суббота, 16 июля 2011 г.

Мухи и котлеты


В прошлый раз я выступал с невысокого и трухлявого пенька гражданина РФ, коим по великому счастью мне доводится являться. Нынче попробую порассуждать в качестве доцента кафедры Череповецкого государственного университета. Следя за комментариями различных (хороших) специалистов, волею судеб представляющими разные стороны в противоборстве, можно выделить несколько основных проблем, перемешавшихся между собой до такой степени, что пора уже приглашать Геракла и чистить авгиевы конюшни.

Первая проблема, имя которой - коррупция, имеет глубокие исторические корни и национальные особенности, благодаря чему поразила практически весь государственный аппарат словно раковая опухоль. От нее не спрятаться, не скрыться, через зараженные государственные и муниципальные учреждения она проникла во все отрасли экономики, в том числе такие специфические, как защита информации. И в этих отраслях стали появляться метастазы в виде организаций-"прокладок", выполняющих функции, навязанные отечественным законодательством которое, в свою очередь, пролоббированно структурами, так или иначе владеющими такими "прокладками". Эти функции зачастую важны и нужны, но вот качество их выполнения "прокладками" оставляет желать много лучшего, ибо смысл их существования проистекает от породившей их опухоли - все той же коррупции.

Именно по этой причине у большинства граждан любые обязательные требования, навязанные государством, имеют такое большое противление. В нашей стране купить можно любой документ, не поддельный - а самый настоящий, у тех, кто официально его выдает. Такая ситуация происходит потому, что государство, установив требования, обязав всех их выполнять и регулярно проверяя их соблюдение, тем не менее, не несет никакой ответственности. Нет, бывают конечно исключения - но они происходят только потому, что государство добровольно соглашается ее на себя взять. Так было и с "Хромой лошадью", и с "Булгарией", и с некоторыми другими подобными случаями. Тяжело об этом говорить, но здесь сыграла роль массовость трагедий. Ну и конечно, опыт показывает, что больше всех остальных "ни за что не отвечают" т.н. "силовые" ведомства и люди, имеющие с ними хорошие отношения - достаточно вспомнить дело майора Евсюкова или ДТП на Ленинском проспекте.

К чему я распинаюсь об очевидных вещах? Да все к тому же - к обязательным требованиям и оценке соответствия средств защиты. Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль.

Вторая проблема проистекает из первой, и заключается она в подмене целей. Об это я уже писал, но сейчас речь пойдет о другом. Для того, чтобы регулировать безопасность дорожного движения, нужны дороги и транспорт. К счастью, люди ходят пешком и ездят на общественном транспорте, а те, что любят комфорт, сами с охотой покупают машины. Поэтому для того, чтобы создать питательную среду для раковой опухоли, никаких особых усилий предпринимать не нужно.

С защитой информации дело обстоит куда сложнее: информация есть везде, кто хочет - тот защищает, но таких до недавнего времени было очень мало и недостаточно для создания питательной среды. С государственными структурами тоже все было не так просто: бюджет хоть и был, но не резиновый, и какие-либо веские основания  расходования его на защиту информации в огромной массе бюджетных учреждений, в лучшем случае обрабатывавших ДСП, отсутствовали.

Именно поэтому до определенного времени специалисты по защите информации, как увольнявшиеся с государственной службы, так и в некотором количестве выпускавшиеся из российских ВУЗов, были не так востребованы, и предложение превышало спрос. Рынок ИБ ориентировался на "частный сектор", подогреваемый вирусописателями, и крупные компании, работавшие с зарубежными партнерами. Поэтому специалистам зачастую приходилось работать совсем не там и заниматься не тем, что они умели делать и чему их учили. Так было до того времени, пока не приняли 152-ФЗ.

Я не знаю, насколько те, кто "протаскивал" нынешние поправки, хорошо справляются со своими должностными обязанностями - не мне судить. Но в том, что они прекрасные бизнесмены с великолепным стратегическим мышлением, я готов расписаться! Умело подменив защиту ПРАВ и СВОБОД "человека и гражданина при обработке его ПДн" защитой ДАННЫХ, они создали поистине огромный по масштабам, перспективный и гарантирующий стабильный доход рынок и труда, и услуг, и оборудования. И рынок этот, благодаря своим размерам, создает ну очень плодородную почву для раковой опухоли.

И что в этом такого - спросите вы, - ты что, Волков, идиот? Это же очень хорошо, прежде всего - для тебя, потому что не надо обосновывать свое существование в компании, где ты работаешь, не надо обосновывать затраты, да и студенты твои будут гарантированно трудоустроены! Это же БЛАГОДАТЬ!!!

Так-то оно так, господа. Да только цель закона - ИНАЯ. Я безусловно согласен с тем, что в России зачастую очень тяжко приходится ИБ-шнику, прежде всего потому, что приходится быть кем угодно, но не самим собой. Таковы уж особенности малого и среднего российского бизнеса: произвел (или украл), продал, купил, еще продал, свалил, открыл что-то новое. Причины - все та же раковая опухоль. Кому в этих условиях есть дело до ИБ? Но я категорически против того, чтобы решать проблему отношения к ИБ в России, подменяя и в конечном счете не решая другую, более глобальную и важную - защиту ПРАВ и СВОБОД субъектов тех самых злосчастных ПДн, и за их собственный счет.

115 комментариев :

  1. Алексей Х16.7.11

    Есть разница между краткосрочными и долгосрочными интересами – я вот нашёл работу благодаря ФЗ–152, но я понимаю что это не вечно – со временем работодатели просекут что эта «защита» неоправданна по затратам, и проще заложить риск штрафа или взятки, чем париться с труднореализуемыми требованиями и наймом специалистов по как бы «защите информации», а законодательных рисков у СМБ всегда хватает.

    ФЗ–152 дискредитирует защиту информации в долгосрочной перспективе.

    Поэтому в интересах безопасников сделать ФЗ–152 работающим и адекватным.

    ОтветитьУдалить
  2. Анонимный17.7.11

    Алексей, Вы все время начинаете говорить об этом законопроекте с прав и свобод человека, а потом эти права и свободы трансформируются непонятным мне способом в трудности для операторов и сертифицированные средства защиты. Давайте, все-таки, отделять мухи от котлет.
    Мне, как гражданину, совершенно наплевать на то, как будут защищать ПДн, и кто будет устанавливать требования к их защите. Самое главное, чтоб защищали, а если не смогли - несли ответственность. А этого (установления ответственности) не было заложено ни в прошлых законопроектах, ни в принятом СФ. То, что операторы могут переложить затраты на защиту ПДн на потребителей, так они могут и изменения геомагнитного фона использовать, как повод поднять цену. То, что 152-ФЗ плох, и принятые СФ поправки его не улучшают - с этим согласен, только для людей, не имеющих отношения к ИБ, они ничего, по-моему, не меняют. Подмена защиты "прав и свобод" на "данные" здесь тоже не критична (для субъекта ПДн, а не оператора).
    Дмитрий

    ОтветитьУдалить
  3. Дмитрий прав: знаешь, как это выглядит? Как если бы предприятия общепита стали жаловаться, что мытье котлов и рук поваров потребует закупки моющих средств, которые придется в стоимость блюд включить.

    ОтветитьУдалить
  4. Ригелю: мытье котлов и рук поваров и так включается в стоимость блюд. Но вот приходит санэпиднадзор, и вместо антибактериального мыла и фейри нужно прикупить 16 посудомоечных машин и автоматических сушек определенной марки и у определенной конторы, нанять четырех сертифицированных мойщиков и выполнить требования СЭС "ставить пометку о помывке каждые 4,5 минуты". Причем сделать это нужно всем - и кафе на 12 столиков, и трехэтажному ресторану люкс. А итог - один:

    - Эй, официант, почему тарелки грязные? Я не буду платить за обед!
    - Неправда. Вот помывочная ведомость, вот акт освидетельствования посудомоечных машин, вот сертификаты и лицензии. Так что платите по счету или отправитесь в кутузку.
    - А почему блюдо стоит 500 рублей, а в счете 1500?
    - Это за мытье посуды.
    - Но тарелка ГРЯЗНАЯ!
    - Пишите жалобу, рассмотрим через 30 дней. А пока платите и выметайтесь.

    А должно быть наоборот, правда? И на жалобу клиента официант должен ПО ЗАКОНУ тут же заменить блюда и сказать "извините, обед - за счет заведения". А компенсировать его стоимость должны как раз те, кто плохо помыл тарелку.

    ОтветитьУдалить
  5. Анонимный18.7.11

    И после этого Вы говорите, что мы неправильно применяем крайние варианты :)
    Вы уж простите, но какие объективные предпосылки есть у Вас предполагать, что тарелка будет грязной? Я вот когда в армии служил видел оба варианта мытья. ВСЕГДА автомат лучше мыл.
    А вариант выпуска халтуры в ограниченном поле производителей всегда проще пресечь. Как минимум из-за репутационных соображений - все в руках заказчика.
    Или может у Вас есть конкретные претензии к конкретным производителям СЗИ? Так давайте их также общенародно обсудим и посмотрим на результат. Я всеми конечностями ЗА!
    ZZubra

    ОтветитьУдалить
  6. >Или может у Вас есть конкретные претензии к конкретным производителям СЗИ?

    Не подскажете чем отличаются сертифицированные и несертифицированные форточки, ALT Linux, Mandriva, RHE/МСВСфера кроме добавочной стоимости на сертифицированность конкретного дистрибутива?

    ОтветитьУдалить
  7. Коллеги, с т.з. сторонника нового закона - речь об обязательной сертификации не идет - подтверждение соответствия. То, что нет техрегламентов и декларировать соответствие невозможно - скромно помолчим. Закон о техрегулировании действует только в интересах регуляторов и "прокладок". Гладко было на бумаге, да забыли про овраги. Со 152 аналогично, и не только с ним. Месяц - два назад ГД приняла в 1 чтении О внесении изменений в ФЗ О пртиводействии терроризму в части технической укрепленности. Так вот все и ЮЛ, и ФЛ обязаны будут технически укрепить свои объекты (здания, помещения) в соответствии с требованиями, которые установит правительство. Ничего не напоминает?

    ОтветитьУдалить
  8. > какие объективные предпосылки есть у Вас предполагать, что тарелка будет грязной?

    Когда Я в армии служил, тарелки в армейской (и солдатской, и офицерской) столовке ВСЕГДА были грязнее тех, что приносили в частной кафешке. И тем более тех, что были дома. А дома я сам их мыл.

    > ВСЕГДА автомат лучше мыл.

    Кафе существует не для того, чтобы мыть тарелки. И не для того, чтобы кормить население (как в советские времена). А для того, чтобы получать прибыль. И владелец должен решать, КАК ему дешевле обеспечить требование закона обеспечить чистоту тарелок.

    > Или может у Вас есть конкретные претензии к конкретным производителям СЗИ?

    Давайте обсудим. Вот здесь - про те самые сертифицированные "автоматы": http://anvolkov.blogspot.com/2010/09/devicelock.html

    ОтветитьУдалить
  9. Алексею Х: этим мы и занимаемся, кто как моГет :))

    Дмитрию: но ведь за 5 лет можно было что-то изменить в лучшую сторону, правда? А на деле получается не прогресс, а регресс, так как даже топтание на месте это одно из его проявлений.

    ОтветитьУдалить
  10. Анонимный18.7.11

    Не, ну так не честно!
    Про тарелки: я вам сравниваю два способа, а Вы мне про то, что дома лучше моют. Я лично для себя тарелку мыл и такую же мыл автомат. Разницы не было.
    Про СЗИ: стоимость диска с наклейкой несколько сотен рублей, и использовать его можно неограниченное количество раз, вернее столько, сколько Вы купили лицензий (а это уже из другой оперы).
    Про "владелец должен сам решить": катастрофы случились именно по этому принципу, а вообще, такой подход ведет к неограниченному росту нагрузки на суды, что влечет еще большее снижение качества их работы. Можно и так. Только надо сначала судей набрать.
    ZZubra

    ОтветитьУдалить
  11. > я вам сравниваю два способа, а Вы мне про то, что дома лучше моют.

    А это субъективизм ИБО любая хозяйка скажет, что посудомойка для лентяев :)

    > стоимость диска с наклейкой несколько сотен рублей

    Да что Вы? Лицензия DeviceLock обычная 900 р, сертифицированная - 1900 р. Одна лицензия - один экземпляр. А разницы нет НИКАКОЙ. Давайте про него и порассуждаем, я Вам ссылочку выше дал, а Вы чего-то молчите да тарелками в меня тыкаете. Это не честно :))

    ОтветитьУдалить
  12. >ZZubra
    У меня всего 10 тарелок, зачем мне автомат?
    Про СЗИ: стоимость 1 МЭ сотня - другая Круб.
    Чем хуже более поздняя версия антивира одного и того же вендора не имеющая сертификата?

    ОтветитьУдалить
  13. Анонимный18.7.11

    Про посудомойки. Есть еще у посудомоечника болезни: микробы/вирусы. Он их на тарелочки может пускать. И не видно их. А автомат по-любому объективно моет.

    Девайслок я вообще его за СЗИ не считаю ))))) И не советую никому. И отговариваю )))) И пост этот Ваш я отлично помню. Чего мне его перечитывать))) Вы скажите, только честно! есть результат/реакция от производителя?
    Вот Secret Net - диск 300р, ViPNet - 300р (примерно). А стоимость лицензий не различается, потому как нет не сертифицированных ))))

    Я тут давеча фильм по виасат смотрел. Про краны-строительство. Так представляете, у них на башенных кранах нельзя работать если гроза в радиусе 5 км. Или ветер более 60 км/ч. И запрет этот установлен не как рекомендация производителя крана, а как федеральный закон (стандарт). Обязательный к исполнению всеми.
    ZZubra

    ОтветитьУдалить
  14. >>Мне, как гражданину, совершенно наплевать на то, как будут защищать ПДн, и кто будет устанавливать требования к их защите. Самое главное, чтоб защищали, а если не смогли - несли ответственность. А этого (установления ответственности) не было заложено ни в прошлых законопроектах, ни в принятом СФ.

    Совершенно согласен.. Потому и нужно ввести существенную ответственность за утечки, а указание на то какими средствами защищать - убрать. Все будут защищать и думать об том КАК лучше это сделать, если будут знать , что этот риск существенен. Это если с точки зрения логики.
    Но у нас в стране ведь основное - это борьба интересов и сфер влияния.. Потому тут логики ждать не приходится(

    ОтветитьУдалить
  15. Анонимный18.7.11

    Сергею:
    я Вам про системный подход, а Вы про исполнение - ну как связан может быть принципиально ФЕДЕРАЛЬНЫЙ ЗАКОН и порядок проведения сертификации? Это разного уровня задачи! Вы хотели все увидеть в ФЗ - Вы это получили. Очень ведь просили.
    ZZubra

    ОтветитьУдалить
  16. >>Вот Secret Net - диск 300р, ViPNet - 300р(примерно). А стоимость лицензий не различается, потому как нет не сертифицированных

    Тут нет не сертифицированных. Но этим то требования не ограничиваются! Как быть с виндусами и прочили линуксами, МЭ, антивирусами и прочим?
    И.. таки чем все-таки отличаются сертифицированные и несертифицированные форточки, ALT Linux, Mandriva, RHE/МСВСфера кроме добавочной стоимости на сертифицированность конкретного дистрибутива? )

    ОтветитьУдалить
  17. Анонимный18.7.11

    Тайгеру:
    Если Вы говорить о защите прав человека, то не надо говорить об наказании за утечки, а надо говорить о наказании за нарушение прав человека!

    Вчера на одном из каналов было интервью с Хокомадой и командой "Правых сил". Так вот Хокомада очень четко сказала почему на выборах пролетела партия, в которую она входила. Они тоже сделали ставку на то,что "люди уже достигли такого уровня, когда выбор они делают логично, разумно и прагматично (и так далее). А оказалось, что народ ..." (тут она просто замялась).
    Вы повторяете ошибки. Ориентироваться надо не на себя (хотя и Вы скорее всего на месте директора /хозяина будете по-другому рассуждать) а на основную массу наших граждан.
    ZZubra

    ОтветитьУдалить
  18. >я Вам про системный подход
    Вот именно - закон должен установить СИСТЕМУ безопасности ПДн, а не методы, средства и способы. И начинать надо с нормальных определений, без всяких "косвенно", "а также".

    ОтветитьУдалить
  19. Анонимный18.7.11

    Сертификация дистрибутива Windows - ну 5 тыщ. рублей. Нужен 1. Его стоимость сопоставима со стоимостью лицензий или меньше их.
    Линуксы - все зависит от жадности производителя дистрибутива. От рынка и конкуренции на нем.
    Насчет отличий - а чем докажите, что они одинаковые???? Интерфейсом?
    ZZubra

    ОтветитьУдалить
  20. Анонимный18.7.11

    Сергею:
    Закон не должен устанавливать методы и способы. И СЕЙЧАС ОН ЭТОГО НЕ ДЕЛАЕТ!!!! Зачем и кому надо было это менять? Совершенно адекватная реакция на попытку внесения методов и способов в ФЗ. Вы пробили что это надо сделать, регуляторы с Вами согласились и внесли требования. Кто теперь виноват?
    ZZubra

    ОтветитьУдалить
  21. ZZubra:

    > то не надо говорить об наказании за утечки, а надо говорить о наказании за нарушение прав человека!

    Вообще-то мы все об этом и талдычим. И про то, что наказывать нужно рублем и за реальный ущерб, и про то, что "утечка" и "ущерб" - это разные вещи, далеко не всегда друг за другом следующие. А Вы (как и регуляторы) говорите про то, что наказывать нужно за непринятие мер по предотвращению утечек.

    > Девайслок я вообще его за СЗИ не считаю

    А регуляторы иного мнения. И операторы, видя сертификат, его спокойно покупают. А как он работает - да пофиг всем. Есть бумажка что это сертифицированное СЗИ.

    > а как федеральный закон (стандарт). Обязательный к исполнению всеми.

    Понимаю, и у нас - то же самое. И я полностью ЗА, так как прекрасно могу просчитать ущерб от его падения и понимаю, что человеческие жертвы будут неизбежны. Но просчитать то же самое в отношении ПДн не может никто.

    ОтветитьУдалить
  22. У сильного всегда бессильный виноват...
    Это оказывается мы пробили?
    Совершенно адекватная реакция на попытку слегка прикрыть кормушку!

    ОтветитьУдалить
  23. > Вы пробили что это надо сделать, регуляторы с Вами согласились и внесли требования.

    Я вообще ничего не понял - ZZubra, WTF?

    ОтветитьУдалить
  24. Анонимный18.7.11

    Во как. Так ведь за нарушение прав человека,связанных с персональными данными наказания есть. Вот только, чтобы возбудили дело (любое) надо, чтобы человек пожаловался. Если люди будут жаловаться на не защиту - Вы получите еще худшую ситуацию для бизнеса. Тут регуляторы защищают бизнес от дос атаки граждан. И незащита и уже случившийся факт - это одного поля нарушения. Да еще и легко переходящее в массовое.

    Девайслок - так надо идти к интеграторам ))))) те и расскажут. И смоделируют, прежде чем на реальную систему накладывать. И посты читают. И вообще в теме. ))))

    Ущерб от падения тоже не может предсказать никто! И подсчитать. Сколько людей погибнет? Предскажите. Правовое поле одно - а как лишился жизни: под краном или от руки черного риэлтора - последствия одинаковы.

    ZZubra

    ОтветитьУдалить
  25. Анонимный18.7.11

    Господа, которые ратуют за наказание только по факту утечек, объясните такую ситуацию. Вот пошли вы на рынок, купли диск с базами или скачали на торрентах, а там все про вас нарисовано, вся ваша подноготная. Но, база данных эта не называется пенсионный фонд или ГИБДД, а называется, например, "Все про всех". Как вы будете искать откуда все это утекло? Кого вы заставите выплачивать ущерб?

    ОтветитьУдалить
  26. Анонимный18.7.11

    Участвовали ли Вы в общественных слушаньях? Писали ли посты? Комментарии к ним? с целью изменения ФЗ, а не подзаконных актов. Результаты:
    1. Конкретные требования должны быть внесены непосредственно в ФЗ.
    2. Вносимые требования по мнению сообщества должны быть следующие {первая редакция}.
    Итог: по первому пункту согласились. По второму внесли изменения.
    ZZubra

    ОтветитьУдалить
  27. А были общественные слушанья???
    Вы, батенька, с луны свалились?

    ОтветитьУдалить
  28. > Ущерб от падения тоже не может предсказать никто! И подсчитать.

    Грубо: берем стоимость имущества в окружности падения и общее количество людей, вычисляем площадь, которую займет упавший кран, делим - вот и ущерб.

    > Так ведь за нарушение прав человека,связанных с персональными данными наказания есть.

    Штаф 2 тысячи за невыполнение "бумажных" и 20 за невыполнение "железных" требований?

    > И незащита и уже случившийся факт - это одного поля нарушения.

    Вот - пожаловались и проверили. Результат - 0. http://anvolkov.blogspot.com/2011/05/blog-post_25.html

    ОтветитьУдалить
  29. ZZubra: да, чего-то Вы со слушаниями маху дали. Сайт общественных слушаний лично збацал Ю.В.Травкин, и результаты этих слушаний попросту "задвинули".

    ОтветитьУдалить
  30. Анонимный18.7.11

    Сергей:
    Будьте вежливы.
    А разве не было общественных слушаний??? Разве не те же кто их проводил были экспертами по внесению первых изменений? Разве не после общественных слушаний и на их основании готовился законопроект Резником?

    Алексей:
    Грубо - вокруг стройплощадка пустая или детский садик полный малышей. Не хило Вы ущерб определяете. Только не говорите, что НАДО ЗАРАНЕЕ ЗАПРЕТИТЬ расположение садика с краном. Это ж должен сам главный строитель догадаться.

    Э нет. Про тыщи - ситуации не предсказуемы. Есть право. Дисретное. Хотите не дискретные состояния - надо на много лет в будущее перенестись. Когда в головах людей компы будут, чтобы могли такое количество параметров обрабатывать.

    Насчет пожаловались и результатов. Ваш же пример с машинами на ленинском. Теперь решение конституционного суда есть. Теперь будем смотреть на результат самого ДТП.

    ZZubra

    ОтветитьУдалить
  31. Анонимный18.7.11

    Про слушанья. Ничего его не задвинули. Взяли оттуда всякие обоснования дороговизны. То что не взяли целиком, не значит, что они не оказали влияния на ситуацию в целом.
    ZZubra

    ОтветитьУдалить
  32. > Кого вы заставите выплачивать ущерб?

    Во-первых, УЩЕРБ возникает не тогда, когда ваши данные попадают в открытый доступ, а тогда, когда кто-то ими пользуется Вам во вред. Именно поэтому в закон необходимо внести обязанность ЛЮБОГО оператора НЕМЕДЛЕННО информировать субъектов об утечке, обязанности КОМПЕНСИРОВАТЬ возможные затраты субъектов на проведение мероприятий по предотвращению возможного ущерба и прописать суровую ответственность за неисполнение этих пунктов.

    Кроме того, сама по себе открытая продажа таких баз - это нонсенс, именно пресечением такой деятельности должны заниматься правоохранители, на ПОСТОЯННОЙ основе, а не разовые акции. почему они этого не делают - понятно: им это выгодно, так как именно это способствует внедрению средств и мер. Вы действительно надеетесь, что после их реализации базы данных исчезнут?

    ОтветитьУдалить
  33. > Теперь будем смотреть на результат самого ДТП.

    Это ЕДИНИЧНЫЙ случай, получивший широкую огласку. А сколько таких, не получивших? Лично я знаю штук 10.

    > Не хило Вы ущерб определяете.

    Кран высокий, падает далеко за пределы площадки. Не понял мысль - чем метод не понравился?

    > Взяли оттуда всякие обоснования дороговизны.

    И закон, и поправки - разрабатывались кулуарно. так же кулуарно были подменены. Этого вполне достаточно, чтобы наплевать на любые слушания.

    ОтветитьУдалить
  34. Есть поручение президента: Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

    Вы считаете, что закон соответствует требованиям Конвенции, я - нет, вы считаете обременения операторов обоснованными - я нет. Прочитайте поручение: УСТРАНЕНИЕ обременений. В новом законе речи об устранении (по сравнению с предыдущим) не идет - новые обременения.

    ОтветитьУдалить
  35. Анонимный18.7.11

    Алексей, а кому выгодно? МВД? ФСБ??? Да им это сто лет не сдалось! ФСБ огромный механизм. Работнику УФСБ даже Москвы эти персональные данные поперек горла. А количество тех, кто придумывает требования не сопоставимо со всем аппаратом. Да и не знаете Вы истинных мотивов этих людей. Чем черт не шутит, может они лично Вам сейчас жизнь спасли? Вот Вы лично видя на рынке диск, как гражданин, звоните в милицию?

    А представьте реализацию предложенного Вами механизма. С учетом честности хозяина банка (допустим), реальных технических возможностей доказательства вины-утечки и т.д. И не окажутся ли затраты на компенсацию выше затрат на СЗИ?

    ZZubra

    ОтветитьУдалить
  36. Анонимный18.7.11

    Кран может упасть на детский садик, детскую больницу. Как вы реальный ущерб считать будете?

    ДТП - а результат теперь для ВСЕХ! а не для конкретного случая.

    Слушанья - это механизм влияния общественного мнения, в том числе необходимой группы кулуарщиков.

    Обременения: я пока не достиг такого уровня нирваны, чтобы читать мысли президента и точно понять, что он понимал под обременениями. Может быть не то что понимаете Вы? ;)

    ZZubra

    ОтветитьУдалить
  37. > Вот Вы лично видя на рынке диск, как гражданин, звоните в милицию?

    Два года назад я проводил эксперимент. В Москве на Савеловском я подошел к милиционеру и обратил внимание на то, что в лотках базы данных продаются. Знаете какой был ответ? "Ну у него же есть разрешение на торговлю". ВСЕ!

    > И не окажутся ли затраты на компенсацию выше затрат на СЗИ?

    ZZubra, я еще раз повторю: цель закона - обеспечить защиту ПРАВ субъектов. Обеспечить защиту ДАННЫХ - дело оператора. И именно в такой прадигме закон должен выступать. И поэтому задача владельца БАНКА решать, как ему эти данные защищать и что для него будет дешевле - защищать или компенсировать. ВОТ как нужно бизнес мотивировать. Обязаловкой все тупо забьют, учитывая штрафы.

    ОтветитьУдалить
  38. Не важно, что он понимал под обременениями.
    Важно:
    1. Обременения есть.
    2. Нужно оценить их обоснованность.
    3. Устранить необоснованные.

    В результате - обременения увеличены, цитировать пол закона не буду.

    ОтветитьУдалить
  39. > Кран может упасть на детский садик, детскую больницу. Как вы реальный ущерб считать будете?

    Помимо моральной стороны такой огромной трагедии (горе от нее не посчитать), есть статистическая, четко выражающаяся в денежном выражении. Количество погибших, стоимость компенсации родственникам и стоимость восстановительных работ.

    > может они лично Вам сейчас жизнь спасли?

    Спасибо им за это, в таком случае.

    ZZubra, мы можем долго тут базарить - но ни Вы меня, ни я Вас, не переубедим. Это нормально. Если закон примут и Вы и Ригель окажетесь правы, и в подзаконниках действительно напишут что-то разумное - я сказал, что съем шляпу Лукацкого (если он разрешит). Но я в это НЕ ВЕРЮ. Зато я совершенно точно ЗНАЮ, что можно обеспечить защиту ПДн ДРУГИМИ средствами и методами, не теми. что написаны сейчас в законе.

    И совершенно точно знаю, что закон не соответствует ЦЕЛИ, поскольку не обеспечивает соблюдение ПРАВ субъекта - прежде всего права на получение ДОЛЖНОЙ компенсации ущерба. В таком виде его нужно было называть "Закон о защите ПДн", и не говорить о том, что он соответствует Конвенции, а разрабатывать дополнительные законодательные акты.

    ОтветитьУдалить
  40. Анонимный18.7.11

    Данный вопрос находился вне компетенции постового. Надо звонить в отдел К, прокуратуру, роскомнадзор. Сами же знаете.

    Да нету в действующем законе требований по защите!!! Кому закон не нравился???? В нем же именно так как Вы и хотите. Защищаются именно права.

    Обременения: так на мой взгляд текст изменился. Кажется в новой редакции очень все просто стало и нет теперь, например, обременения фирме из 3 человек разрабатывать и согласовывать стандарт для своей фирмы :) Реально меньше обременений! в тупую купил поставил и забыл. А то возись, время от основной деятельности отнимай )))))

    ZZubra

    ОтветитьУдалить
  41. Вот же вы заладили! Да нет обременений, покуда ПП о зависимости уровней от деятельности нет. Нечего сравнивать с эталоном обоснованности.

    ОтветитьУдалить
  42. >в тупую купил поставил и забыл
    а денег нет, забил.

    ОтветитьУдалить
  43. Анонимный18.7.11

    Алексей, все постоянно говорят о куррупционной составляющей 152 закона. Объясните, каким образом лоббисты, руководство ФСТЭК и ФСБ получат свой "процент с продаж". Допустим, стоимость защиты отдельно взятого предприятия в городе не миллионнике 1 млн. р. Каким образом и в каком количестве деньги попадут в карман корумпированного чиновника в Москве?

    Не кажется ли Вам, что тут большой интерес производителей так называемых СЗИ. Продукция их явно проигрывает зарубежным аналогам по всем показателям в т.ч. по защите и стоимости. Нас вынуждают покупать оборудование "коленочного производства" в разы дороже и с множеством довесков. У любого грамотоного ITшника подобные решения вызывают только ярко выраженный рвотный рефлекс. Вот тут и нашлось кому заставлять "хавать".

    И последняя мысль. Сообщество безопасников выразило несогласие и озабоченность новыми поправками. Почему не было подобной реакции в 2006, 2008? Что так называемое сообщество предложило в качестве альтернативы? Обсуждение в блогах - это не альтернатива.

    ОтветитьУдалить
  44. Анонимный18.7.11

    Алексей!
    0. Кран - по информационным воздействиям тоже есть методики. статистические и вероятностные. Надо чтобы в ВУЗах их по-изучали (кандидатские).
    1. Мы тут с Вами не спорим. Мы для общества показываем различные подходы к освещению проблемы. По крайне мере у меня такая мотивация :)
    2. Точно Вы не можете знать. Это только лично Ваша модель восприятия. Объективная реальность может отличаться.
    ZZubra

    ОтветитьУдалить
  45. > В нем же именно так как Вы и хотите.

    Я хотел как было ДО подмены.

    > Защищаются именно права.

    Права НЕ защищаются - ткните хоть в одно место, где о правах написано? Я Вам про право субъекта на компенсацию ущерба говорю, Вы мне про право субъекта на защиту данных. Разные вещи.

    > Да нет обременений, покуда ПП о зависимости уровней от деятельности нет.

    С учетом двоякого толкования 18 и 19, я бы сказал что не все так просто. Однако вопрос двоякости - вопрос юридический, поэтому действительно нужно подождать ПП и все встанет на свои места.

    ОтветитьУдалить
  46. Анонимный18.7.11

    Сергей: А сколько у нас маленьких фирм? В большинстве - проще купил и забыл. Больших много меньше )))

    Производители СЗИ, на мой взгляд, тоже в стороне ))) Просто сейчас им повезло. Рынок то открытый. За 2 года неизменных требований производителей сертифицированных по ФСТЭК СЗИ будут десятки и сотни. Главное коммерческий интерес у рынка должен появиться )))

    ZZubra

    ОтветитьУдалить
  47. Анонимный18.7.11

    Алексей, цитирую:

    Статья 17. Право на обжалование действий или бездействия оператора

    1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    Вы хотите сказать, что этого нет??? ;)

    ZZubra

    ОтветитьУдалить
  48. > тоже есть методики. статистические и вероятностные.

    Есть. В частности PIA, мы по ней статью писали. И что - Вы хотите сказать, что что-нибудь из таких методик заложено в 152? Нет, нету там этого. остается ждать ПП про "уровни", но и там сто пудов не будет.

    > Мы для общества показываем различные подходы к освещению проблемы.

    Ну так о том и речь. Мы с коллегами выступаем за "мотивационно-наказательный" подход, как в цивилизованном мире, Вы - за регламентирующе-контролирующий, как в России. Это нормально.

    > Точно Вы не можете знать.

    Да ладно - я же не один. Или Вы хотите сказать, что мы все "больны"? включая Травкина, который тоже подписался и говорит то же самое?

    ОтветитьУдалить
  49. Маленькие фирмы и будут забивать, они просто не в состоянии купить, нет у них таких денег, а ценность ПДн 3-10 ее сотрудников весьма сомнительна, и защитить их можно значительно дешевле. Скажите, сколько парикмахерских было проверено регуляторами?

    ОтветитьУдалить
  50. Анонимный18.7.11

    Алексей, Вы уж простите, но тут я уже не как "системщик", а как человек (существо эмоциональное, по своей природе), очень хотел бы услышать от Вас ответ на последний мой комментарий.

    В ФЗ не должно быть методик!!!

    Мотивационно-наказательный не исключает регламентирующе-контролирующий, как и наоборот. Я как раз за серединный подход )))

    Травкин в своих комментариях устранился от письма ))))

    ZZubra

    ОтветитьУдалить
  51. > Обсуждение в блогах - это не альтернатива.

    http://www.pcweek.ru/ecm/blog/ecm/1382.php#4688

    ОтветитьУдалить
  52. Анонимный18.7.11

    Сергей, в нашем ЖЕКе 4 человека )))), а исполнение законодательства это совершенно иная плоскость. В противном случае Вы должны приложить все усилия для написания такого уголовного кодекса, по которому нарушений бы небыло. А то и его не исполняют некоторые маргинальные граждане )))
    ZZubra

    ОтветитьУдалить
  53. > субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных

    Я вам ссылку выше давал - вот, обжаловал, и что?

    > Вы хотите сказать, что этого нет??? ;)

    А Вы хотите сказать, что это достаточно? Вы читали европейское законодательство? И что субъекту делать, если оператор, допустивший утечку, придет и скажет, что у него все выполнено в соответствии с требованиями, и что его проверяли и все у него ОК? И какую сумму субъект получит и как ее суду определить?

    ОтветитьУдалить
  54. > Травкин в своих комментариях устранился от письма

    http://lukatsky.blogspot.com/2011/07/152.html#comment-326977188708691944

    ОтветитьУдалить
  55. Анонимный18.7.11

    Если этого не достаточно, то менять надо ВСЕ законодательство!!! ВСЕ и СРАЗУ!!! Проще страну поменять )))))

    Если выполнив все обязательные требования (направленные на 90% реально существующих угроз с плохой реализацией) оператор хочет обезопасить свой бизнес от специалистов, например, супер-хакеров, бог ему в помощь - пусть ставит сверх все, что захочет!

    Травкин ПОТОМ сказал, что походу цели у написантов письма оказались иные. У него на сайте и в Правоприменении.

    ZZubra

    ОтветитьУдалить
  56. Анонимный18.7.11

    Кстати как суду поступить - он сам знает. Попробуйте скажите ему, что он некомпетентен. Даже просто методиками Вас реально размажут (простите).

    ZZubra

    ОтветитьУдалить
  57. Если этого не достаточно, то менять надо ВСЕ законодательство!!!

    Именно поэтому и надо было прописать все что касается субъекта и его прав в законе, а не ограничиваться тем, что Вы указали.

    > направленные на 90% реально существующих угроз с плохой реализацией

    Инсайд?

    > У него на сайте и в Правоприменении.

    Он принимал участие в подготовительных мероприятиях к письму и является членом ДАТУМ ;). Просто у него позиция такая же, как у Ригеля - добиваться внесение изменений в подзаконники. Лично я не вижу никаких способов "влезть" в эту кухню.

    ОтветитьУдалить
  58. > Даже просто методиками Вас реально размажут (простите)

    Ну, ну, не горячитесь. В судах бывали - знаем.

    ОтветитьУдалить
  59. Анонимный18.7.11

    Э нет! Если у Вас нет возможности поменять ВСЕ (даже поэтапно и ли иными системными методами), то ни в коем случае НЕЛЬЗЯ вносить дисбаланс в существующее законодательство! ОЧЕНЬ плохо кончится.

    Вы опять про исполнение! Придите на прием к председателю любого областного суда и поговорите на тему методик. Очень удивитесь.

    Вот именно! Травкин в НАШЕЙ команде ))))))

    ZZubra

    ОтветитьУдалить
  60. ZZubra, я так и не понял, в чьей Вы команде, и что эта ваша "команда" может, кроме того, что чесать языками в каментах :)))) Влезть в подготовку подзаконников? Если да - то берите и меня тогда, я с Вами. А нет - так все это, увы, пустое.

    ОтветитьУдалить
  61. > В нем же именно так как Вы и хотите.

    >>Я хотел как было ДО подмены.

    На всякий случай - то что бы хотели отлично изложено тут http://bankir.ru/dom/showthread.php?t=107933&p=2874419&viewfull=1#post2874419

    ОтветитьУдалить
  62. Закон еще не подписан. Решать проблемы будем по мере поступления. А в случае подписания его ждет судьба действующего закона: сначала ждем подзаконные акты правительства и регуляторов, потом, ессесно, не успеваем до 01.01.2013 привести в соответствие, сроки сдвигаются, а там и до новых изменений доживем (вспомните хаджу Насреддина).

    ОтветитьУдалить
  63. > не успеваем до 01.01.2013 привести в соответствие

    В законе нет такой нормы теперь. Есть "отправить уведомление", но не как раньше "информационные системы должны быть ..."

    ОтветитьУдалить
  64. Анонимный18.7.11

    >Во-первых, УЩЕРБ возникает не тогда, когда ваши данные попадают в открытый доступ, а тогда, когда кто-то ими пользуется Вам во вред....

    При всем уважении, автор забыл что т.н. УЩЕРБ в соответствии с ГПК РФ надо доказывать.
    А какой ущерб-то имеется ввиду: материальный (имущественный)?
    А м.б моральный?
    Так вот доказать материальный ущерб "при пользовании ПД во вред" практически невозможно, не говоря уже о моральном.
    И получается, что в такой интерпретации закон также работать не будет.
    Как пример, страховая не доплачивает - сколько народу идет в суд? 1 из 10?
    По ПД статистика будет еще меньше...

    ОтветитьУдалить
  65. Анонимный18.7.11

    Алексей, я о команде, как о совокупности человеческих индивидов, со схожими мнениями )))

    Влезть в подзаконники - это очень тщательная и кропотливая работа. Как минимум можно направить все силы на продвижение идеи об вынесении в госконтракты концептуально-исследовательской работы для разработки подзаконных актов. С очень всесторонне и грамотным написанием ТЗ.

    А вот я лично хочу, чтобы остался СЕЙЧАС действующий закон. И мое хотение абсолютно столько же весит, сколько и хотение любого другого индивида )))

    Мне нравится изменения в парадигме Вашего, Сергей, подхода. Реальная уважуха.

    ZZubra

    ОтветитьУдалить
  66. Анонимный18.7.11

    >сколько народу идет в суд? 1 из 10?

    Это уже дело каждого лично. Каждый САМ ваяет свою судьбу. Главное, обеспечить человека возможностью.

    ZZubra

    ОтветитьУдалить
  67. > При всем уважении, автор забыл что т.н. УЩЕРБ в соответствии с ГПК РФ надо доказывать.

    Вот ИМЕННО. И поэтому в законе, вместо того, чтобы прописывать методы и способы защиты данных, упор нужно было сделать на методологию оценки ущерба и ответственность операторов за его компенсацию. Такие методы оценки ЕСТЬ.

    ОтветитьУдалить
  68. Анонимный18.7.11

    Это предложения для судебной системы. И прокуратуры. Не в тот закон методики предлагаете.

    ZZubra

    ОтветитьУдалить
  69. > А вот я лично хочу, чтобы остался СЕЙЧАС действующий закон.

    И я хочу. Потому как предлагаемый хрен все-таки горше существующей редьки.

    ОтветитьУдалить
  70. > Не в тот закон методики предлагаете.

    Круг замкнулся. Вы, значит, ратуете за методики защиты данных в законе, а методики оценки ущерба - не в тот закон? Так я о том и говорю - подмена понятий: не защита ПРАВ в законе заложена, а защита ДАННЫХ.

    ОтветитьУдалить
  71. Алексей, отправить уведомление то надо о 7) описание мер, предусмотренных статьями 181 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; и 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
    Конечно можно подать сведения об обеспечении на бумаге, а реально, с учетом всей бюрократии, согласований и т.д. - не успеть.

    ОтветитьУдалить
  72. > Влезть в подзаконники - это очень тщательная и кропотливая работа.

    Которая пройдет без нас. Так что толку от нашей с Вами трескотни - 0. А потому каждый при своем сидим и наблюдаем, как говорил Сергей :)

    ОтветитьУдалить
  73. > согласований и т.д. - не успеть

    Тем не менее, явной нормы в законе нет. Все будет зависеть от того, как скоро эти требования примут. И это, кстати, еще один вопрос: по каким нормативам будет проверять РКН если закон примут? :)

    ОтветитьУдалить
  74. >Сообщество безопасников выразило несогласие и озабоченность новыми поправками. Почему не было подобной реакции в 2006, 2008?

    25 мая 2009 - http://www.arb.ru/site/action/list_news.php?id=2963
    31 мая 2009 - http://www.tsarev.biz/news/vnimanie-ne-nravyatsya-dokumenty-regulyatorov-predlozhi-svoi/
    26 августа 2009 - http://ria.ru/economy/20090826/182477516.html
    20 октября 2009 - http://www.komitet2-16.km.duma.gov.ru/site.xp/052051.html?year=2009&month=10

    Далее рабочие группы, комитеты и т.п.

    До тех пор пока было не сделано описанное в письме АРБ - http://www.arb.ru/site/docs/docs.php?doc=1187
    //Однако на последнем этапе обсуждения Законопроекта в ГД ФС РФ Комитетом ГД ФС РФ по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона № 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).//

    Т.ч. остро стал вопрос про "определенных субъектов" охарактеризованных как "который не может держать слово... (с) ВВП 16.07.2011"

    ОтветитьУдалить
  75. Анонимный18.7.11

    Вот хотел же оговориться, мол если уж в закон, то не в тот. Но решили поймать на слове. Нет уж. В законах методик быть вообще не должно! Но если Вы и предлагаете, то кроме указанной концептуальной ошибки допускаете и ошибку в целевом предложении. )))

    Ну это Вы можете руки сложить. А уж я лично всеми силами буду пытаться. В том числе и не афишируя себя. Я не за славу тут борюсь )))) Мне, как бы пафосно это ни звучало, в этой стране жить, и моим детям. И воевать за нее. А подписываюсь только потому, что иначе заклюют за анонимность )))

    ZZubra

    ОтветитьУдалить
  76. 2 Сергей!
    ДЕКЛАРИРОВАТЬ СООТВЕТСТВИЕ МОЖЕО!

    ОтветитьУдалить
  77. Анонимный18.7.11

    http://news.mail.ru/politics/6364873/?frommail=1

    Вот и денежки появились :D

    ZZubra

    ОтветитьУдалить
  78. ZZubra: эх, опять буквоедство и обвинение в пиаре. Неоригинально. Успехов в анонимной борьбе :) будут результаты – поведаете миру?

    ОтветитьУдалить
  79. Анонимный18.7.11

    >Такие методы оценки ЕСТЬ.

    АГА, точно как у страховщиков: сами вы не сможете оценить, идите в экспертизу, она - член СРО, платите деньги.., и не факт, ведь что определят ущерб.., потом суд, потом м.б. - 1 рубль морального вреда

    И какого нужна ТАКАЯ защита прав?

    ОтветитьУдалить
  80. Анонимный18.7.11

    Нет ))) А зачем? То что уже сделано, УЖЕ СДЕЛАНО. Фигли потом воду мешать. Так что мы потихонечку. Я, сосед, баба Маша и т.д. Глядишь и чуть лучше будем жить. Хотя бы у себя во дворе. А пиар - это как заработать 1000 миллиардов килограмм золота в 96 лет.
    И я не обвинял. Это Вы сами надумали.
    ZZubra

    ОтветитьУдалить
  81. А кому нужна ТАКАЯ защита данных с нулевым эффектом без какой–либо защиты прав?

    ОтветитьУдалить
  82. ZZubra: ну хорошо, надумал так надумал. В любом случае – успехов :)

    ОтветитьУдалить
  83. Анонимный18.7.11

    ZZubra пишет:

    >Это уже дело каждого лично. Каждый САМ ваяет свою судьбу. Главное, обеспечить человека возможностью.


    Правильно, пусть сами субъекты ПДн обивают пороги судов или не обивают.
    А что, государство свои обязанности по ст.2 конституции выполнило - возможность обеспечило....

    ОтветитьУдалить
  84. Анонимный18.7.11

    Алексей! Ну дайте доказательства нулевого эффекта!!! Только не единичные надуманные случаи. Имеются ли у Вас сведения о взломе Secret Net, ViPNet, DrWeb, и т.д. по списку основных СЗИ? Если нет, так давайте организуем независимое исследование.
    А про права - я Вам норму показал. Если она Вас не устраивает, тогда имеет смысл кричать о ВСЕМ нашем законодательстве!
    ZZubra

    ОтветитьУдалить
  85. Анонимный18.7.11

    Да. Возможность обеспечить - это государственная обязанность. А вот защищает каждый себя сам! Это норма не только в РФ. Это основа деятельности огромного количества государств.
    ZZubra

    ОтветитьУдалить
  86. Анонимный18.7.11

    >защита данных с нулевым эффектом без какой–либо защиты прав

    Имхо, никакая супер-пупер дважды сертифицированно-аттестованная система защиты не обеспечит защиту информации, если не будет в головах имеющих к ней доступ людей знания о необходимости соблюдения прав своих соплеменников и желания это знание реализовать.

    А пока такое знание повсеместно отсутствует.
    А Вы опять напираете на защиту данных, а не на защиту прав личности.

    ОтветитьУдалить
  87. Анонимный18.7.11

    ZZubra пишет:

    >Это основа деятельности огромного количества государств.

    1. Где закон - реализующийся закон, а не просто декларация.
    2. Где правовой уровень большинства граждан на высоком уровне. (а у нас в большинстве - нтс - нам так сказали)

    ОтветитьУдалить
  88. Анонимный18.7.11

    Ну что Вы! Вот Президент хочет правовую подготовку в садиках ввести. И в школах обязательно. Плохо они конечно поступили, что раньше этого не сделали.
    Если у Вас есть хотя бы намек на методику изменения сознания больших масс народа в долгосрочной перспективе за короткий срок - подскажите! Пожалуйста!!!!

    ZZubra

    ОтветитьУдалить
  89. 2 Евгений
    Читал в Вашем блоге, двумя руками ЗА! Но по ФЗ О техрегулировании нужны регламенты.

    ОтветитьУдалить
  90. > А Вы опять напираете на защиту данных, а не на защиту прав личности.

    Я напираю? Вы о чем? Да я под Вашим текстом подписаться готов!

    > Ну дайте доказательства нулевого эффекта!!!

    ОМГ, опять 25. Выйдете на рынок или загляните в Интернет и посмотрите предложения о продаже баз данных. ВОТ доказательства неэффективной системы. Купить человека всегда проще, и против этого нет никакого приема. Случай в СВР это показал. А раз так - нет никакого смысла простите усираться ради железок, сертификатов и лицензий. Я не говорю, что вообще ничего не нужно делать - но разумная достаточность то должна быть? Главное - нужно обеспечить компенсацию ущерба. Хоть в самом законе, хоть вне его. И раз там не должно быть методов оценки, то и методов защиты там тоже быть не должно.

    ОтветитьУдалить
  91. >Если у Вас есть хотя бы намек на методику изменения сознания больших масс народа в долгосрочной перспективе за короткий срок - подскажите! Пожалуйста!!!!

    Намеки есть:
    - религии
    - марксизм
    - теории информационных противодействий (войн)
    - технологии манипулирования личностью (в том числе "промывки мозгов", "зомбирования" и НЛП)
    - its

    Методики и технологии уже тысячи лет нарабатываются... Хорошо, что пока не найдены 100%-но эффективные ;)

    ОтветитьУдалить
  92. 2 Сергей
    ФЗ о техрег предусматривает не только регламенты но и другие нормы стандарты и даже внутренние документы (положения) компаний.
    Я уже веду переговоры с производителями СрЗИ о инициативном выпуске ими первых Деклараций. Все вопросы конечно разом не решаться но мне видится путь который может прорваться в массовое направление...

    ОтветитьУдалить
  93. 2 Евгений.
    Может я чего не понял, но из ФЗ О ТР: декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
    и далее в том же духе. От техрегламентов не уйти, а утверждает их государство (ФЗ, ПП, приказ)

    ОтветитьУдалить
  94. Анонимный18.7.11

    Алексей, ну что за слова. Некрасиво. Я ничего подобного не делаю. И тем более я всего лишь Вам обоснованно возражаю.
    Я Вас попросил не единичный случай. Специально это оговорил. Нужны исследования. Статистически и вероятностно верные. Они есть?

    Разумность достаточности в чем? У всех она РАЗНАЯ! И не надо за других определять ее. Или хотя бы опять примените научные методики. А так - пустое.

    Компенсации ущерба - методики их определения, компенсации содержатся в иных нормативных актах, и распространяются на все виды деятельности и специально для персоналки они не нужны.

    Еще раз. В действующем законе про как защищать ничего нет. Просто декларируется, что защищать надо.

    Топаренко: Я понимаю, что Вы шутили, подразумевая, что я задавая вопрос, их имел ввиду. И задавал его именно с расчетом на тот ответ, который Вы и дали. Особенно про 100%.

    ZZubra

    ОтветитьУдалить
  95. >В действующем законе про как защищать ничего нет
    п.2 ст.19 определяет как защищать, только что средства защиты не названы.

    ОтветитьУдалить
  96. "Усираться" - это я не про Вас, а про подход.

    > Я Вас попросил не единичный случай.

    Мы с Вами о разных вещах говорим, я о том, что методы защиты неэффективны так как не учитывают человеческого фактора, Вы - о том, что средства не ломают. Какой не единичный случай - утечек данных? А разве они единичны?

    > И не надо за других определять ее.

    Законопроект как раз и определяет. Пока нет "уровней" - двояко, появятся - будет однозначно определять.

    > и специально для персоналки они не нужны

    То-то вся Европа озабочена разработкой методик оценки ущерба субъектам ПДн.

    > В действующем законе про как защищать ничего нет.

    Есть в законопроекте - мы же его обсуждаем? Нет?

    ОтветитьУдалить
  97. >Я понимаю, что Вы шутили

    А я не шутил ;)
    Это действительно методики изменения сознания и подсознания

    >Особенно про 100%

    Зато практически на 100% эффективны методики __формирования__ сознания. Школа и культура являются __составными частями__ технологии формирования сознания и менталитета

    ОтветитьУдалить
  98. Анонимный18.7.11

    Топаренко: Вот и я про изменение в пределах нескольких поколений говорю. А не за месяц или 5 лет.

    Алексею:
    Методы защиты учитывают человеческих фактор. Есть классификации нарушителей. Есть организационные меры.Или халтурно составляется модель угроз. Все остальное - сверх - на усмотрение оператора.

    А разве утечки не единичны? Абсолютно голословные утверждения. Где точные данные. Не пиар банка, когда главное, чтобы заговорили, а контекст не важен. А реальные факты. Если нет, то все инсинуации про инсайдеров - фуфло. По мне так вирусы дешевле подкупа людей. По крайне мере очень часто. Особенно в малых городах. А таких у нас = "все" минус 2. :)

    Таки я про то и говорю. Не надо УТВЕРЖДАТЬ, надо говорить, что имеется неопределенность. Есть предложения, как ее снизить? Тогда ок.

    Европа озабочена другими вещами )))) А представить, что они озабочены какой то определенной проблемой - в легкую, в зависимости от необходимости.

    Я вообще не сторонник революции в ПДн. Я за эволюцию. Пара спорных моментов - вот и все изменения ФЗ. И я говорю, что вообще эти законопроекты лишние! ОБА!!! :)

    ZZubra

    ОтветитьУдалить
  99. ZZubra: Ваша позиция ясна - оргмеры и классификация нарушителей это действенный метод защиты от инсайда, законопроекты лишние, в Европе всем щас на ПДн наплевать, а базами на рынке вирусы торгуют :))) Не могу разделить, да и подустал вести переписку, потому примем как есть: Вы - за свое, я - за свое.

    ОтветитьУдалить
  100. >Топаренко: Вот и я про изменение в пределах нескольких поколений говорю. А не за месяц или 5 лет.

    За 5 лет - легко ;)
    См. 1986 и 1991
    Вниз "по наклонной" можно довольно быстро. Другой вопрос когда изменять приходится "в горку"...

    ОтветитьУдалить
  101. ZZubra: А вот Вам и утечка показательная:http://j.mp/mRCff7.

    ОтветитьУдалить
  102. Анонимный18.7.11

    Ай, Алексей. Не ожидал от Вас такого. Дурачком пытаетесь выставить. Ну-ну. Не сильно Вы отличаетесь в таком случае от автора письма, которым Вы возмущались. Крайне жаль за Вас.

    А вот утечка показательна для ВАС! У кого утечка? У того, кто типа умный и сам понимает что должен защищать. Это которого Вы защищаете. А вот по НТВ говорят о желании пользователей подачи кучи исков. Сомневаюсь, что дойдет до суда. Явно откупится оператор связи. Но граждане выгоду поимеют.

    Всего Вам хорошего.

    ZZubra

    ОтветитьУдалить
  103. 2Сергей
    К сожалению я в тайге и ссылки дать не могу.
    Но там отмечено что оценка соответствия а декларация - форма подтверждения - соответствия техрегламентам, и еще и еще...
    С точки зрения легализации я считаю что открытая добровольная система сертификации сначала появится в сообществе. В приказном порядке она потеряет базовый принцип доверия. Посему ее нужно создавать самим сообществом и закладывать изначально принципы которые не позволят или максимально затруднят "прибирание к рукам" недобросовестными силами...
    Подытожу вывод который я сделал на примере 152 - мне не так важно что в нем, мне куда интереснее порядок появления и работы над документом - если порядок такой как есть : мы никогда не сдвинемся с места плохой ли хороший ФЗ - главное нужен порядок оценки проектов, привлечения экспертных сообществ. А для привлечения сообществ - нужно эти сообщества формировать и укреплять их влияние - это и есть то что мы обязаны сделать! Это реальный шаг, который сыграет свою роль не сейчас и не завтра но послезавтра уже да! И без этого никак! Это единственный выход. Так что коллеги - призываю объединяться в сообщество и активно участвовать в его формировании, укреплении, развитии. Ну скажем АРСИБ - присоединяйтесь !

    ОтветитьУдалить
  104. ZZubra, помилосердствуйте, ну каким дурачком? Мы просто ходим с Вами вокруг да около, совершенно без толку. И в Ваших комментариях я вижу и буквоедство, и цепляние за слова, и какие-то нелепые обидки, словом - все, как у Сергея Викторовича. Никто Вас дурачком не выставляет - я просто пошутил. А переписываться с Вами я действительно, по-человечески подустал, так как мы с Вами имеем два разных взгляда на вещи. И если я свои взгляды уже неоднократно в блоге высказывал, то в нашей переписке я должен так или иначе их повторять, как попугай. Ну нет у нас конструктива и не будет - одна болтовня. Мы с Вами друг друга поняли, и я думаю, если будет возможность - обязательно вместе поработаем над обсуждением подзаконников, как говорит Евгений Родыгин.

    А по поводу Мегафона - я очень сильно сомневаюсь в какой-либо компенсации, если дело дойдет до суда. Если сам Мегафон не проявит добросовестность и не сделает в сторону пользователей "реверанс".

    Не обижайтесь, на разницу взглядов обижаться не стоит. Ну а если чем обидел - простите. Не со зла.

    ОтветитьУдалить
  105. Анонимный19.7.11

    Алексей, у меня складывается впечатление, что ваши котлеты из мух и состоят: вы все время говорите, что принятый законопроект не дает защиты прав и свобод СУБЪЕКТОВ ПДн, а аргументация сводится к тому, что ОПЕРАТОРАМ навязывают сертифицированные (или точнее прошедшие процедуру оценки соответствия) СЗИ. Или я чего-то не понимаю?
    Установление ответственности и обеспечение компенсации оператором - это гуд. А было ли это раньше (в предыдущих законопроектах)? Я не видел, может плохо смотрел?
    "Именно поэтому в закон необходимо внести обязанность ЛЮБОГО оператора НЕМЕДЛЕННО информировать субъектов об утечке, обязанности КОМПЕНСИРОВАТЬ возможные затраты субъектов на проведение мероприятий по предотвращению возможного ущерба и прописать суровую ответственность за неисполнение этих пунктов"
    Вы предлагаете в ФЗ-152 внести эти положения? Если взять любой другой закон, разве в нем прописана ответственность за его неисполнение или за причинение ущерба в связи с ненадлежайшим его исполнением? Я всегда думал, что ответственность у нас прописана в КоАП, УК. Да, даже пусть будет прописана в 152-ФЗ, в непринятых поправках она была установлена? Нет. Так и что с точки зрения установления ответственности изменилось? Да ничего.
    А про "возможные затраты субъектов на проведение мероприятий по предотвращению возможного ущерба" это вы мощно! Я бы нанял все УФСБ чтоб они провели мероприятия по предотвращению возможного ущерба - мне ж расходы оператор возместит, а был там ущерб или нет дело десятое - он ведь МОГ быть. :-) Ну, это так, в качестве шутки.
    И чего вы так придрались к этому DeviceLock? Ну есть у него сертификат по РД НДВ и что? Вы РД это видели? Где там написано, что он защищать что-то должен? Он (РД, в смысле) вообще про другое. Это как говорить, что сертифицированным на класс точности микроскопом мы гвозди забиваем, а он их не забивает, а мы: "О, он же сертифицированный, а не забивает - нас обманули, сертификация - это плохо." Смешно.
    По поводу вообще использования сертифицированных СЗИ (именно по РД, где написано, что они должны делать для защиты, в смысле механизмов) - в настоящее время это хорошо. Потому, что большинству операторов, если им не сказать, что
    они должны использовать сертифицированные СЗИ, побоку вообще все СЗИ. Они их вообще не будут использовать - это ж обременение. :-)
    Дмитрий

    ОтветитьУдалить
  106. Анонимный19.7.11

    И, кстати, никакого отношения к Devicelock не имею, ни разу с ним не работал и не видел - это, чтоб не обвиняли, что я рекламирую его или отстаиваю его репутацию, имею личный интерес. Я про то, что сертификат по НДВ не дает гарантии, хоть какой-то, что это вообще СЗИ - он для продтверждения, что оно выполняет только то, что прописано в ТЗ и ничего больше. А достаточно ли того, что прописано в ТЗ - это совсем другой вопрос.
    Дмитрий

    ОтветитьУдалить
  107. >Алексей: "Влезть в подзаконники - это очень тщательная и кропотливая работа.
    Которая пройдет без нас"

    А как вам такая лазейка? http://www.kommersant.ru/doc/1681477

    "Дмитрий Медведев подписал указ, который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность".

    ОтветитьУдалить
  108. Только на эту тему пост готовил :)

    ОтветитьУдалить
  109. Дмитрию:

    > принятый законопроект не дает защиты прав и свобод СУБЪЕКТОВ ПДн, а аргументация сводится к тому, что ОПЕРАТОРАМ навязывают сертифицированные (или точнее прошедшие процедуру оценки соответствия) СЗИ.

    Так получается потому, что в комментариях разговор идет исключительно об этом. И мусолим эту тему и мусолим. Спрашивайте про субъектов - отвечу. Поговорим. А связка между этими двумя темами - в том, что нет никакого смысла навязывать операторам дорогие и неэффективные меры защиты, когда не выполнены ЦЕЛИ закона - защита ПРАВ субъектов. Ни в самом законе. ни в законодательстве в общем. но это я уже раз 500 сказал и написал. И обсудили. Вы блог весь почитайте. Статейки там с коллегами написанные в прошлом году...

    ОтветитьУдалить
  110. Анонимный19.7.11

    Спасибо за ответ. Об этом и хотел узнать, о чем в другом посте и спросил. Весь блог читал и статейки читал. Тогда уж нужно говорить, по-моему, о несовершенстве законодательства в целом в РФ и о том, что у нас "правовое государство" только статья в энциклопедии. Читая ваш и некоторое другие блоги (не посты, а комменты) у меня складывается устойчивое ощущение, что людям вообще пофигу на их права, лишь бы оператора или еще кого (работодателя, лицензиата и т.д) не ущемляли, заставляя лицензии получать, СЗИ покупать. Оставили бы их в покое, а то что там до прав и свобод граждан - да кому они нужны. У нас о людях думают в последнее время, и не только чиновники, вообще поголовно. Ездить с глушителем размером с водосточную трубу, не пропускать пешеходов, делать ремонт в 2 часа ночи или песни орать на улице, курить в подъезде компанией человек в 20. А как же права и свободы соседей, их гостей - да пофигу. Это менталитет. А раз такой менталитет, о каких правах и свободах может идти речь? Законодательство отражает уровень развития общества - у нас он низковат "для прав и свобод", а не устанавливает его.
    Но это, опять же, чисто мое мнение.
    Дмитрий

    ОтветитьУдалить
  111. Дмитрию: ну, под этим я подписаться готов. Я не спорю - может, мы с коллегами излишне оптимистичны и надеемся на правосознательность субъектов и добропорядочность операторов. Но без оптимизма сейчас просто никак.

    А что до менталитета - так МЫ его закладываем. В детях, студентах, блогах. В окружающем мире в конце концов. Не стоит ждять быстрого результата. Вода камень точит.

    ОтветитьУдалить
  112. >Установление ответственности и обеспечение компенсации оператором - это гуд. А было ли это раньше (в предыдущих законопроектах)? Я не видел, может плохо смотрел?

    Самое интересное, что были. И даже от Правительства:
    //20) статью 24 изложить в следующей редакции:
    "Статья 24. Ответственность за нарушение требований настоящего Федерального закона
    ...
    2. В случае нарушения положений настоящего Федерального закона, повлекшего за собой неправомерный доступ к персональным данным, неправомерное уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных, субъект таких персональных данных вправе требовать от оператора, виновного в таком нарушении, выплаты компенсации в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда.
    ...//

    Но "почему-то" убрав 3-ю часть с продажей индульгенций убрали и 2-ю часть... И далее этот вопрос не рассматривался и не была выработана удобоваримая формулировка изложенной в ней мысли...

    ОтветитьУдалить
  113. Анонимный19.7.11

    "А что до менталитета - так МЫ его закладываем. В детях, студентах, блогах. В окружающем мире в конце концов. Не стоит ждять быстрого результата. Вода камень точит."
    А вот под этим я подшусь.
    Дмитрий

    ОтветитьУдалить
  114. Анонимный19.7.11

    To toparenko
    "Самое интересное, что были". Значит плохо смотрел. Прошу прощения.
    Дмитрий

    ОтветитьУдалить
  115. >Значит плохо смотрел

    Они не дошли до открытого доступа - т.ч. действительно могли не видеть
    В открытом доступе они были лишь еще менее внятно сформулированными в более чем 100-листовой pdf-ке вначале на сайте Минкомсвязи, а потом на сайте Роскомнадзора по ссылке что-то типа совершенствование законодательства в сфере персональных данных.
    Увы... но уже несколько месяцев как сняты из открытого доступа...

    ОтветитьУдалить