/newspaper/article/263553/cena_zaschity#ixzz1RsV1QJEG

    ОтветитьУдалить
  129. Анонимный12.7.11

    Хорошо Ваша взяла, давайте называть эти два законопроекта: 1 - тот который был после первого чтения и 2 - это тот который подменили ко второму чтению. Согласны? И был еще вариант Резника. Если убрать 19 статью, то который из них по Вашему мнению лучше?

    ОтветитьУдалить
  130. На самом деле, все три варианта неудачные. И из того многообразия поправок и предложений, что мне довелось почитать (а на самом деле их было куда больше), однозначно можно было собрать приемлемый для всех вариант. Для всех, кроме тех, кто "лоббирует" определенные интересы, поскольку опыт с подменой показал, что "лоббирующие" не готовы поступиться ни малейшей крошкой пирога.

    Парадокс, но все толковые поправки были высказаны на общественных слушаниях, сайт для которых "збацал" лично Ю.В.Травкин, и проходивших под эгидой ДАТУМ, в котором и он, и я, и Токаренко, доблестно состоим. однако их результат постигла та же участь, что и законопроекта №1. Их попросту "задвинули".

    Теперь относительно вопроса. Если Вы так его ставите, то я считаю, что законопроект №1 был более удачным из всех трех неудачных. Только хронология была немного не такая. Сначала был законопроект Резника (2009), он же и был после первого чтения (2010). Через года, перед вторым чтением появился законопроект №1, (Плигина) который подменили законопроектом №2, его потом и приняли.

    ОтветитьУдалить
  131. Анонимный12.7.11

    Спасибо за разъяснения и хронологию. Только все равно остается не совсем понятно следующее. Вот сравнение законопроектов №1 и №2 из блога Александра Бондаренко ( http://secinsight.blogspot.com/2011/07/152.html)


    https://docs.google.com/leaf?id=0B-diDhbmRj8gN2U4ZTUyZjUtZTdiNC00M2UyLTkwNGUtZDhlMmM0ZGQ2Mzg1&hl=en_US

    Вот смотрю я на фиолетовые пролоббированые "известно кем" поправки и не могу понять чем они ухудшают законопроект №1 (Ст.19 во внимание не принимаем :)).

    ОтветитьУдалить
  132. В документе, что выложил Александр, действительно непонятно. Вы попробуйте сами посмотреть в Ворде через команду "объединить исправления" №1 и №2. Сразу все встанет на свои места.

    ОтветитьУдалить
  133. Анонимный12.7.11

    Полностью поддерживаю. Большаков М.А.

    ОтветитьУдалить
  134. Поддерживаю Терпугов С.А.

    ОтветитьУдалить
  135. Анонимный14.7.11

    После 50% прочитанных комментов, попросту устал и забил на чтение, т.к. обсуждение свелось к буквоедству и пустым размышлениям "Кому на Руси жить хорошо".
    У многих конечно накипело, а повод высказаться выдался знатный - возможные изменения в закон.
    У меня в голове лишь одна мысль, которую так и не тронули местные баталии - Нельзя настолько откровенно, на законодательном уровне, лоббировать интересы. Ведь есть люди, есть бизнес, о которых надо думать в первую очередь.
    Конечно же, есть те, которым эта версия принесет немалые барыши... Выделятся деньги из бюджета на обеспечение защиты Пдн, и тут же перекочуют через организации, оказывающие именно такие вот услуги.
    Но люди (субъекты)от такой постановки вопроса не приобретут гарантии защищенности личных данных, бизнес не станет информационно более защищен, сертифицированные средства не станут лучше защищать информацию.
    Наверное правильно говорят о заМкадье. Да и вообще по России очень мало специалистов способных самостоятельно обеспечить хотя бы документарную защиту, не говоря уже о технической. А ведь регуляторы на это никаких скидок не предоставляют. Нет своих, найми чужих. Опять же энная сумма перекочует из сферы бизнеса непонятно куда.
    Что защищается и от кого, вообще непонятно.
    Основная цель закона фигурирует только в названии и соответствующей статье.
    Сергей

    ОтветитьУдалить
  136. Анонимный15.7.11

    Господа обидно читать Волкова и Ко. По их мнению выходит, что специалисты-лицензиаты ФСТЭК,ФСБ в части ПДТРиТЗИ не способны построить грамотную систему защиты, а только и делают, что разводят на огромные деньги, пользуясь НМД ФСТЭК, а если уж совсем грубо - то Вихорев, я, множество наших коллег всю жизнь свою сознательную занимаются никому не нужным и не полезным делом...грустно.
    Мне кажется, что взгляды В. исходят из того, что Волков (что следует из его резюме "как я дошёл до такой жизни") не создавал систем защиты информации, не разрабатывал множества действенных политик информационной безопасности организаций (пардон,если не так,но в резюме про это нет).. Я вот,например,уверен (и клиенты об этом говорят),что построенные нами системы орг.и тех.мер по ИБ вполне приносят реальную пользу...и построенные Вихоревым.
    2. И по поводу "определения мер защиты оператором" опять же согласен с Вихоревым - никто никаких мер принимать не будет,господа - это ясно как день. Каждый день у меня встречи с заказчиками различных мастей,так сказать.. И все как манны небесной ждут этого Вашего "определения мер защиты оператором", а на вопрос, что вы тогда будете делать - однозначное "ничего"!!!!!!!!
    И там это понимают Волков...и Вас не услышат...

    ОтветитьУдалить
  137. Анонимному:

    > не создавал систем защиты информации, не разрабатывал множества действенных политик информационной безопасности организаций

    Ну, к фамильярности и утверждениям, что я не профессионал, идущим от вас и ваших коллег, я уже привык. Вы думаете, я блогом на жизнь зарабатываю?

    > в резюме про это нет

    Это не резюме.

    > ждут этого Вашего "определения мер защиты оператором"
    > что вы тогда будете делать - однозначное "ничего"!!!!!!!!

    Подавляющее большинство так и будет продолжать ничего не делать и после появления этих определений.

    > никто никаких мер принимать не будет,господа - это ясно как день.

    Не пойму. откуда такая уверенность? Кто принимал - тот и будет принимать. Кто не принимал - тому и дальше будет наплевать.

    > все как манны небесной ждут этого Вашего "определения мер защиты оператором"

    Я даже не знаю, что и возразить-то :))))))

    > специалисты-лицензиаты ФСТЭК,ФСБ в части ПДТРиТЗИ не способны построить грамотную систему защиты

    Простите, но это ваше личное умозаключение. И потом - если ФСБ и ФСТЭК настолько "круты", что же тогда столько утечек именно в госструктурах? Посмотрите, чьи базы на рынках продаются - уж никак не "частников".

    > И там это понимают Волков...и Вас не услышат...

    Я думаю, что ТАМ понимают цели, ради чего все делается, и идут к их реализации. И вы вовсе не открыли мне глаза, Аноним.

    ОтветитьУдалить
  138. Анонимный23.7.11

    Господин Волков и K!
    Почему-то в последнее время вся Ваша компания притихла пыром. Никто ничего не пишет, никто ничего не комментирует. Или Вы затеяли смуту, но она либо вредна для общества либо бесполезно, либо кончились деньги структур Вас поддерживающих. Скажите уж в блогах честно, а то молчите как рыбы об лёд.

    С искренним уважением,
    Ваш анонимный последователь.

    ОтветитьУдалить
  139. >Или Вы затеяли смуту

    Нафиг-нафиг.
    Вот как раз смуты нам не надо. Как и "структур" которые могут наязывать "свое мнение" законодательной власти...

    >либо кончились деньги структур Вас поддерживающих

    Ржунимагу

    Понимаю, что каждый судит по себе... Но не стОит проецировть собественные "грехи" на всех.

    ОтветитьУдалить