четверг, 28 июля 2011 г.

ФЗ 152 - Приплыли...

Решил немного написать о некоторых нестыковках которые я наблюдаю в новом ФЗ.

Прочтем статью 18:

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.  

К таким мерам могут, в частности, относиться: 

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.";


Далее читаем Статью 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности...

От автора: Далее следует перечисление мер... На лицо явная двойственность закона.  С одной стороны оператор сам определяет список мер, но следуя статье 19 он не может уклониться от исполнения мер указанных в законе. В 19 статье  достаточно подробно прописано все что только можно, чувствуется "жесткая конторская рука".

 2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.


От автора: То есть как раз те мероприяия которые приносят интеграторам наибольшую выгоду с их осуществления, становятся "обязательными по собственному желанию". 

Далее читаем Статью 19 : 

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

От автора: Во первых списка "определенных видов деятельности" пока что не существует. А во вторых, согласно тексту законопроекта, предпологается что органы испонительной власти будут контролировать только операторов государственных информационных систем, а контролировать владельцев "не государственных ИСПДн"   ФСБ, ФСТЭК и РКН  смогут лишь в соответствии с отдельным указом правительства.  

Как выразился по этому поводу Александр бондаренко: Если правительство сейчас не напишет в постановлении, что ФСТЭК и ФСБ могут контролировать всех (что конечно будет очень смешно), то тогда получится замечательная ситуация: ответственности никакой, контроля со стороны ФСТЭК и ФСБ нет... красота... зачем соблюдать закон ?

К тому же: До недавнего времени штрафы, выписываемые РКН были не больше 10 тыс. рублей. ни у кого еще не отобрали лицензию, не приостановили деятельность. ответственность за утечку не предусмотрена и это доказали текущие инциденты с Мегафон и интернет-сайтами. максимум субъекты коллективно в суд обратятся за возмещением ущерба. Все знают какие суммы у нас суды за моральный ущерб считают ? смешные... Сколько стоит выполнить требования закона ? Сотни тысяч - миллионы рублей !!!

От автора: Что мы имеем в итоге? Не доведенный до совершенства а наоборот ужесточенный закон для "одних", неадекватные требования которого "могут не выполняться другими", только по тому что штрафы за неисполнение в сотни раз меньше чем траты на "защиту".  

P.S: Все просто господа и дамы : Приплыли...  

среда, 27 июля 2011 г.

Новый вариант ФЗ 152 подписан президентом


Ну чтож дамы и господа. Новый вариант ФЗ 152 "О персональных данных" был подписан Президентом.  Радоваться или плакать увидим "по применению". 

Копипаст: Из документа по ссылке.

РОССИЙСКАЯ ФЕДЕРАЦИЯ


ФЕДЕРАЛЬНЫЙ ЗАКОН


О внесении изменений в статьи 19 и 25
Федерального закона "О персональных данных"

Принят Государственной Думой 16 декабря 2009 года
Одобрен Советом Федерации 25 декабря 2009 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

1) в части 1 статьи 19 слова ", в том числе использовать шифровальные (криптографические) средства," исключить;
2) часть 3 статьи 25 изложить в следующей редакции: "3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.".

Статья 2

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.


Президент Российской Федерации Д.Медведев

Москва, Кремль
27 декабря 2009 года
N 363-ФЗ


Опубликование закона: в Российской газете 29.12.2009 и в Собрании законодательства РФ.

К слову добавлю - мы живем в изменчивом мире. Вокруг нас меняется все - только люди остаются...

вторник, 26 июля 2011 г.

Персональные данные и облачные тенологии


Нашел интересную статью в которой провайдер облачного сервиса открыто рассказывает, что в случае необходимости осуществит передачу данных спецслужбам США без ведома субъекта. 

Причина - некий документ названный Patriot Act. Кто владеет английским языком легко переведут статью, она на английском. Во спасение утопающих есть интернет переводчики.

Одна из самых громких "утечек" персональных данных


Ну чтож сограждане, коллеги, операторы, субъекты... Мы плавно приближаемся к пониманию того, что устаревшие требования "не есть при выше всего".  Банальный тому пример случая произошедшего в Питербурге   с известной стаховой компанией.



ФЗ 152 - Как выполнить требования закона

Данная статья в основном касается государственных учреждений образования, но будет полезна всем операторам. 

                                                          Материал pcweek.ru/

Вырезка из статьи :  Рособразование справедливо предлагает следующие способы понижения классов ИСПДн:

обезличивание персональных данных;
полное исключение из ИСПДн сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;


сегментирование ИСПДн и классификацию сегментов как самостоятельных систем более низкого класса (такое часто возможно, но для этого потребуются сертифицированные, а лучше распределенные межсетевые экраны);


полное отключение от сетей связи общего пользования и сети Интернет (если не всей сети учреждения, то хотя бы того выделенного сегмента, где обрабатываются персональные данные);
обеспечение обмена между ИСПДн с помощью сменных носителей (использовать так называемый “флоппинет”);


создание автономных ИСПДн на выделенных автоматизированных рабочих местах, куда полностью переносится обработка этой категории сведений из локальной сети.

Акцент делается на обезличивании как наиболее эффективном и дешевом способе снижения класса системы. Обрабатывающая обезличенные данные ИСПДн относится к классу К4 и не требует принятия дорогостоящих мер по обеспечению конфиденциальности сведений. С этой целью агентство рекомендовало присвоить каждому субъекту внутренний идентификационный номер (условный код) на весь период обучения или работы и использовать его в информационных системах вместо ФИО.

Когда с условиями функционирования ИСПДн наступит полная ясность, можно смело переходить к актуализации угроз по отношению к персональным данным и окончательной, документируемой актом классификации ИСПДн.

Результатом выполнения работ на втором этапе должны стать:

реализованные меры по понижению классов ИСПДн и снижению требований к обеспечению их безопасности (с акцентом на обезличивание данных и реализацию организационных мер);
актуализированные модели угроз для ИСПДн различных классов (на основе максимальной типизации документов и требований);
акты классификации всех ИСПДн образовательного учреждения.

Второй этап представляется самым важным и определяющим как содержание последующих работ, так и ту цену, которую за них придется заплатить. От того, к какому классу принадлежит ИСПДн и каковы актуальные угрозы для нее, напрямую зависит стоимость реализации методов и средств защиты.

                                                          Материал pcweek.ru/

четверг, 21 июля 2011 г.

Указ президента "О совершенствовании мер по обеспечению информационной безопасности"


Подписан указ президента "О совершенствовании мер по обеспечению информационной безопасности".

Как и ожидалось - СЗИ должны пройти оценку соответствия и естественно под этим "понимается" сертификация.




Закон о защите детей от вредной информации


Президент России Дмитрий Медведев подписал федеральный закон, направленный на защиту ребенка от распространения печатной, аудио- и видеопродукции, способной причинить вред его здоровью и развитию, сообщила в четверг пресс-служба Кремля.

Для защиты детей от вредной информации предполагается установить нормативы распространения печатной, аудио- и видеопродукции, не рекомендуемой детям до 18 лет, а также требования к классификации информационной продукции, ее экспертизе, государственному надзору и контролю за соблюдением законодательства.

Так, законопроект запрещает использовать в школах и других образовательных учреждениях учебники и пособия, содержащие вредную информацию. Поправки в закон "О рекламе" запрещают размещение рекламы в учебниках, пособиях и другой литературе, предназначенной для обучения детей по основным образовательным программам начального и общего образования, а также в школьных дневниках и тетрадях.

Также не разрешена реклама с запрещенной для детей информацией в детских учебных заведениях, медицинских, санаторно-курортных и физкультурно-спортивных организациях, организациях культуры, отдыха и оздоровления детей или на расстоянии менее 100 метров от границ их территорий.

Закон возлагает на юридических и физических лиц обязанность обеспечивать информационную безопасность несовершеннолетних. За нарушение законодательства в этой сфере предусматривается административная ответственность: для граждан - штраф от 2 тысяч до 3 тысяч рублей, для должностных лиц - от 5 тысяч до 10 тысяч рублей, для предпринимателей предусмотрена штраф от 5 тысяч до 10 тысяч рублей и административное приостановление деятельности на срок до 90 суток, для юридических лиц - штраф от 20 тысяч до 50 тысяч рублей и приостановление деятельности, как для предпринимателей.

За размещение в интернете информации для детей, причиняющей вред их здоровью и развитию, будут введены штрафы в размере 1 тысячи - 3 тысяч рублей для граждан, 2 тысяч - 3 тысяч рублей для должностных лиц, от 20 тысяч до 30 тысяч рублей для юридических лиц.

За изготовление или распространение продукции СМИ с информацией, причиняющей вред детям, граждане будут наказываться штрафом в размере от 2 тысяч до 3 тысяч рублей, должностные лица - от 5 тысяч до 20 тысяч рублей, юридические лица - от 20 тысяч до 200 тысяч рублей.

Положения федерального закона устанавливают порядок прекращения распространения продукции СМИ, осуществляемого с нарушением законодательно установленных требований. Согласно федеральному закону каждый выпуск периодического печатного издания, каждая копия аудио-, видео- или кинохроникальной программы должны содержать знак информационной продукции, а при демонстрации кинохроникальных программ и при каждом выходе в эфир радиопрограмм, телепрограмм они должны сопровождаться сообщением об ограничении их распространения.

Федеральный закон направлен на защиту детей от разрушительного, травмирующего их психику информационного воздействия, переизбытка жестокости и насилия в общедоступных источниках массовой информации, от информации, способной развить в ребенке порочные наклонности, сформировать у ребенка искаженную картину мира и неправильные жизненные установки.

Изменения вносятся в законы "О средствах массовой информации", "Об основных гарантиях прав ребенка в Российской Федерации", "О рекламе", "Об информации, информационных технологиях и о защите информации" и Кодекс Российской Федерации об административных правонарушениях.

Из материала 

От автора: Только будет ли он исполняться, и как контролировать? По моему, штрафы маловаты. 

 

вторник, 19 июля 2011 г.

Рынок видео - тенденции VSaaS 2011


Направление VSaaS, или видео как сервис, пока слабо распространено и вызывает массу вопросов в профессиональное среде. И тем не менее подает большие надежды

Специалисты портала IPVideoMarket оценили объем рынка VSaaS:
 
50–100 млн долларов – совокупный объем продаж услуг хостингового видео (VSaaS) в 2010 г.
75 000–125 000 долларов – объем продаж видеокамер для услуг VSaaS, совершенных в 2010 г.
200 000–300 000 долларов – общий объем сегмента видеокамер для VSaaS на конец 2010 г.



Сегодня на рынке работает около 30 поставщиков услуг VSaaS, которые предлагают заказчикам собственные решения. Кроме того, существует множество компаний-посредников.

Стоимость услуг VSaaS находится в диапазоне от 0 до 20 долларов в месяц за канал. Увеличение стоимости в основном связано с использованием услуги хостингового хранения видео. Бесплатные услуги не предполагают хранения архива вообще либо подразумевают хранение на объекте заказчика. Специалисты IPVideo-Market представляют обзор цен различных поставщиков VSaaS (в материале приводятся средние цены на услуги VSaaS для конечного заказчика, оборудование оплачивается отдельно).

Стоимость услуг VSaaS существенно различается в зависимости от поставщика: в среднем от 5 до 40 долл./мес. за канал. Такой диапазон обусловлен разницей в разрешении видео (CIF или 4CIF), типе видеозаписи (постоянная или по детектору движения) и сроком хранения архива (3 дня, 7 дней, 1 месяц и пр.).

Большинство камер, использующихся для предоставления услуг VSaaS, являются довольно простыми моделями, имеют разрешение SD и стоят в пределах 75–150 долларов.
Кому выгодны сервисы VSaaS

Можно выделить три сектора потребления услуг VSaaS:


Частный сектор – 1–2 камеры. Интересная возможность, особенно в бюджетном ценовом сегменте для доступа к видео с помощью ПК или мобильного телефона. Можно избежать ежемесячной абонентской платы, воспользовавшись сервисами iCam для iPhone или Lorex для обычного ПК.


Малый и средний бизнес – несколько камер. Сервис хостинга видео может быть неоправданно дорогостоящим для инсталляций на 8–16 камер. Однако сервис удаленного управления видео может представлять собой полезную функцию.


Предприятия с территориально распределенными объектами – несколько камер на каждом. Нельзя сказать, что услуги VSaaS отвечают задачам крупных предприятий; могут использоваться только в ограниченных случаях.
Каково будущее VSaaS?

С учетом экономичности пакетов VSaaS начального уровня и ростом числа поставщиков услуг данные сервисы будут развиваться в нескольких плоскостях. Ожидается, что ежегодный темп роста мирового рынка VSaaS будет составлять 30–50% в течение ближайших 5 лет.

Большое значение имеет ключевое преимущество, которое получают пользователи услуг VSaaS, – удобный удаленный доступ к видео, что является весьма востребованной функцией со стороны заказчиков. Таким образом, спрос на удаленный видеомониторинг в формате Plug-n-Play будет расти среди заказчиков в традиционных сегментах потребления оборудования видеонаблюдения.

Для рынка VSaaS существуют два важнейших стратегических вопроса:
 
Смогут ли услуги VSaaS полноценно проникнуть в сегмент проектов на 8–16 камер?


Сможет ли абонентская плата за сервис VSaaS заменить покупку DVR/ПК/VMS?

По мнению экспертов IPVideoMarket, в ближайшие 3–5 лет сервисы VSaaS будут продолжать оставаться нишевым предложением на 1–3 камеры в силу технологических и ценовых барьеров. Тем не менее поставщики систем и услуг видеонаблюдения могут предлагать VSaaS своим существующим клиентам в качестве дополнительной полезной опции.


СКУД - Читаем, учимся, проектируем


На этот раз читателя ждёт солидный труд отечественного эксперта Владимира Рыкунова "Охранные системы и технические средства физической защиты объектов". Генеральный партнёр этого издания -- российская компания ISS, партнёры -- корпорация "Пентакон", журнал "Технологии защиты" и Ассоциация индустрии безопасности.

На момент написания книги её автор возглавлял закрытый учебный центр Министерства обороны РФ. Владимир Рыкунов сумел использовать своё уникальное положение, получив доступ к огромному количеству общедоступных и ведомственных источников, в том числе иностранных. А на базе переработанной информации он предпринял удачную попытку привести в систему разрозненные, с трудом поддававшиеся определению понятия. Получившаяся в результате книга может претендовать на статус полноценного учебника по целому ряду отраслевых специальностей. Как минимум, это первая в истории отрасли книга, в которой всё названо правильными именами и разложено по правильным полочкам.

Энциклопедия рассчитана на студентов, работников смежных областей, осваивающих специфику охранной отрасли, специалистов компаний-инсталляторов, а также на пользователей охранных систем -- прежде всего на руководителей и сотрудников служб охраны. Сдать экзамен по такой книге было бы очень непросто. Поэтому, вместо того, чтобы "сдать и забыть", лучше иметь этот нехудой томик под рукой.

От автора: Рынок СКУД развивается, каждый месяц появляется что то новое, и все чаще специалистам требуется актуальный информационный материал. Я рад что отечественные эксперты, в свою очередь, начали подкреплять рынок достойными пособиями. 

ФЗ №152 - Письмо президенту от АРБ

"Шлет с письмом она гонца,
Чтоб обрадовать отца.
А ткачиха с поварихой,
С сватьей бабой Бабарихой,
Извести ее хотят,
Перенять гонца велят;
Сами шлют гонца другого"

                                          
От автора: Нашел в сети письмо Президенту России от  Ассоциации российских банков, в котором говорится, о подмене проекта ФЗ № 152 на последнем этапе его прохождения в госдуме. К письму прилагаются два текста статьи 19: первый - согласованный с участниками рынка, и второй - фактически принятый Думой. 


Копипаст:  Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности, представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона № 152-ФЗ. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В результате, по поручению Председателя Правительства Российской Федерации Путина В.В., закрепленному Протоколом совещания от 13 ноября 2009 года № ДП-П39-1пр, был разработан и внесен в ГД ФС РФ проект федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных» (далее – Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», состоявшихся в ГД ФС РФ 20 октября 2009 года.

Однако на последнем этапе обсуждения Законопроекта в ГД ФС РФ Комитетом ГД ФС РФ по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона № 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

От автора: Как сказал Михаил Емельянников, мир действительно изменился. Кто то может смеяться, кто то не обращать на это внимания, но нам с вами жить в этом мире. 

                                            

понедельник, 18 июля 2011 г.

Копипаст - Болезнь политики защиты



 От автора: Прошу прощения у читателей за очередной копипаст, но к привлекшему меня материалу просто нечего добавить. Даже не стану лишний раз комментировать. Там и так все понятно написано.

Копипаст: Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль.

ПДН и МТС - Они и вас посчитали


Цель оработки - уловка проста, но практична. В конце концов МТС - оператор сотовой связи, надо же как то набивать коммерческий актив, развивать предприятие и.т.д. Подробнее по ссылке.

пятница, 15 июля 2011 г.

Пришел ответ правительства на открытое письмо. Как я и предпологал письмо  пошло искать ответа в министерствах.

четверг, 14 июля 2011 г.

Принят проект внесения изменений в закон "О персональных данных"

Вчера, на заседении Совета Федерации было рассмотрено 58 законопроектов. Смотря трансляцию в прямом эфире я поражался скорости принятия решений. В среднем по 3-4 минуты на представление проекта, и минута на голосование. Отныне я не буду задавать себе вопрос, почему в законадательстве нашей страны столько пробелов.

  Законопроект о внесении изменений в ФЗ "О персональных данных" -  был принят, только дискуссия, касательно ФЗ 152 шла дольше, чем обсуждение иных законопроектов. 

Свое мнение по этому поводу выразил Алексей Волков в статьях своего блога: Последний шанс  и Следующий шаг

В принципе, я соглашусь с Алексеем Лукацким, справку для представления закона, г-ну Александрову А.И готовили наши регуляторы, и скорее всего все вместе. 


Назвать целью закона "защиту персональных данных и обеспечение информационной безопасности персональных данных" могли только регуляторы. Выступающий постоянно говорил об информационной безопасности персональных данных и человека, но не о правах субъекта ПДн. По его словам закон соответствует Конвенции, Конституции и на него получены все положительные отзывы, включая Правительство России. И почти ни слова о 19-й статье. На заседании СФ присутствовали представители Минкомсвязи (Маслов) и ФСБ (Горбунов), которые "ЗА" этот законопроект (а Щеголев говорил, что Минкомсвязь против).

 Сенатор Смирнов от Мордовии задал пару скользских вопросов по поводу "локальных нормативных актов", упомянутых в ФЗ, а также по поводу того, что законопроект не работающий. Сенатор Нарусова задала вопрос о финансировании и сказала, что не разделяет оптимизм выступающего. Сослалась на СМИ, которые активно эту тему осещали в последнее время. Выступающий понес бред о уже существующем финансировании в министерствах и ведомствах и о том, что будут новые нормативные акты, расширяющие возможности финансирования (Починок заявил позже, что только бюджет это может сделать, а не нормативный акт ведомства). Сенатор Жамбалнимбуев от комитета по бюджету тоже задал вопрос по финансированию. Я вопроса не понял ;-( Починок заявил, что законопроект важный, но нужно нормальное финансовое обоснование, которого нет. Починок заявил, что нужно было предусмотреть деньги на реализацию, которых нет. Он потребовал предоставить локальные нормативные акты ФСБ и других регуляторов, из которых будут вытекать затраты на реализацию законопроекта, приобретение сертифицированных решений и т.д. А в конце выступления Починка итог  - "Закон принять!".

От автора:  Задаюсь вопросом: а нормально ли за 5 минут  принимать не рабочие законопроекты? Практически единогласно был принят даже законопроект о передаче в коммерцию функций контроля и надзора в сфере водного трансорта.


Против законопроекта изменений ФЗ 152 в последнее время выступали достаточно много представителей организаций операторов, СМИ, независимых экспертов, а так же специалистов организаций, предоставляющих услуги в сфере защиты информации. Однако это не помешало сенаторам заявить что "население поддержало законопроект", а так же по речам некоторых сенаторов было понятно, кто готовил им "шпаргалки" и "речь". 

Открытое письмо наделало много шума вокруг зконопроекта, но видимо президент его не получил. Его зачем то направили на рассмотрение в Минкомсязь, в министерство, в компетенции которого не входит рассмотрение подобных вопросов. В общем "пустили бумажку по кругу". Наши бюрократы это хорошо умеют. 

Итог: Закон принят,  представителям СФ было наплевать на все разумные доводы, все "хорошо поработали".  Увидим чем дальше дело станет... 

Интересная шутка Алекся Лукацкого : "Что же на самом деле произошло?"



понедельник, 11 июля 2011 г.

Открытое письмо президенту - Резонанс

Очень сильный общественный резонанс вызвало "Открытое письмо президенту". 

Как обычно бывает, в сети появились несогласные и критики письма.

Однако, в сети можно встретить и более конструктивную позицию.

Политический резонанс вокруг ФЗ № 152 в сердце государственной думы так же не остался незамечен. Радует что депутаты понимают суть ситуации, и готовы отстоять свою точку зрения. 
  
13 июля 2011 года Совет Федерации рассмотрит очередную редакцию ФЗ № 152. Будем надеяться, что выступление г-на Пономарева произведет достойное впечатление на заседателей СФ, а так же заставит задуматься "троллей" и тех, кто желает срубить на "сверх требованиях" кусочек пожирнее. 

четверг, 7 июля 2011 г.

Открытое письмо президенту


                           Открытое письмо президенту РФ 

Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru , а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

Письмо подписали:

Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений
Магонов Павел
Письмо направлено через http://letters.kremlin.ru/

Публикации в СМИ: CNews, "Директор по безопасности", "Habrahabr.RU", "Банковское Обозрение", "IKSMedia.RU", "Деловая газета МАРКЕР", ITSec, Anti-Malware.RU

                                      Материал размещен по ссылке                            

Коллеги!

Чтобы повысить эффективность данного письма, очень желательно направить его лично от своего имени в адрес Президента через сайт kremlin.ru. Там необходимо ввести свои фамилию, имя и адрес электронной почты, и приложить файл с обращением в формате RTF - забирайте, замените "подписантов" на свое имя и отправляйте! Чем больше запросов будет в адрес Президента, тем больше шансов, что на письмо обратят внимание.

Хорошо бы и сообщить о присоединении к данной инициативе на одном из сайтов инициаторов письма.

                                        Материал размещен по ссылке                          

 Письмо размещено на ресурсах :





























































среда, 6 июля 2011 г.

Гос дума - Принятие закона "О персональных данных" в третьем чтении

На вечернем пленарном заседании Государственной думы РФ  в ходе «часа голосования» был принят законопроект : - "О внесении изменений в Федеральный закон "О персональных данных"   (в части уточнения условий и правил обработки персональных данных).


Источники: сайт госдумы,  информационная страница.

понедельник, 4 июля 2011 г.

Персональные данные - благими намерениями проложена дорога в ад...

К 1-му июля в политической среде фигурировало множество положительных идей, отнасительно ФЗ 152. 

Однако, как видно на данный момент, все достойные идеи с треском провлились.

На благоразумие депутатов в третьем чтении я уже не надеюсь, ибо принятие законопроекта во втором чтении заняло 3-4 минуты.  

Новая версия закона, на которую операторы возлагали большие надежды, получилась хуже предыдущей.  

Во первых из проекта убрали все упоминания про отраслевые стандарты, во вторых, в проекте встречаются противоречия, которые еще больше мешают правильному толкованию закона... 

ФСБ и ФСТЭК контролируют исключительно государственные и муниципальные организации, а остальные - только по распоряжению правительства.  

Уведомление в Роскомнадзор необходимо подать до 1 января 2013 года.

По моему - откровенный бардак. 

 Так же, тему законопроекта прокомментировали мои коллеги: Александр Бондаренко,  Евгений Царев,  Алексей Волков, Алексей Лукацкий.