четверг, 25 августа 2011 г.

Лицензирование и сертификация как средство ограничения конкуренции


Весьма любопытным решением Федерального арбитражного суда Северо-Западного округа поделился на днях Андрей Абрамов, за что ему большое спасибо. Решение вынесено по делу А56-17858/2010 "УФССП против ЗАО "ПетерСтар" и может быть легко найдено в базе Высшего Арбитражного Суда РФ (по простому текстовому поиску). Как говорится, будем препарировать.

вторник, 23 августа 2011 г.

Впереди планеты всей


Пока Минкомсвязь думает над количеством и составом подзаконных актов, которые необходимо будет принять во исполнение "нового" 152-ФЗ, уполномоченный орган по защите прав субъектов персональных данных, известный так же как Роскомнадзор, по ходу, уже со всем определился, издав 19 августа 2011 года приказ № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (за ссылку спасибо Сергею С.). Документ прелюбопытнейший и достоин "препарирования", чем мы, собственно, сейчас и займемся.

воскресенье, 21 августа 2011 г.

Откуда есть - пошло. Часть 3.


Как я и обещал, публикую третью, заключительную часть изысканий относительно Идеи, из которой может происходить предполагаемый состав и содержание подзаконных актов, реализующих требования статьи 19 закона 152-ФЗ. И для начала - апгрейд картинки.

От печали до радости


Пока мы решаем третью часть головоломки относительно будущего подзаконных актов, касающихся 152-ФЗ, ФСТЭК, опубликовав проект постановления правительства, утверждающего "Положение о лицензировании деятельности по технической защите конфиденциальной информации", похоже, решило за нас предыдущую головоломку, имевшую место быть в новом законе 99-ФЗ "О лицензировании отдельных видов деятельности". Некоторые соображения по этому поводу есть у Александра Бондаренко и Руслана Пермякова.

Что касается меня - то лично я не разделяю осторожного оптимизма и считаю этот документ не лучше и не хуже, чем его действующая редакция. Требование получать лицензию определяется не постановлением, а законодательством, поэтому любые попытки отыскания в тексте отсутствующих терминов вроде "эксплуатация" являются хоть и интересными, но весьма бессмысленными. Это постановление предназначено в качестве руководства для тех, кто, изучив законодательство и решив что он таки осуществляет лицензируемый вид деятельности, собрался ее получать.

Теперь о головоломке. Помните, я писал (и многие были солидарны) о своей радости по поводу части 4 статьи 8 99-ФЗ и приводил какие-то умозаключения относительно того, что считать лицензионными требованиями? Так вот: радость была преждевременной, и я (как и сторонники позиции) ошибался, ибо лицензионные требования - это требования, которые должен выполнить соискатель для получения лицензии, и именно такие требования изложены в пункте 5 проекта положения. Более того, я ошибался дважды, сказав о том, что позиция "нет прибыли - нет деятельности - нет лицензии" была негласно принята: отсутствие термина "эксплуатация" в пп. "е" п. 4 проекта положения явно свидетельствует об обратном.

Так что ожидать дальнейших послаблений вряд ли стоит: ситуация развивается по сценарию, предусматривающему "закручивание гаек", а значит "кормушкин двор" готовится к своему торжественному открытию.

четверг, 18 августа 2011 г.

Откуда есть - пошло. Часть 2.


Продолжаем тему поиска идеи реализации ст. 19 152-ФЗ, которая в дальнейшем смогла бы стать системообразующей для подзаконных актов, в скором времени должных быть изданными под эгидой Минкомсвязи РФ. Повторюсь, дорогие коллеги: то, что здесь излагается и обсуждается - ни в коей мере не может претендовать на какой-то сформулированный документ или даже его черновик. Сейчас, пока ТАМ думают о составе подзаконных актов, мы с вами должны предложить этот состав, но не высосанный из пальца, а основанный на определенных соображениях, которые я называю ИДЕЕЙ.

вторник, 16 августа 2011 г.

Откуда есть - пошло. Часть 1.


Как я и обещал, эту неделю посвящаю подготовке некоей идеи, способной "вписаться" в нагромождения действующего с 1 июля 2011 года закона 152-ФЗ и подзаконных актов, имеющих непонятный статус. Публиковать материал буду тремя частями: поскольку третьей части еще нет, вторая сделана наполовину, но зато есть первая - соображения о направлении полета мысли законотворцев для выполнения правительством части 3 статьи 19 - это сегодня и предлагаю обсудить.

пятница, 12 августа 2011 г.

ISO помогает решать проблемы 152-ФЗ


Если бы не сообщение SecurityLab, то я бы, например, еще долго не узнал, что 17 июня 2011 года ISO опубликовала (точнее, начала продавать) стандарт ISO/IEC 24745:2011 "Информационные технологии - Методы обеспечения безопасности - Защита биометрической информации", который, как следует из названия, регламентирует обеспечение безопасности и конфиденциальности биометрической информации при обработке и хранении в информационных системах. Стандарт, в частности, описывает следующие процедуры:
  • анализ угроз и средств противодействия им, актуальных для различных биометрических систем;
  • требования к защищенности данных, позволяющих установить соответствие между биометрическими измерениями и конкретной личностью;
  • моделирование биометрических систем с учетом различных сценариев хранения и сравнения результатов измерений;
  • обеспечение конфиденциальности в процессе обработки биометрической информации.
Любопытно, но очень похожий документ правительство РФ, по идее, должно будет разработать в обозримом будущем в целях выполнения требований пункта 3 части 3 статьи 19 152-ФЗ.  Воспользуется правительство "рыбой" или нет - покажет время. Но с учетом того, что ни на стандарт BS10012:2009, ни на проект международного стандарта, принятый на 31-й конференции комиссаров по персональным данным со всего мира в 2009 году в Мадриде, ни на остальные адекватные документы по защите ПДн наши законодатели упорно не желают обращать внимание и продолжают идти своим путем - вероятность этого практически равна нулю. Тем не менее, мы с коллегами не оставляем надежд и прикладываем возможные усилия для направления проблемы в адекватное русло. Поэтому на следующей неделе я, скорее всего (но не обещаю - если будет готов), опубликую некий материал, связанный с подготовкой документов в рамках сотрудничества с Минкомсвязи для Вашей, уважаемые читатели, оценки и обсуждения.

воскресенье, 7 августа 2011 г.

Блины и комья


Пока мы с вами, дорогие читатели, в ожидании "подзаконников" неспешно оцениваем масштабы бедствия и пытаемся пропустить "через себя" каждое слово поправок, есть люди, которым уже приходится жить по-новому, и весьма активно. Эти люди - представители регуляторов, которые как молодые медвежата, вывалившиеся из берлоги, в одночасье оказались в новом мире и, обладая весьма внушительным видом и способностью причинить немало бед существам поменьше, стараются выжить в нем, как умеют. О чем, собственно, речь: 4 августа на сайте саратовского Роскомнадзора появилась публикация относительно недавно проведенной выездной плановой проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных. Проверка проводилась после принятия поправок в 152-ФЗ, и ее результаты просто не могут быть не проанализированы более детально.

суббота, 6 августа 2011 г.

По совету друзей


Дорогие читатели! Для того, чтобы создать комфортные и равные условия для всех Вас и несколько упорядочить работу с комментариями для себя (Google очень часть "кидает" комментарии в спам, даже Капча не спасает - ее я отключил), по совету Александра Бодрика я подключил к блогу "движок" DISQUS, антиспам Akismet, и по совету Алексея Лукацкого запретил комментировать сообщения анонимным пользователям. Я по-прежнему не собираюсь ничего модерировать - это цензура и я ее противник, но (особенно с учетом последних "трендов") все мы хотим знать, кто иногда поплевывает нам в лицо. Авторизоваться для комментирования можно с любым из имеющихся аккаунтов на Facebook, Twitter, Google или OpenID. Надеюсь, работа с блогом, обсуждение насущных проблем и общение с коллегами будет доставлять всем Вам еще бОльшее удовольствие! :)

пятница, 5 августа 2011 г.

Еще одна надежда


В дополнении к указу Президента РФ от 12 июля 2011 г. N 929 "О внесении изменения в Положение о Министерстве юстиции Российской Федерации...", который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность, сегодня на сайте правительства РФ было обнаружено постановление № 633 от 29.07.2011 г., которое называется "Об экспертизе нормативных правовых актов федеральных органов исполнительной власти в целях выявления в них положений, необоснованно затрудняющих ведение предпринимательской и инвестиционной деятельности...". Теперь дело за МЭР - ему поручено в двухмесячный срок разработать порядок проведения такой экспертизы, и будем надеяться, что они успеют разработать его раньше, чем примут "подзаконники" по "новому" 152-ФЗ.

четверг, 4 августа 2011 г.

Элвис-плюс и бурундуки-подписанты. Часть 2.


Сергей Викторович Вихорев опубликовал второе письмо, с более конструктивной критикой и без призывов к расстрелу. Пока читаете, я позволю себе пару конструктивных комментариев.

С.В.В.: "Во-первых, и это, наверное, главное, оппоненты сосредоточились в своей критике ответа, в основном, на ТЕХНИЧЕСКИХ вопросах защиты (критика ст. 19 Закона). Лейтмотив выступлений: «Регуляторы хотят защищать устаревшими (20-ти летней давности) СЗИ, требуют обязательную сертификацию, аттестацию и вообще все это дорого, неэффективно и отстает от современного прогресса!» При этом никто из участвующих в дискуссии не говорит, КАКИЕ интересы СУБЪЕКТА ПДн ущемлены в законе, и ПОЧЕМУ он плох для субъекта ПДн (хотя в блогах о-о-очень много разговоров именно о том, что права субъекта не защищены, и именно поэтому закон плох)."

Отмечу, что это не совсем так. Цитирую открытое письмо:

Биометрия, персональные данные и фотография


В предыдущем посте на тему биометрии я рассматривал биометрические ПДн в разрезе использования их оператором для установления личности и необходимости получения согласия на их использование в соответствии с ч. 1 ст. 11 152-ФЗ. Наиболее проблемной областью в большинстве случаев является использование фотографии, и в ходе долгих и плодотворных дискуссий большинство участников склонилось к мнению, что в 99,9% случаев ее использование не служит целью установить личность субъекта. Вот только одним 152-ФЗ законодательство в области ПДн не ограничивается, и как я ни ждал, что кто-нибудь вспомнит про остальное - увы, тщетно. Так что придется напомнить самому :)

Почему не действуют постановления правительства


Алексей Лукацкий недавно опубликовал заметку относительно того, надо или нет менять систему обработки и защиты ПДн, если она была реализована до 1 июля 2011 года и выстроена в соответствии со старыми нормативами; по этому поводу в комментариях была интересная дискуссия. Читателей этого блога интересует судьба постановлений правительства РФ за номерами 781, 512 и 687, "приказа Трех" и приказа ФСТЭК № 58 после принятия 261-ФЗ, а именно - действуют они или нет? Попробуем разобраться.

среда, 3 августа 2011 г.

Биометрия, идентификация и аутентификация


Читатель Breghnev просил осветить вопросы, связанные с обработкой биометрических ПДн. Хоть я и не Евгений, но попробую ответить :). Итак:

Ч. 1 ст. 11 152-ФЗ: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

вторник, 2 августа 2011 г.

Кормушкин двор. Часть 2.


Пока community в очередной раз обсуждает замусоленные до дыр вопросы оценки соответствия и сертификации, мы с вами, дорогие читатели, рассмотрим две оставшихся "темы", первая из которых - лицензирование деятельности по технической защите конфиденциальной информации (ТЗКИ).

Уж сколько раз твердили миру, что нельзя один закон выдернуть из всей правовой системы РФ и, тыча им в физиономию всем, кто самостоятельно пытается поставить пароль на вход в ОС, с пеной у рта доказывать необходимость получения лицензии, так как они проводят мероприятия, связанные с технической защитой конфиденциальной информации. Оно и понятно: лицензирование - мероприятие отнюдь не дешевое, и поголовное лицензирование сулило невероятные "барыши" различным окологосударственным структурам. Тема ПДн для этого подходила как нельзя лучше, и потому в знаменитейших "Основных мероприятиях..." есть пункт 3.14, который как раз и был предназначен для реализации этого коварного плана.

Новые комментарии к поправкам в 152-ФЗ


Постепенно начинают появляться новые комментарии к закону 261-ФЗ. Алексей Лукацкий опубликовал сегодня хороший пост в своем блоге, ZZubra прислал свои интересные "заметки на полях" (в буквальном смысле). Такими темпами, друзья, мы будем гораздо лучше разбираться в законе, чем те, кто его разрабатывал :)

понедельник, 1 августа 2011 г.

Кормушкин двор. Часть 1.


Не далее как пару недель назад, "стараниями" законотворцев, профессиональное сообщество разделилось на два лагеря: сторонников и противников поправок к закону "О персональных данных", которые вот-вот готовы были накинуться друг на друга с перьями и бумагами, дисками и железками. Точка кипения была достигнута в момент публикации открытого письма президенту - именно тогда и начались открытые боевые действия по всем канонам информационной войны: с "троллингом", провокациями, сфабрикованными утечками и массовой истерией. Сейчас, как мы видим, все подутихло, "сторонники" отпраздновали победу, "противники" зализали раны и готовятся вести партизанскую борьбу.