пятница, 27 апреля 2012 г.

Уровни и требования


Не так давно ФСБ в лице Правительства РФ "порадовала" наше скромное, но небезразличное сообщество новыми требованиями, предъявляемыми к организациям, осуществляющим деятельность в области криптографии - и вот, на подходе два новых "шедевра", затрагивающих, на этот раз, куда более "массового" потребителя. Знакомьтесь - проекты долгожданных постановлений Правительства Федеральной службы безопасности РФ "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных", и "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных".

среда, 25 апреля 2012 г.

Записки провинциального оператора. Послесловие (updated).


Я искренне верю в то, что Вы, дорогие читатели, все выводы для себя уже сделали. Поэтому, чтобы долго не толочь воду в ступе и не злоупотреблять Вашим терпением (и так растянул, словно кота за хвост), привожу последние слайды своей презентации, так толком и не показанной на 5 межотраслевом форуме директоров по ИБ, где она потерялась практически на все время моего выступления (поэтому я выступал в роли артиста разговорного жанра, но зрители были довольны).

вторник, 24 апреля 2012 г.

Записки провинциального оператора. Часть 6.


Мировой судья, мужчина лет 35, явно торопился. Еще бы - в расписании участка яблоку негде было упасть, заседания шли одно за другим: то развод, то страховая, то взыскание задолженности. Он вошел в зал заседаний быстрым шагом, бегло взглянул на присутствующих и попросил всех присесть. Установление личностей не заняло много времени, после чего секретарь положила на стол две папки с делами. Судья пододвинул их поближе, открыл и стал вспоминать, о чем, собственно, речь. С этого момента представители оператора и регулятора, еще в "предбаннике" активно и весьма дружелюбно общавшиеся между собой, стали, на время, злейшими врагами, и в зале заседаний воцарилась напряженная тишина.

понедельник, 23 апреля 2012 г.

Условно-конфиденциальная информация


Все мы когда-то (я надеюсь) учились в школе, и в старших классах занимались тем, что, по нашему мнению, делало нас взрослее и авторитетнее. Нам, малолетним "нарушителям", по большому счету было все равно, кто узнает о том, что мы, например, курим: наоборот - чем больше, тем лучше, ведь все это делалось для публики (глядите, какой я крутой и взрослый). Правда, в тайне от родителей и учителей - чтобы за мнимый авторитет не "прилетела" пара вполне реальных тумаков, или не были применены иные карательные меры. Поэтому для нас, обладателей этой страшной, сопровождаемой легким табачным амбре, тайны, классическая "матрица доступа", где буквы "Х" напротив ФИО отражают наличие доступа к защищаемой информации, трансформировалась в совершенно иную конструкцию.

четверг, 19 апреля 2012 г.

Записки провинциального оператора. Часть 5.


В детстве, когда мы играли с мальчишками в футбол в коробке, во дворе, Ваш покорный слуга всегда был защитником - бегать по "полю" было лень. Поэтому, встречая "вражеского" нападающего, я изматывал и запутывал его своими действиями, пока нападающие из "своей" команды кричали мне "давай, он ошибется!" Сейчас и мальчишки выросли, и игры другие, но вот эта фраза - "он ошибется" - и ситуация, в которой она проявляется, напоминает мне тот самый, "коробочно-дворовый" футбол. Только ставки выше, да и последствия ошибок куда серьезнее.

среда, 18 апреля 2012 г.

Записки провинциального оператора. Часть 4.


Представь себе, дорогой читатель, что вдруг на минуточку решил ты выбраться из личного или общественного транспорта и насладиться пешей прогулкой по прекрасной весенней улочке. Тепло, сухо, солнышко светит - словом, благодать. И вот идешь ты не спеша, подходишь к перекрестку - зеленый свет заморгал, ты никуда не торопишься и решаешь подождать следующего сигнала светофора, но вдруг посереди проезжей части видишь дедушку с клюкой, не успевшего завершить переход. Конечно, ты добрый человек и решаешь деду помочь: бежишь на красный, хватаешь его и помогаешь перейти на другую сторону, а там - сотрудник ГИБДД. Дедок говорит спасибо и уходит, а ГИБДД-шник спешно подруливает, представляется, и выписывает тебе ... нет, не премию - штраф, за переход перекрестка на запрещающий сигнал светофора. Схожие чувства испытал и наш Оператор, потративший немалые деньги на исполнение требований Законодательства и наказанный за то, что не сумел вовремя реализовать заранее намеченные самим же собой планы.

среда, 11 апреля 2012 г.

Записки провинциального оператора. Часть 3.


Тем из Вас, дорогие читатели, кто служил в армии, особенно хорошо должно быть знакомо и прочувствовано на себе крылатое выражение о том, как поступает инициатива с источником своего появления. Видимо, благодаря поголовному призыву, тюремно-лагерному менталитету многолетней выдержки и психологическим особенностям чиновников, работающих в контрольно-надзорных органах и считающих себя в большей степени карающей рукой закона, нежели арбитрами в конфликтах интересов, это крылатое выражение перетекло и в обычную жизнь, превратив деятельность операторов по защите ПДн в театр абсурда, а деятельность контролеров - в бессмысленный и беспощадный труд.

четверг, 5 апреля 2012 г.

Без бумажки ты ...?


Не так давно писал я о лицензировании деятельности по технической защите конфиденциальной информации, не так давно вышло новое постановление Правительства РФ на эту тему, и вот - пожалуйста, первые ласточки:

Прокуратурой г. Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа.
 
Установлено, что указанные юридические лица, осуществляли обработку персональных данных, являющихся сведениями конфиденциального характера, без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни.


По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

У кого-нибудь еще остались сомнения в этом?

Записки провинциального оператора. Часть 2.


По воле наших законодателей, всем нам - и операторам, и субъектам, и регуляторам, приходится жить в эпоху перемен, причем последним приходится, пожалуй, тяжелее всех. Ну действительно - кому какое дело до того, что новый закон принят и действует вместе со "старыми"постановлениями правительства - не отменять же проверки и не приостанавливать деятельность! Ну и что, что "в части касающейся" - кто-нибудь когда-нибудь проводил юридический анализ ПП-687, ПП-781 и ПП-512 (не говоря уж о "приказе Трех" и "приказе № 58") в разрезе нового законодательства и давал официальные разъяснения на предмет того, в какой конкретно части они действуют, а в какой нет? Никто и никогда - потому, что в Российской Федерации нет государственного органа, который занимался бы официальным разъяснением законодательных норм. Именно поэтому регуляторы действуют, исходя из собственного понимания закона, их представители проводят проверки в лучшем случае руководствуясь исключительно административными регламентами, а уж какие готовят документы...

вторник, 3 апреля 2012 г.

Записки провинциального оператора. Часть 1.


Пока Вы, дорогие читатели, думали, что Ваш покорный слуга не слегка "подзабил" на свою общественно-полезную нагрузку и отлынивает от добровольно взятых на себя обязательств, я, аки Сизиф, со всем упорством пытался решить на локальном уровне неразрешимые глобальные проблемы отечественного законодательства, находясь при этом в неоднозначном положении: с одной стороны - на острие атаки, а с другой - между молотом и наковальней.

Те из Вас, кто следит за обновлениями блога, вероятно, помнят, что с начала этого года работки у меня поприбавилось, и одним из основных направлений моей деятельности нынче является представление интересов операторов при проверках и, если повезет, в судах различных инстанций, и уж поверьте на слово - полтора месяца тишины не прошли для меня даром: такого экспириенса я не получал за все время своей блогодеятельности. Рассказать нынче могу о многом, однако блог - не очень удачное для этого место: пока выкраиваешь время и прессуешь разгулявшиеся мысли, и законы поменяются, и герои рассказов становятся иными. Однако есть один случай, который являет собой образчик всего того, что происходит в России-матушке вокруг избитой темы персональных данных, и об этом я молчать, уж точно, не могу, а потому - устраивайтесь поудобнее и приготовьтесь к не очень длинному, но растянутому во времени, повествованию.