Защита персональных данных - что делать или не делать?
Опубликовал: Андрей Алмазов 23 июля 2009, 17:05
Как обычно в российской практике абсолютной защиты не будет, но чем меньше тебе можно предъявить, тем дешевле будет отбиться, когда придут.
В связи с этим вопрос - хотелось бы что-то узнать от юристов, которые не далеки от ИТ по данной теме и получить какие-то практические рекомендации и (или) знания и материалы? Абсолютно на некоммерческой основе. Как говорится Страна Советов, советуем в режиме 24х7х365
Комментарии
Алексей Кравченко
25.07.09, 00:16
Алексей Кравченко
25.07.09, 00:16
Андрей, ну начал нормально, даже интрегующе. Немного прорабатывал тему. На сегодня не то, что юристы, близкие к ИТ, но и сами законописатели толком не могут ответить на вопрос: "Как будет осуществляться проверка?" Существует мнение, что необходимо обложиться сертификатами, но, с точки зрения здравого смысла, глупо говорить о "сертификации" операционки, которую, например, проводит Microsoft в России. Значит очередная кормушка для чиновников и правоохранителей? Я, в очередной раз, не хочу думать, что меня родное государство отымело, все же думаю: "Ну неужели принимается наконец здравый закон?" А так как внятного ответа на этапе его принятия не существет, значит кому то снова маловато... Мы думаем, что сможем привлечь к обсуждению различных знатоков - от производителей до потребителей. Для этого 1-й раз тему обсудим на заседании клуба 25.08, потом вынесем тему на отдельную секцию Подмосковных вечеров. Если не найдет ответов и там, то соберем конференцию под конец года. Быть может ближе к принятию закона что-то проясниться?
Цитата из книжки про В.Пуха. В таких условиях наверное есть всего два варианта - "забить" и реагировать по обстоятельствам или когда будет больше информации. Второй - максимально попытаться предвидеть все узкие места и обложиться по максимуму всем, чем можно. Для этого второго пути и имеет смысл обсуждать, главное фиксировать результаты обсуждения, в качестве методического пособия ИТ-директору.
Добрый день! Думаю, что ответ уже есть!? Дальнейшее бесконтрольное закручивание ВСЕГО. Эту информацию все знают, но я напомню))
Враги российской государственности: Skype, Icq, и VoIP ________________________________________ 25.07 08:45 MIGnews.com
Могущественное лобби, созданное наиболее влиятельными промышленниками России в союзе с правящей партией "Единая Россия" начало компанию по устранению с российских рынков программ, пользующихся Voice over Internet Protocol для телефонных звонков за границу.
Главной жертвой должна стать чрезвычайно популярная в России служба Skype .
VoIP позволяет сотням миллионов людей делать бесплатные или очень дешевые звонки за границу с помощью интернета, что не может не вызвать зависти телефонных провайдеров.
В пресс-релизе "рабочей группы" поставившей своей целью избавить россиян от сервиса, сообщается: " Без государственных ограничений, интернет-телефония представляет угрозу государственной безопасности. Большинство сервисов, таких, как Skype и Icq базируются за рубежом. Необходимо защитить от них сектор и национальные компании ".
Виталий Котов, вице-президент ТТК, коммуникационной компании, принадлежащей российским Железным Дорогам, заявил: " VoIP приведет к бесконтрольному падению прибылей в секторе". Котов опасается, что доходы отрасли в ближайшие годы сократятся в 10 раз – с 2,6 миллиардов долларов до 260 миллионов.
Ожидается, что к 2012 году 40% всех телефонных разговоров в России будут идти через VoIP.
Участники совещания основных телефонных провайдеров также верноподданнически указали, что прослушивание телефонных разговоров через VoIP практически невозможно. Таким образом, интересы бизнес-элиты и государственной безопасности, к вящему удовлетворению всех заинтересованных сторон совпадают, и судьбу Skype можно считать решенной.
Неправильно ждать вступления закона в силу, тем более, что он уже вступил, а отсрочка до 1 января дана на приведение систем "в соответствие". Жаль только, что не очень понятно с чем именно. Посвятив пару дней изучению этого вопроса я уяснил для себя следующее: 1) Если у вас персональные данные только собственных сотрудников, то необязательно заявлять себя "оператором" (статья 22.2.1). (но меры по защите все-равно принимать нужно) 2) Наведение порядка в собственных системах и процессах (в т.ч. организационного-регламентного плана), может быть зачтено как деятельность, направленная на защиту данных (скостят немного :-). 3) Если вы четко попадаете под определение "оператор", то в ФСТЭК есть нормативно-методические документы по защите персональных данных. Правда это документы с грифом ДСП, публиковаться в средствах массовой информации и справочно-правовых системах не будут.
А вообще очень интересно было бы услышать мнение профессионалов в этой сфере, например Алексея Лукацкого.
Если есть желание попытаться самостоятельно разобраться в вопросе, начать можно отсюда: www.tsarev.biz/?p=462
У нас сейчас прошло уже и заседание клуба по теме, и секция на Подмосковных вечерах, а ясности в вопросе сильно не прибавилось. Те с кем я об этом говорил так и считают. Вся надежда на специально организованную конференцию через месяц?
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. komi.arbitr.ru/printdoc?nd=796002823&nh=&ssect= в самом конце...
С успехом прошла секция, которую я модерировал по 152 ФЗ. Сазать честно успех ее был предопределен приглашением Михаила Емельянникова. Это было сильно, человек не просто хорошо разбирается, в вопросе, а очень хорошо :). Много всего обсуждали и сформировали такой простой список (алгоритм) действий предприятия, которое озаботилось этой проблемой. Итак, что делать: 1) Выявить ИСПД 2) Классифицировать их и определить требования к технической защите 3) Посмотреть и определить болевые точки в зависимости от своих финансовых возможностей относительно оценки рисков 4) Привести в соответствие нормативную базу предприятия 5) Разработать модель угроз для каждой системы (? Привлечь проф. Подрядчика, получить 4-ре книги ВСТЭК) 6) Спроектировать техническую защиту 7) Получить возможные согласия и разграничить ответственность с контрагентами 8) Аттестация систем категории К1, К2 9) Программа образования внутреннего персонала
(!) Важный фактор успеха – руководство (покровительство) проекта ТОП-Менеджером
Комментарии
25.07.09, 00:16
Немного прорабатывал тему. На сегодня не то, что юристы, близкие к ИТ, но и сами законописатели толком не могут ответить на вопрос: "Как будет осуществляться проверка?"
Существует мнение, что необходимо обложиться сертификатами, но, с точки зрения здравого смысла, глупо говорить о "сертификации" операционки, которую, например, проводит Microsoft в России.
Значит очередная кормушка для чиновников и правоохранителей?
Я, в очередной раз, не хочу думать, что меня родное государство отымело, все же думаю: "Ну неужели принимается наконец здравый закон?" А так как внятного ответа на этапе его принятия не существет, значит кому то снова маловато...
Мы думаем, что сможем привлечь к обсуждению различных знатоков - от производителей до потребителей. Для этого 1-й раз тему обсудим на заседании клуба 25.08, потом вынесем тему на отдельную секцию Подмосковных вечеров. Если не найдет ответов и там, то соберем конференцию под конец года. Быть может ближе к принятию закона что-то проясниться?
#
27.07.09, 10:24
#
27.07.09, 18:04
Враги российской государственности: Skype, Icq, и VoIP
________________________________________
25.07 08:45 MIGnews.com
Могущественное лобби, созданное наиболее влиятельными промышленниками России в союзе с правящей партией "Единая Россия" начало компанию по устранению с российских рынков программ, пользующихся Voice over Internet Protocol для телефонных звонков за границу.
Главной жертвой должна стать чрезвычайно популярная в России служба Skype .
VoIP позволяет сотням миллионов людей делать бесплатные или очень дешевые звонки за границу с помощью интернета, что не может не вызвать зависти телефонных провайдеров.
В пресс-релизе "рабочей группы" поставившей своей целью избавить россиян от сервиса, сообщается: " Без государственных ограничений, интернет-телефония представляет угрозу государственной безопасности. Большинство сервисов, таких, как Skype и Icq базируются за рубежом. Необходимо защитить от них сектор и национальные компании ".
Виталий Котов, вице-президент ТТК, коммуникационной компании, принадлежащей российским Железным Дорогам, заявил: " VoIP приведет к бесконтрольному падению прибылей в секторе". Котов опасается, что доходы отрасли в ближайшие годы сократятся в 10 раз – с 2,6 миллиардов долларов до 260 миллионов.
Ожидается, что к 2012 году 40% всех телефонных разговоров в России будут идти через VoIP.
Участники совещания основных телефонных провайдеров также верноподданнически указали, что прослушивание телефонных разговоров через VoIP практически невозможно. Таким образом, интересы бизнес-элиты и государственной безопасности, к вящему удовлетворению всех заинтересованных сторон совпадают, и судьбу Skype можно считать решенной.
#
29.07.09, 23:26
Посвятив пару дней изучению этого вопроса я уяснил для себя следующее:
1) Если у вас персональные данные только собственных сотрудников, то необязательно заявлять себя "оператором" (статья 22.2.1). (но меры по защите все-равно принимать нужно)
2) Наведение порядка в собственных системах и процессах (в т.ч. организационного-регламентного плана), может быть зачтено как деятельность, направленная на защиту данных (скостят немного :-).
3) Если вы четко попадаете под определение "оператор", то в ФСТЭК есть нормативно-методические документы по защите персональных данных. Правда это документы с грифом ДСП, публиковаться в средствах массовой информации и справочно-правовых системах не будут.
А вообще очень интересно было бы услышать мнение профессионалов в этой сфере, например Алексея Лукацкого.
Если есть желание попытаться самостоятельно разобраться в вопросе, начать можно отсюда: www.tsarev.biz/?p=462
#
23.09.09, 12:15
#
29.09.09, 14:18
komi.arbitr.ru/printdoc?nd=796002823&nh=&ssect= в самом конце...
#
20.10.09, 22:15
Итак, что делать:
1) Выявить ИСПД
2) Классифицировать их и определить требования к технической защите
3) Посмотреть и определить болевые точки в зависимости от своих финансовых возможностей относительно оценки рисков
4) Привести в соответствие нормативную базу предприятия
5) Разработать модель угроз для каждой системы (? Привлечь проф. Подрядчика, получить 4-ре книги ВСТЭК)
6) Спроектировать техническую защиту
7) Получить возможные согласия и разграничить ответственность с контрагентами
8) Аттестация систем категории К1, К2
9) Программа образования внутреннего персонала
(!) Важный фактор успеха – руководство (покровительство) проекта ТОП-Менеджером
#