пятница, 15 июля 2011 г.

Запятые над Ы


Минула неделя с момента опубликования открытого письма Президенту. За это время чего только не произошло, каких только статей, постов, писем, комментариев, откровенных выпадов и обвинений не начитались его авторы, одним из которых является и ваш покорный слуга. Нет смысла все пересказывать - Вы, дорогие читатели, были всегда в гуще событий и поддерживали (или не поддерживали) инициативу как могли. Пока страсти немного поулеглись, самое время немного абстрагироваться и пофилософствовать. И, поскольку это мой персональный блог, философствовать я буду сам, простите за такую нескромность.

Что побудило лично меня стать одним из инициаторов? Противники кричат - пиаааааааар!!! Отнюдь. Стать инициатором меня побудили, как ни странно, гражданская позиция и собственное видение и понимание проблематики. Противники закричат - пааааааафос, громкие словааааааааа, какой ты нафиг экспееееееерт!!! Ну хорошо, пусть я никакой эксперт. Тогда поведу речь как гражданин, который "немного в курсе".

Давайте внимательно посмотрим на название Конвенции: "О защите физических лиц при автоматизированной обработке персональных данных". Целью Конвенции, согласно статьи 1, является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных. То есть, защита данных - не самоцель. Главное, ради чего все делается - выделено жирным шрифтом (бааааа - да это же те самые, "пафосные" слова).

Европейские страны это четко понимают, и поэтому главный упор делают на безукоснительное соблюдение всего того, что у нас считается "пафосом".  При этом никто и нигде не регламентирует, каким образом те самые "данные" защищать.  И поэтому и действующий закон, и тот, что принимают, как ни крути, а все же не соответствует современному западному подходу. Я полагаю, в том, что Ю.В.Травкин и М.Ю.Емельянников эксперты - никто не сомневается, а они говорят именно об этом, стоит почитать их блоги и публикации.

Дилетааааант - закричат противники - смотришь в книгу видишь фиииигу!!! И вправду - статья 2 нашего Закона фактически провозглашает ту же цель, что и Конвенция: защита прав и свобод человека и гражданина... Только об этом никто не знает - даже сенаторы: когда г-н Сурков вещал в Совете Федерации на рассмотрении Законопроекта о том, что закон, дескать, предназначен для обеспечения "информационной защиты персональных данных" - никто и ухом не повел. А это значит, цели сбились окончательно и бесповоротно, и на весь этот "пафос" - права человека и гражданина - всем действительно наплевать.

Ну ладно, хорошо. Пусть так. Пусть данных. Пусть государство регулирует. Но почему ТАКИМИ методами? Чем они обусловлены? Кто их выдумал вообще? Государство, по аналогии с защитой гостайны и "конфиденциальной информации"? Пардон, но ведь это самое государство и является главным источником утечек. Поглядите вокруг - чьи базы предлагают на рынке, частных контор, что ли? И скажите, как тот, кто не может защитить данные у себя внутри, может потребовать этого от меня, тем более, принимать такие же меры защиты, как и он сам? Это не лучшие, а "худшие практики"!

Но и это еще не все. Государственные структуры кричат: у нас денег нет на выполнение этих требований, все очень дорогое. Можно понять - бюджет не резиновый. Но бизнес-то побогаче, и в большинстве своем заботится о своих профессиональных секретах. Надо ПДн защищать? Да без проблем - будем, так же как и все остальное. "А вот шиш вам" - говорят "регуляторы" - "вся ваша защита гроша ломаного не стоит: средства-то не сертифицированные, системы - не аттестованные, криптография - импортная. Надо все приводить в соответствие". "Пардон, но почему? Чем то, что у меня есть, отличается от того, что стоит в 2 раза дороже?" - недоумевает бизнес, - "Вон - и название такое же". "Нееееет" - говорят регуляторы - "мы не проверили, значит, оно не выполняет своих функций, тебе надо вон то, с голограммой, с ним все в порядке. Можно сертифицировать и аттестовать то, что уже есть: иди в воооон ту контору, там тебе все быстро слабают, по договорной цене. Скажешь что от нас - скидку сделают. А будешь сопротивляться - будешь лицензию получать, ты же теперь "конфиденциальную информацию обрабатываешь".

Противники закричат - так было раааньше, новый законопроект либерааааааальный. Коллеги, кого мы обманываем? Неужели кто-то еще питает иллюзии в том, что этот законопроект, проталкиваемый с такими интригами и таким напором, действительно изменит ситуацию? Что подзаконные акты, которые должны быть разработаны в дополнение к нему, ни с того ни с сего вдруг будут проявлением либеральности? Что "регуляторы" после титанических усилий отдадут с таким трудом отвоеванный ОГРОМНЫЙ кусок пирога? Вопрос, мне кажется, риторический, НО если это действительно случится, я съем шляпу А.Лукацкого (если он, конечно, разрешит).

Принимаемый законопроект полностью соответствует своему времени и той стране, в которой его принимают: коррупция, сопоставимая с ВВП, сырьевая экономика, задрюченный до полусмерти бизнес и бесправные граждане - что может быть лучше? Можно сколько угодно "буквоедить" и "гнобить" авторов всевозможных протестных петиций и посланий, в том числе и тех, кто написал и подписал открытое письмо: блог все стерпит. Но протест этот, как ни крути, имеет железобетонные основания: "понимающий" народ просто устал быть дойной коровой в стране, где "права и свободы человека и гражданина" считаются пафосными и пустыми словами.

И, что самое печальное, все это делается под видом искреннего желания соответствовать европейским ценностям (правам человека и все такое) и лучшим мировым практикам в области защиты ПДн. Волей-неволей, но иногда приходит дикая мысль: какой смысл соответствовать Европе в деле защиты прав и свобод субъектов ПДн, если со всеми остальными правами и свободами у нас едва лучше, чем в Мозамбике? Тьфу, тьфу, чур меня...


45 комментариев :

  1. Анонимный15.7.11

    Грустно....

    1Сник из Мухосранска

    ОтветитьУдалить
  2. Анонимный15.7.11

    У вас есть подкреплённое репрезентативной выборкой фактов мнение о соблюдении прав человека на западе? или вы о них в интернете слышали?

    Почитайте про лоббизм в США - это один в один наша коррупция в Гос.думе (а то и круче), только узаконенная.

    Почитайте про Гуантанамо и бомбёжки НАТО мирных жителей, про вторжение в другие страны, про нарушения тайны ЛИЧНОЙ ЖИЗНИ и ПЕРЕПИСКИ, которые осуществляются в отношении "связанных с терроризмом", к группе которых можно приписать почти любого.

    Стыдно, что для вас Родина из-за ФЗ-152 стала "этой страной".

    P.S. Под вашим письмом президенту я подписался и от своей фамилии отправил чуть модифицированный его вариант в администрацию президента.

    ОтветитьУдалить
  3. А может это провокация? Кстати очень похоже. Пойдет президент против правительства или нет?

    ОтветитьУдалить
  4. Анонимному: а почему Вы сразу приводите в пример США с их империалистическими замашками и вытекающими оттуда проблемами? Погладите на Сингапур, где коррупции 0, на Швецию, где права человека поставлены во главу угла. Одной Америкой мир не ограничивается.

    НАТО - это проамериканская организация, со всеми вытекающими. А нарушений тайны личной жизни Вы думаете у нас нет? Только вот у НИХ почему-то никто не слышал и даже представить не может, что материал, полученный в результате этих операций, можно почти свободно приобрести в Интернете, на рынке и у "сведущих" людей.

    Мою Родину у меня никто не отнимет. И стыдно мне потому, что страна, в которой мы живем, "натянута" на Родину нашими чиновниками как пыльный и грязный чехол.

    Спасибо за поддержку.

    ОтветитьУдалить
  5. Анонимный15.7.11

    А ещё у них негров линчуют!

    А если серьёзно, то главное - то, что на западе существует деловой, прагматичный подход. Как описанный Алексеем в этом посте - к персональным данным, где целью работы законодательной и представительной власти не только декларируется, но и, судя по текстам их законов, является именно _защита ПД_, а не _контроль за операторами ПД_. Точно так же пиндосская IRS (в «гоблинском» переводе = ФНС): наша пытается контролировать каждую копейку доходов и обкладывать (да, да, отец у меня, когда говорит «ложи», а я его поправляю «клади», отвечает: «кладут в штаны!», именно поэтому наша ФНС не облагает, а обкладывает доходы налогами, ибо понятно куда потом эти деньги идут) их налогами. И несколько инициатив по контролю за крупными расходами провалились: мол, ИФНС не справится с таким объёмом информации. Дескать мол, дескать мол, можно подумать... А у буржуинов, насколько я знаю, как раз и контролируются в первую очередь крупные расходы - купил порше, будь любезен, покажи, на какие шиши и заплатил ли ты с этих шишей налоги?

    Ну, а если вообще по списку:
    1) Коррупция. Ню-ню, сравнили 21 с тремя фалангами... Лоббизм - это, конечно, зло, но делёжка жирных пирогов где-то наверху корпорациями персонально отдельно взятому гражданину особо жизнь не ухудшает. А вот на уровнях ниже... сколько-сколько стоит построить 1 км дороги в США и сколько - в РФ? сколько-сколько человек на 100К населения гибнут в авариях в год в США и РФ? а если погибших пересчитать ещё на длину автодорог, то совсем грустно получится. А это - следствие безнаказанности на дорогах! В городе, спутником которого является мой Мухосранск, год-два назад пьяный урод ночью лётал по улицам и в итоге въехал во встречную машину, угробив несколько человек. Каким-то чудом выяснилось (то ли тогда уже видеорегистраторы в ГИБДДшных машинах ставили, а ИДПС не знали, то ли ещё как), что его в ту ночь останавливали несколько раз, пьяного! - и отпускали!!!

    2) «Сырьевую экономику» Анонимус мимо глаз пропустил - ну да, крыть нечем.

    3) Задрюченный бизнес - см. п. 2

    4) «Бесправные граждане» vs «нарушения тайны ЛИЧНОЙ ЖИЗНИ и ПЕРЕПИСКИ, которые осуществляются в отношении "связанных с терроризмом", к группе которых можно приписать почти любого». Ну, чёрт его знает... Не знаю, насколько сложно или легко в США отнести любого произвольно взятого гражданина к связанным с терроризмом - честно говоря, сомневаюсь, что это так уж легко. Мне всё же кажется, что «честному человеку бояться нечего» там как-то гораздо нечевее, чем у нас. У нас подавляющее большинство предпринимателей уклоняются как могут от уплаты налогов, т.к. платить государству почти столько же, сколько заплатил работнику, крайне трудно себе позволить во многих отраслях. Тем самым работники лишаются права на хотя бы выживальную пенсию. Да и даже по-белому, всю жизнь копящаяся накопительная пенсия раскидывается на 18 лет с момента начала пенсии, при средней продолжительности жизни мужчин менее пенсионного возраста, круто, да?

    Да и вообще, лично я разделяю понятия «страна Россия» и «государство РФ» (особенно власти РФ).

    1Сник из Мухосранска

    ОтветитьУдалить
  6. Александр15.7.11

    Анонимному:
    Чтобы лучше понять как осуществляется защита ПДн в той же Европе, можно попробовать пройти тест www.pdlec.ru
    В нем вопросы сформулированы на основе решений европейских судов. И пройдя этот тест, а заодно почитав решения наших судов по теме персональных данных - (http://ras.arbitr.ru/ в поле "Текст документа" - "персональные данные" в поле "Участник" - "Коммуникаций"), понимаешь, что у нас с Европой совсем разные взгляды на защиту персональных данных. И решения нашей системы правосудия, основанные на таких законах как новая редакция ФЗ - 152, навряд ли будут ставить себе целью защиту интересов субъекта ПДн...

    ОтветитьУдалить
  7. "Не страшны дурные вести, мы опять бежим на месте!" (с)

    ОтветитьУдалить
  8. Немного в продолжение темы здесь: http://anvolkov.blogspot.com/2011/07/blog-post_1207.html?showComment=1310708119867#c8488573575404226958

    ОтветитьУдалить
  9. Если постоянно исходить из того, что где-то ситуация еще хуже - никогда не вылезем из положения догоняющего.

    Почему бы не привести тогда в качестве примера Зимбабве или Мадагаскар?

    ОтветитьУдалить
  10. Анонимный15.7.11

    Есть контрпредложение: отменить все требования во всех видах деятельности по лицензированию и надзору (включая атомную промышленность, транспорт и пожарную безопасность)! Нефиг коррупцию разводить! Даешь разбор ситуации по факту случившегося!!!!
    Ведь сами посудите: маленькая фирма которая арендует корабль для экскурсий - откуда у них деньги на:
    1. лицензию
    2. техосмотр
    3. ремонт
    4. средства спасения
    5. обучение команды
    и т.д.
    Предлагаю все это заменить наказанием по факту случившегося!
    Вот когда потонет кораблик, тогда и наказывать виновных. Пусть руководство САМО предусматривает последствия и САМО, БЕЗ ПРОВЕРЯЮЩИХ(!!!) и ОБЯЗАТЕЛЬНЫХ СРЕДСТВ СПАСЕНИЯ готовит кораблики к эксплуатации!

    А теперь серьезно. Вот Вам пример аналогичный проблеме персданных, но с последствиями ужасными. И никто ничего не сделал! Вы же предлагаете в вопросах не столь ЯВНО опасных отказаться от такой практики.
    Я как ГРАЖДАНИН только ЗА требование применения сертифицированных СЗИ и аттестацию - как проверку выполнения требований.
    Я бы еще добавил в аттестацию проверку выполнения ФЗ в части организации (законности) обработки ПДн.
    И не надо пенять (ежели кому в голову придет) мне, что я на этом живу. Все работы с клиентами я начинаю и очень-очень часто заканчиваю ТОЛЬКО организацией обработки.
    Вот другой вопрос: когда СЗИ выпускались только на ГТ их цена была пусть 7000 руб. Теперь то же СЗИ продается в 1000 раз больше, а цена осталась той же. Почему??? Может надо включить потребителям механизмы влияния на цену? А не плакать как все дорого.
    ZZubra

    ОтветитьУдалить
  11. Анонимный15.7.11

    Да, ещё вдогонку о прагматизме. К сожалению, достоверного источника привести не смогу, это мне просто рассказывали.
    О техосмотре. У нас, до последних изменений (что там будет, я ещё не вникал - у меня пока относительно новая машина и ТО до 2012 года), техосмотр - это была такая штука, которую заставляли всех проходить, якобы с целью безопасности на дорогах. Учитывая, что процедура это была во многих местах тягомотная и долгая, а зачастую и машиной как-то неохота заниматься, чтобы она прошла ТО (а то и машина вообще без хороших вложений не может пройти ТО из-за несоответствия требованиям, а ездить-то хочется), очень часто талончик просто покупался. Да и сам техосмотр зачастую был профанацией, чисто формальной процедурой, ничуть не улучшающей безопасность автомобиля для его экипажа и окружающих, включая среду. Та же ситуация, что и с новым ФЗ о «защите» ПД: гражданину вменяются определённые действия, являющиеся шикарной коррупционной нишей, и даже в случае выполнения их по-честному, не дающие толком никакого эффекта.

    А на западе, по рассказам моего знакомого, система построена «от истинной цели». Цель - минимизировать ущерб от плохого технического состояния автомобилей. Средство - удары местной валютой. Если ДТП произошло из-за технической неисправности, то весь ущерб (плюс, наверняка, моральный и материальный, там суды, в отличие от наших, моральный ущерб оценивают обычно гораздо дороже материального - тоже, кстати, показатель бесправия граждан: ну отсудил я у СБ РФ незаконно взятую с меня комиссию при выдаче ипотеки аж с компенсацией по ставке рефинансирования, а то, что для того, чтобы перед получением ипотеки, эту комиссию оплатить, у меня мама-бюджетница брала кредит на ползарплаты на два года - никого не колышет) компенсирует хозяин авто (или его наследники), если не пройден техосмотр. А уж проходить техосмотр или нет - это дело каждого. Пройдёшь - за техсостояние твоей машины некоторое время будет нести ответственность автотехцентр, который его проводил. И уж тогда-то они точно не будут ни просто за деньги талончик давать, ни филонить. Ибо отвечать будут опять-таки долларом или там еврой по тупой башке. И тамошним инспекторам их ГИБДД глубоко по барабану наличие талончика ТО.

    От така фигня... Почём купил, потом и продаю, но думаю, если это всё не чистая правда, то, по крайней мере, близко к ней.

    1Сник из Мухосранска.

    ОтветитьУдалить
  12. ZZubra: эээх, Коллега, куда Вас понесло. Давайте будем адекватно подходить к проблеме, о чем я, в принципе, везде и всюду твержу. Все зависит от ВРЕДА человеку, Вы абсолютно правильно сказали. И если утечка ПДн автоматически приводит к его смерти или увечьям - то здесь нужно зарегулировать тех, что занимается такой обработкой. Я - за.

    НО. Ни закон, ни законопроект НЕ предусматривает адекватного регулирования. ВРЕД СУБЪЕКТУ там лишь промелькнет. А все остальное - НЕАДЕКВАТНЫЕ методы и ДОРОГИЕ требования, ни от чего не зависящие. И я, знакомый с западными методиками оценки ущерба (PIA в частности - мы об этом писали здесь: http://anvolkov.blogspot.com/2011/05/blog-post_20.html) категорически ПРОТИВ такого подхода.

    > Я как ГРАЖДАНИН только ЗА требование применения сертифицированных СЗИ и аттестацию - как проверку выполнения требований.

    А я, как гражданин, против, поскольку реально это не приносит НИКАКИХ результатов, кроме дохода тем, кто все это проводит. Вот примеры сертификации как профанации (http://anvolkov.blogspot.com/2010/09/devicelock.html) и госконтроля с нулевым результатом (http://anvolkov.blogspot.com/2011/05/blog-post_25.html). Именно такой же, НУЛЕВОЙ результат госконтроля был и в случае с "Булгарией".

    Для того, чтобы все это заработало, нужен ОБЩЕСТВЕННЫЙ контроль за контролирующими. Но его увы нет - и не будет, пока на этом можно неплохо заработать.

    ОтветитьУдалить
  13. Давайте не доводить до крайности? Что это за аргумент - "не нравятся требования, ну давайте все отменим и вы увидите как стало плохо".

    Никто не против контроля, но нелепо же с одинаковой степенью защищать гостайну и персональные данные! Хотя бы по той причине, что от обработки тайны никто не запрещает отказаться, а вот содержать в штате 40 анонимусов - нонсенс ("Работник №34, зайдите в кабинет к работнику №3" %).

    Если назначили оператора ответственным - давайте будем последовательны. Он отвечает, так пусть и делает, что считает нужным, чтобы обезопасить ПДн, а заодно и свой бизнес. А регуляторы могли бы ему помочь советом. А так оператор получается не "ответственным", а "крайним" (делай, что тебе говорят, а если не поможет - сам виноват).

    ОтветитьУдалить
  14. >Я как ГРАЖДАНИН только ЗА требование применения сертифицированных СЗИ и аттестацию - как проверку выполнения требований.
    Мне, как ГРАЖДАНИНУ, фиолетово как и чем защищают мои ПДн, важна цель - отсутствие утечек и адекватная компенсация в случае, если она все же произошла. Нет в продаже баз данных работников магазина, автосервиса, парикмахерской или даже крупного предприятия.

    ОтветитьУдалить
  15. З.Ы. Для большинства населения слова сертифицированные СЗИ, аттестация, ИСПДн - "в моем доме попрошу не выражаться"

    ОтветитьУдалить
  16. Александр15.7.11

    Алексей, за что посты удаляются?! За ссылки?
    Вроде бы ссылки давал на вполне пристойные ресурсы, без которых контекст ответа остается неполным.

    ОтветитьУдалить
  17. Анонимный15.7.11

    ZZubra, класс, прямо в одну сторону думаем!

    «Хромая лошадь» тоже проходила все вменённые государством проверки. По бумажкам у них всё было в порядке. Так вот, лично мне было бы гораздо спокойней отдыхать на корабле, зная, что в случае чего мои наследники получат нехилое наследство от хозяев корабля или там арендаторов или там фирмы, которая проводила его техосмотр, или там какого-то из их страховщиков. А сейчас я могу только знать, что есть пачка бумажек, которые якобы гарантируют то, что корабль в хорошем состоянии.

    Ещё одна фишка в том, что в настоящий момент, конечно, про наследство моим наследникам думать смешно. Ибо бизнес у нас действительно в загоне, а коррупция такая, что поймают в случае чего просто козла отпущения, толку с которого в части финансовой компенсации, как с него же молока. Не зря же говорят всё время про арендаторов кораблика!!! Отвечать за безопасность обязан _собственник_ имущества, по закону, иначе так и получается, что собственник за бешеные деньги сдаёт имущество в аренду для эксплуатации и едет на Канары и в ус не дует - за всё по договору отвечает арендатор, а арендатор из кожи вон лезет, чтобы хотя бы не в минус выйти, тут не до расходов на безопасность (а кто заставлял брать в аренду такой геморрой? дык нужда заставила, желающих работать и зарабатывать много, а кораблик один). Но это в том числе и следствие нашего существующего законодательства, которое направлено не на достижение цели, а на регулирование пути к ней, с кучей коррупционных отвилочков. И не понимать этого, ПМСМ, не глупость, а нечто большее.

    1Сник из Мухосранска.

    ОтветитьУдалить
  18. Александру: в спам попадают - хреново Гугл антиспам работает. Восстановил из спама.

    ОтветитьУдалить
  19. Анонимный15.7.11

    эээ «Отвечать за безопасность обязан _собственник_ имущества, по закону» читать как «Закон должен быть таким, чтобы за безопасность всегда отвечал _собственник_ имущества», а то как-то нечётко я выразился.

    Ибо собственник в случае чего ответит самим этим (и не только этим) имуществом, а арендаторы - ищи их свищи... Ну и плюс чтобы не загонять мелкий бизнес, которым обычно являются эти арендаторы (кораблей, автобусов, бутиков в ТЦ, мест на рынке, ...) в ценовые ножницы между жадными арендаторами и нищими потребителями.

    1Сник из Мухосранска.

    ОтветитьУдалить
  20. Анонимный15.7.11

    Сертифицированные СЗИ - я говорю для Вас, как понимающих, что это такое. Сомневаюсь, что Вы увидите разницу между моделями спас жилетов (если только это не хобби или образование). Суть в том, чтобы ВООБЩЕ кто-то применял средства защиты, хотя бы сертифицированные - как единый маркер того, что эта штука предназначена для защиты. Так проще неспециалисту. Это упрощение - вполне научный подход с точки зрения государства и управления. Так же как в крупных корпорациях поступаются гибкостью в пользу унификации. Не будет сертифицированное - не будет директор ООО "ЖКХ" вообще ничего делать.
    Проводите аналогии. На них ведь все стандартизации построены. Зачем лицензирование? Для обеспечения минимально требуемого уровня качества выполнения работ. Тот же путь и с сертифицированными СЗИ.
    Кто мешает сертифицировать тот же Windows? И это делается. Так же и другие производители постепенно начнут делать. Ведь подстраиваются под национальные требования производители чего бы то ни было.
    ZZubra

    ОтветитьУдалить
  21. Анонимный15.7.11

    Но есть утечки у операторов связи, банков, негосударственных пенсионных фондов, в ЖКХ сфере.

    ОтветитьУдалить
  22. Анонимный15.7.11

    МТС заявило, что им на защиту надо 40 миллионов долларов. И теперь они их вернут с клиентов. А почему не 400? Классная схема развода. И еще заявят, что бились за клиента.
    Вы против сертифицированных СЗИ - так предложите схему лучше. Полную схему, а не идею. С проектами законодательных актов. А не то, что кто как сам хочет тот так и пусть защищается. Это путь Булгарии и Фокусимы.
    Насчет защиты прав, не про защиту информации. Единственной реальной проблемой старого ФЗ являлось согласие только на бумаге и оповещение о получении данных. Первый вопрос решили. Второй решаем на уровне профильных ФЗ. И опять масса решений.
    ВСЕ остальные обременения решились в организациях, которые этим занялись легко. Просто волей руководителя.
    ZZubra

    ОтветитьУдалить
  23. Мы много говорим об утечках, только укажите мне их первоисточник. 90% - инсайдер. И никакие суперзасертифицированные СЗИ не помогут, хотя нет: полиграф - как СЗИ, только как его во ФСТЭК сертифицировать?

    ОтветитьУдалить
  24. ZZubra,

    если мне понадобится разобраться в спасжилетах, я смогу обратиться к интегратору, найму консультанта или возьму в штат специалиста по спасжилетам. А не накуплю сертифицированных надувных уточек, удовлетворяющих требованиям по непотопляемости класса 3 и разрешенных к использованию в условиях Северного-ледовитого океана.

    Мало купить (сертифицированные) средства защиты, их надо еще уметь использовать.

    ОтветитьУдалить
  25. Александр15.7.11

    ZZubra, ну какой вменяемый ITшник согласится купить ту же самую Windows, но только с старыми заплатками и в 1.5 раза дороже?! А если завтра появится аналог Stuxnet, а через месяц уязвимости используемые вредоносом появятся в паблике - а владельцы сертифицированных продуктов так и будут сидеть на старой версии с дырками.
    ПыСы с виндой вроде бы есть вариант получения сертифицированных обновлений, но все равно выпуск этих обновлений происходит с задержкой.
    Существующий вариант с сертификацией программных продуктов явно неэффективен.
    А закон должен предусматривать наказание оператора именно за утечку ПДн, а не за отсутствие сертифицированных средств защиты. Тогда будет в интересах оператора защищать данные, а не договариваться с регуляторами.

    ОтветитьУдалить
  26. Ronin15.7.11

    ZZubra, такое впечатление, что Вы рассматриваете законодательство только с правовой точки зрения и не пытались копнуть техническую, поэтому проблема сертифицированных средств защиты кажется раздутой.
    Возьмите конкретный пример, который встречается не так уж редко в реальной жизни: есть распределенная система на 5 офисов, в центральном стоят application серверы (ERP собственной разработки, которая постоянно меняется в соответствии с потребностями бизнеса) и СУБД на Unix, доступ пользователей к ПО через Citrix. В системе работают разные пользователи, обрабатывающие ПДн и не имеющие доступа к Пдн. Как защищать будем сертифицированными средствами?

    ОтветитьУдалить
  27. Анонимный15.7.11

    А вы киньте клич - кто сделает сертифицированное СЗИ? Если таких систем очень мало - Вы сами себе неудобно сделали. Много - будет Вам СЗИ.
    У меня скромный такой вопрос. А сколько вменяемых операторов/админов у нас в стране? Вот возьмем стандартную замкадовскую область из ЦФО. Сколько там специалистов Oracle? Cisco? и т. д. Сколько админов в районных больницах у нас???? При этом таких систем по-любому больше чем всех кто написал письмо Президенту. На кого стоит равняться? На трех операторов связи и 200 банков (утрирую) или на десятки тысяч больниц?
    ZZubra

    ОтветитьУдалить
  28. Анонимный15.7.11

    Насчет законодательство с правовой точки зрения - а что первично? Право человека или удобство программиста?
    Может Ваш админ-создатель системы руководствовался не целесообразностью, а просто посадил Вас на иглу особенной системы?
    Вам пример из жизни.
    1. Берем МИС. По результатам анкеты она автоматически формирует, допустим, группу риска больного. Врач имеет возможность откорректировать результат.
    2. Берем программку MHDD или Partition. Перед любым решением, которое может повлечь необратимое уничтожение информации пользователь должен руками набить команду.
    Теперь обоснование программиста по МИС: да для этого и нужна автоматизация - чтоб врач не думал. Ты автоматизацию тормозишь.
    Обоснование MHDD: решение об уничтожении информации надо принимать обдумано. Пока набираешь - думаешь. Да еще и в голове должен перед этим решение сформировать. САМ!
    Если не ошибаюсь в Конституции есть запрет на такую работу МИС. И написано все это ей богу кровью.
    Про машины с неотключающимся круизконтролем надо говорить? Или про внедрение Аэробусов вместо Боингов?
    ZZubra

    ОтветитьУдалить
  29. Анонимный15.7.11

    И еще про сертификацию. Никто не заставляет Вас использовать чужую СЗИ. Сделайте свою сами. Постройте систему разработки СЗИ направленную только на сертифицированные СЗИ. Не надо говорить, что это не возможно. И административные регламенты ФСТЭК и ускоренная работа испытательной лаборатории (например прямо во время разработки присутствуют-проверяют следом). Внедрите РЕАЛЬНЫЙ менеджмент качества по импортно/местному документу. Я понимаю, что этого сейчас нет. Нужно время. Легче писать как стало плохо и как хорошо было раньше: небо, трава...
    ZZubra

    ОтветитьУдалить
  30. Анонимный15.7.11

    Ну и раз уж начал говорить. Вы уж меня простите, но всем стало наплевать на науку. Все, что сейчас происходит это болтовня старушек на завалинке. В том числе и моя. А дело все в научном подходе к законотворческой деятельности (системный анализ, семантика во всех подразделах), стандартизации (моделирование различными методами, анализ моделей), экономическому обоснованию (опять же по научным теориям), социальному моделированию, обучению и т.д. Надо просто вспомнить как это делалось в 20-90 годы. Ведь все американские модели построены в том числе и на наших подходах. И модели у нас разные! А вот подходы-теории одни.
    Тот кто не понимает сути происходящих действий в той же госдуме, а идет на поводу эмоций и лени играет на руку тем, кто это давно смоделировал, пусть и интуитивно. Нечего тогда кричать что у нас плохо, а там хорошо.
    Я уважаю Травкина именно за его комментарий на письмо Президенту. Правильно он поставил акценты. Кому это надо??? и ЗАЧЕМ?
    ZZubra

    ОтветитьУдалить
  31. Анонимный15.7.11

    Насчет спас жилетов - возьмите специалиста, чтобы он купил Вам сертифицированные уточки, как Вы их называете. Он их все равно выберет. А вот тот кто выберет Вам не сертифицированные жилеты, вот того гоните взашей. Иначе первыми сядете. И людей угробите.
    ZZubra

    ОтветитьУдалить
  32. ZZubra,

    Сертификат не делает из кучи малопонятного железа/софта чудо-девайс с кнопкой "Сделать безопасно". Точно также требуется грамотная настройка.

    Да, чтобы убедиться, что настройка именно грамотная - поможет лицензия. Но чтобы ее получить, нужно выполнить определенные недешевые требования. В частности, иметь в штате специалистов по ЗИ. Как вы думаете, много ли в стандартной заМКАДовской области ЦФО таких спецов, относительно числа админов/программеров и хватит ли их на всех желающих работать по закону (вариант обратиться к интеграторам я не рассматриваю, мы же хотим "совсем подешевле")

    ОтветитьУдалить
  33. Я прошу прощения, но такое ощущение, что я зашел под мост и наблюдаю там упитанного гуманоида.

    ZZubra, объясните, пожалуйста, почему в той же Европе для защиты тайн успешно используется несертифицированные в России СЗИ. Вы опасаетесь НДВ? Вы думаете, правительству, скажем, США интересно когда вы болели ОРВИ до такой степени, что они внедрили в антивирус "закладки"?

    ОтветитьУдалить
  34. > почему в той же Европе для защиты тайн успешно используется несертифицированные в России СЗИ

    На самом деле, их сертифицируют. Но в соответствии методиками, признаваемыми во всем цивилизованном мире. Именно о признании сертификатов, выданных за рубежом, говорилось в концепции развития ИКТ до 2020 года, и новый закон "о техрегулировании" должен был по идее содержать такие нормы. И он содержал, и даже создан был единый орган по сертификации для всего, кроме ИБ. http://lukatsky.blogspot.com/2011/01/blog-post_25.html

    И поэтому у нас сертификация только российская, обязательная (ИХ), поэкземплярная, безальтернативная, неэффективная и дорогая.

    И я сильно сомневаюсь, что те, кто сейчас сидят на этом, позволят отдать этот кусок в частные руки (СДС).

    Те же грабли.

    ОтветитьУдалить
  35. Я поэтому и написал - "не сертифицированное в России" :) Может просто неверно выразился. Следовало написать "не требуется сертификация регуляторов России"

    ОтветитьУдалить
  36. Анонимный15.7.11

    Я открою Вам страшную Американскую тайну. В Америке есть АНБ. АНБ собирает ВСЮ информацию из сетей связи. Вообще ВСЮ. На всякий случай. В том числе и наш с Вами треп.
    Факты использования этой информации - громкие дела в Италии, Корее. Если Вы считаете (если Вы наш) или знаете (если Вы их), что они против нас это не используют - Вы очень сильно заблуждаетесь. При таких объемах информации и аналитических системах взорвать ситуацию, например, в Карачаево-Черкессии раз плюнуть (это случайное совпадение ;) ).
    Насчет сертифицированных. Так ли уж нет сертификации в США? Разве не работают специалисты АНБ в Сisco? Модель сертификации другая - да кто ж спорит.
    ZZubra

    ОтветитьУдалить
  37. Анонимный15.7.11

    Я тут смарт-карту SiemensOS купил. Да вот только ПО для нее Германия предоставить не может. Говорят экспортные ограничения. И не для их гостайны используется, для прохода в здания в Германии. Ан нет. Для России нельзя. Пусть это и не совсем сертификация, да только экспортный контроль и сертифицированные СЗИ рядом ходят.
    ZZubra

    ОтветитьУдалить
  38. Анонимный15.7.11

    Че-то я разошелся. Устал однобокую информацию читать наверное.
    Мое наблюдение: обоснование в госдуму законопроектов по персданным и изменения трудового кодекса (ну где по 70 часов в неделю работать) совпадали не только во фразах, но и целыми абзацами.
    Вы ЗА изменение трудового кодекса? :)
    ZZubra

    ОтветитьУдалить
  39. ZZubra: знаете, а ведь Вы во многом правы. Я ждал, пока Вас остановит. И по поводу жилетов, и много чего еще. НО. Принципиальная разница отечественной и забугорных систем сертификации заключается в том, что обязательной СС НЕ ДОВЕРЯЮТ, а разработать свою, добровольную, не дадут. Причина недоверия - коррупция. Причина невозможности создания добровольной СС - как ни странно, та же. Так что увы, те же грабли.

    А вот здесь я не совсем понял, что Вы имели в виду:

    > обоснование в госдуму законопроектов по персданным и изменения трудового кодекса (ну где по 70 часов в неделю работать) совпадали не только во фразах, но и целыми абзацами.

    О чем речь?

    ОтветитьУдалить
  40. Анонимный15.7.11

    Надо перестать пытаться изменять нормативку. Устали все жить в изменениях. Приспособимся мы все (и СЗИ дешевые появятся и вообще они появятся)! Как приспособились школьники к ЕГЭ. Это взрослые орут, а школьникам - пофиг.
    Вы посмотрите сколько хорошего принесли ПДн! В госорганизациях начал появляться порядок в структурах, документах, сетях. Админы узнали как проходят сети. Появились схемы сети. И не надо приводить частные случаи как у конкретно кого-то хорошо было и до этого. В общей массе множество плюсов.
    Тот же Secret Net даже без плат появился.
    Про ТК - о балансе интересов, в частности. :)
    ZZubra

    ОтветитьУдалить
  41. Анонимный15.7.11

    схемы связи - ошибся в запале :(
    ZZubra

    ОтветитьУдалить
  42. http://vkontakte.ru/note88923768_11279699

    ОтветитьУдалить
  43. Анонимный16.7.11

    Хотелось бы сделать небольшое уточнение. Вы пишете насчёт того, что основная масса утечек ПДн идёт из госструктур. Отчасти это верно, однако я также встречал на рынках базы отнюдь не государственных крупных операторов связи, в т.ч. сотовой. Отсюда можно сделать такой вывод: чем больше в БД информации по субъектам ПДн, тем серьёзнее требуется защита данных, вне зависимости от того, государственный оператор или нет. Базы на малое количество субъектов, по-видимому, мало кому интересны.

    С остальным написанным Вами, Алексей, согласен полностью.

    ОтветитьУдалить
  44. >Отчасти это верно, однако я также встречал на рынках базы отнюдь не государственных крупных операторов связи, в т.ч. сотовой.

    Естественно бывают такие случаи - http://personal-data.livejournal.com/128082.html
    Но внимательно посмотрите действительно ли цели определяют состовые операторы и другие операторы связи - http://personal-data.livejournal.com/115505.html

    ОтветитьУдалить
  45. Анонимный17.7.11

    toparenko, спасибо за интересную ссылку. Я и не знал про это.

    ОтветитьУдалить