вторник, 2 августа 2011 г.

Новые комментарии к поправкам в 152-ФЗ


Постепенно начинают появляться новые комментарии к закону 261-ФЗ. Алексей Лукацкий опубликовал сегодня хороший пост в своем блоге, ZZubra прислал свои интересные "заметки на полях" (в буквальном смысле). Такими темпами, друзья, мы будем гораздо лучше разбираться в законе, чем те, кто его разрабатывал :)

36 комментариев :

  1. Думается мне что мы тут и так уже лучше разбираемся в 152-ФЗ чем они...=)

    ОтветитьУдалить
  2. Немного не в тему, хотя... "Мне кажется, давно назрела ситуация, чтобы провести мониторинг в стране, узнать, кто что слушает, читает и смотрит", - сказал Нургалиев в ходе выездного заседания межведомственной комиссии по противодействию экстремизму в России во вторник. http://news.yandex.ru/yandsearch?cl4url=www.ria.ru%2Fsociety%2F20110802%2F410746407.html

    ОтветитьУдалить
  3. Для этого надо два небоскреба построить. Нагнать в них людей. Потом уронить на них несколько самолетов. Потом принять закон о безопасности и противодействию терроризму. Ну а там все уже просто.

    ОтветитьУдалить
  4. Анонимный2.8.11

    Это в России называется "хороший понт")) да и кому мы нужны...слушать еще нас и подглядывать. Вот через полгода про всех нас одновременно вспомнят))
    Дубняк Сергей.

    ОтветитьУдалить
  5. Суть в том, что под флагом борьбы с терроризмом-экстремизмом, утечками ПДн ([S]не[/S]известно кем устроенными), транспортной, пожарной, экологической и т.д и т.п. безопасностью можно докатиться до того, что т. Сталин в гробу перевернется от ужаса.

    ОтветитьУдалить
  6. Ну это уже везде используется, а мы же равняемся на передовые державы, меры по противодействию и привлечению к ответственности за посты в тырнетах вон разрабатываем.
    Сдается мне, что было бы хорошо отфильтровать и собрать воедино все комменты, которые уже есть и будут выпускаться и выложить на единый ресурс, куда можно будет добавлять информацию.

    ОтветитьУдалить
  7. Анонимный2.8.11

    Алексей, добрый день!
    Проводил анализ поправок к ФЗ №152 и наткнулся на некоторого рода коллизию между 20 и 21 статьями, где говорится об обязанности оператора уничтожить неправомерно полученные ПДн в течение определенного срока с момента выявления факта неправомерной обработки. Так вот суть этой коллизии в том, что в ч.3, ст.20 этот срок равен 7 рабочим дням, а в ч.3, ст.21 при тех же условиях говорится уже о 10 рабочих днях. В ч.6 ст.21 мы вообще приходим к тому, что в случае невозможности уничтожения, необходимо заблокировать и уничтожать в течение 6 месяцев. Вы как-то можете прокомментировать данные расхождения?

    ОтветитьУдалить
  8. Витает в воздухе идея агрегации блоггеров по ИБ на одной площадке - так и закрывать будет легче и искать проще... Движки есть - поднять некому да и не каждый блоггер на такую площадку пойдет...

    ОтветитьУдалить
  9. Евгений, ну это же понятно - в блоге сам царь и бог и сразу видно каков его владелец умный :) А площадка - это общее и никакого пиара нет практически.

    ОтветитьУдалить
  10. Ronin: я - не умный. Я пытающийся стать таковым. :))

    ОтветитьУдалить
  11. Евгений Родыгин комментирует...
    >Витает в воздухе идея агрегации блоггеров по ИБ на одной площадке - так и закрывать будет легче и искать проще...

    Ужо
    Сделали проще: гейтуют сообщения блогов с различных площадок на свои ресурсы RISSPA, Секлаб.
    Только с сообществами пока не сделали ;)

    ОтветитьУдалить
  12. Александр, а вообще - отличная идея. Может, ДАТУМ для этого задействовать? Помните, как мы делали постатейные комментарии к 152-ФЗ в рамках "общественных" слушаний? ИМХО такой же форум можно сделать и там.

    ОтветитьУдалить
  13. Евгений, я уже запускал прототипы агрегаторов блогов(на Posterous и Blogspot) - агрегация в общем несложна, ну а RISSPA и SecurityLab страдают слабым наполнением - блогов ведь свыше 110 только у меня в коллекции..правда, я не уверен что будет аудитория у такого ресурса

    ОтветитьУдалить
  14. Вообще идеальным был бы LiveStreet для такой задачи..этакий Хабр для ИБ

    ОтветитьУдалить
  15. Да я уже делал на лайвстрите не пошло...
    Вообще я уже несколько проектов запускал и wikisec.ru и биржу труда ИБ(передал в АРСИБ) и систему тестов и ...
    Форумы почему то достали... блоги - так поболтать... социальная сеть тоже бесит... поэтому пока как то так...

    ОтветитьУдалить
  16. Так может не время было? Или там мелкие ошибки в органическом продвижении - отсутствии работы с социальными сетями (хотя бы автоматичческой публикации), ЧПУ, дубликаты страниц внутри системы (поисковики это не любят), отсутствие XML карт сайта?

    ОтветитьУдалить
  17. Анонимному: там разные ситуации. В статье 20 части 3 приводится случай, когда субъект или представитель указывает оператору на неправомочность - здесь срок 7 дней с момента получения такого обращения. В статье 21 части 3 - случай, когда оператор по какой-то случайности сам (в смысле без помощи субъектов и РКН) обнаруживает факт неправомерной обработки - тогда 10 дней на уничтожение, либо блокировка и последующее уничтожение в течение 6 месяцев.

    ОтветитьУдалить
  18. Евгений3.8.11

    Алексей! Здесь выложил свои комментарии - http://pdsec.ru/mmenu.php?id=294 Может пригодится.

    ОтветитьУдалить
  19. Евгений, хотелось бы обсудить изменения, касающиеся биометрии. Вопрос в том, для чего, как не для идентификации, может использоваться фотография субъекта ПДн. Какие ещё могут быть цели обработки биометрии? А если целей нет, то обрабатывать нельзя в соответствии со статьёй 5 (принципы обработки ПДн).

    ОтветитьУдалить
  20. Алексей, я немного запутался, читая комментарии Евгения. Дело в том, что сначала там говорится об установлении личности субъекта, а потом - об идентификации. В законе же речь идёт об установлении личности. Стало быть, нужно разбираться не с "идентификацией", а с этим понятием. Моя позиция заключается в том, что идентификация и установление личности - далеко не одно и то же. И примеры искать я не буду, можно воспользоваться вашими. Идентификация, например, по пропуску не может являться установлением личности ходя бы потому, что идентификатор может оказаться ворованным. То есть фактически в этом случае персональные данные, соответствующие идентификатору, не соответствуют субъекту, его предъявляющему. А установление личности по фотографии скорее можно назвать аутентификацией. Возьмём паспорт. В нём есть все данные, однозначно определяющие личность. Но если в нём нет фотографии, непонятно, какую именно личность они определяют. С помощью фотографии (и, как вы выразились, предъявленной физиономии) и устанавливается личность предъявителя (если результат сверки положителен).

    ОтветитьУдалить
  21. Ч. 1 ст. 11 152-ФЗ...
    Я бы пока воздержался... практика относительно мала, а на базе формулировки можно много глупостей нафантазировать...
    На мой взгляд тема пропускных режимов разрешится без проблем а вот в других сферах... будет еще много копий сломано...
    По моему мнению сама биометрия появилась именно с целью идентификации остальное - производные!

    ОтветитьУдалить
  22. Breghnev: на самом деле, установление личности это "полицейский" термин, являющий собой фактически то же самое, что идентификация, но применяемый в других целях. Поскольку у оператора таких целей, как у полиции, нет - я привел наиболее распространенный случай, когда установление личности происходит.

    Теперь по вашему комментарию. Вы действительно слегка запутались. Пропуск действительно может оказаться ворованным, и как раз для того чтобы убедиться, что это не так (подтвердить право обладания) в него вклеивается фотография. Более того, идентификации, как таковой, вообще не происходит - все данные УЖЕ в нем указаны (как и в паспорте, или в правах). Чего тут идентифицировать-то?

    Установление личности ТОЛЬКО по фотографии нельзя назвать аутентификацией - это идентификация в чистом виде.

    Для "распутки" приведу другой пример. Для входа в ПК Вы указываете логин (имя учетной записи) - это идентификация, от того, чей логин Вы введете, подтянутся соответствующие права и полномочия. Дальше Вы вводите пароль - это аутентификация, подтверждение того, что логин введен его законным обладателем. НО бывают системы распознавания лиц или отпечатков пальцев - для этого Вы засвечиваете мосю перед камерой или прикладываете палец к ридеру - и система вас СРАЗУ впускает. То есть происходит ИДЕНТИФИКАЦИЯ без аутентификации, так как считается, что в случае с биометрией в ней нет необходимости.

    ОтветитьУдалить
  23. > По моему мнению сама биометрия появилась именно с целью идентификации остальное - производные!

    Аналогично. А другие сферы - это дело будущего. Сейчас все вопросы как раз по пропускной системе.

    ОтветитьУдалить
  24. > Пропуск действительно может оказаться ворованным, и как раз для того чтобы убедиться, что это не так (подтвердить право обладания) в него вклеивается фотография.

    А это есть аутентификация (подтверждение права обладания). Аналогично (для установления личности) фотография используется в личном деле сотрудника. Попади личное дело в мои руки, я смог бы указать на этого человека в толпе и сказать "а вот идёт Иванов Иван Иванович, выпускник МГУ 2008г.; между прочим, уже женат..."

    > НО бывают системы распознавания лиц или отпечатков пальцев - для этого Вы засвечиваете мосю перед камерой или прикладываете палец к ридеру - и система вас СРАЗУ впускает.

    Если фотография (или отпечаток пальца) используется исключительно как идентификатор (для распознавания по типу свой-чужой), и в системе ей (фотографии) не ставится в соответствие ФИО, адрес, телефон и др. ПДн, то я склонен согласиться, что установления личности в этом случае не происходит.

    ОтветитьУдалить
  25. Вы опять путаете понятия. То, что Вы выйдете за пределы организации и будете отыскивать человека в толпе - это уже совершенно другой случай и другие ЦЕЛИ. В организации фото в личном деле в этих целях по умолчанию не используется.

    ОтветитьУдалить
  26. С какой целью в организации используется фото в личном деле?
    P.S. это последний вопрос, после чего обсуждение здесь завершаю. спасибо.

    ОтветитьУдалить
  27. Потому, что это исторически предусмотрено формой Т2. Иного объяснения я не вижу. Не стесняйтесь, спрашивайте :)

    ОтветитьУдалить
  28. Алексей, прокомментируйте пожалуйста )
    Полезно дочитывать предложения до конца. Вот что написано в ст.1:
    Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

    Т.е. если у Вас обработка осуществляется без использования средств автоматизации и нет картотеки, то на такую обработку 152-ФЗ не распространяется. (с)

    ОтветитьУдалить
  29. Ну а что тут комментировать - при грубом приближении так оно и есть. Только для того, чтоб действительно не распространялась, все бланки Вы должны писать от руки и после отдавать их самому субъекту или уничтожать незамедлительно. Чтоб не дай Бог, у вас не скопилось хотя бы 2. Иначе это уже "систематизированное собрание".

    ОтветитьУдалить
  30. Ефим4.8.11

    "...соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных..."
    то есть, если обосновать что характер действий не соответствует, а именно - нельзя задать алгоритм(по крайней мере это должно быть не тривиально) по которому можно осуществить поиск ПДн на материальном носителе, то такие материальные носители не подпадают под действие закона 152 ФЗ, но под действие ПП687 в любом случае. Правильно я понимаю?

    ОтветитьУдалить
  31. ПП 687 разработано в соответствие с ч. 3 ст. 4 152-ФЗ, так что говорить о том, что обработка не подпадает под действие закона, но подпадает под действие ПП - неверно. Во всем остальном - я Вас уверяю, если Вы положили себе на стол 2 листочка с ПДн, расчерченных и заполненных от руки, и в зависимости от условий можете произвести поиск нужного Вам - то это уже 152-ФЗ.

    ОтветитьУдалить
  32. Ефим4.8.11

    Алексей, я то с Вами согласен, вот только нет однозначного толкования статей закона(так уж он написан). Пока я не могу привести пример, где подобное толкование может пригодиться, но все может быть )))

    ОтветитьУдалить
  33. Нет, и не будет ИМХО. Я тоже не могу привести пример - сейчас в любом процессе обработки ПДн участвуют СВТ, 21 век все же.

    ОтветитьУдалить
  34. Ефим4.8.11

    Стараниями регуляторов можем и в каменном веке оказаться, спасибо за ответы )))

    ОтветитьУдалить
  35. Alexey Drozd15.8.11

    Очередной роспил пойдёт, думается мне. Закон об инсайдерах сколько уже раз переносили? Ото ж. Тут 5 лет тянули и в итоге родили нечто не совсем жизнеспособное. А роспил пойдёт потому что у кормушки тоже сидят неглупые люди. Они и ФЗ выполнят, и при своих останутся от сливов инфы. Поставят макафи у будут рады. Ибо гугл в первых ссылках выдаёт сразу 8 спасобов обойти эту систему -___-. (З.Ы. пруфлинк - http://goo.gl/Dx41J , и на сами факты - http://goo.gl/pSqWA  )

    ОтветитьУдалить