четверг, 28 июля 2011 г.

Что же реально грозит за утечку ПДн

Ох какое жаркое у нас выдалось лето в плане событий в области информационной безопасности. Сколько же всякой ерунды уже было сказано по поводу "утечек Яндекса" в прессе. Очень хорошо Женя Царев на эту тему высказался. Но я хочу сказать немного о другом. Если ситуация с нашим открытым письмом и принятием поправок в 152-ФЗ была "проверкой на вшивость" для нашего сообщества, то происходящее сейчас с индексацией персональных данных в поисковиках становится "проверкой на вшивость" для контролирующих органов и самого великого и могучего 152-ФЗ.

Давайте посмотрим что получается.

В случае с Мегафоном Роскомнадзор обратился в суд (подробности тут), но самое интересное, что инкриминируется Мегафону то, что он не обеспечил тайну связи, нарушив, тем самым, лицензионные условия, обязывающие оператора связи осуществлять деятельность в соответствии с законодательными и нормативными правовыми актами.

А ответственность какая замечательная:

Ответственность за нарушение лицензионных условий установлена статьей 14.1 Кодекса об административных правонарушениях (КоАП РФ), которая предусматривает административное наказание в виде штрафа для юридических лиц в размере от 30 тысяч рублей до 40 тысяч рублей.

Ничего про 152-ФЗ, штраф в 40 тыс. рублей. Если не считать подмоченную репутацию сотового оператора, то это, извините, как слону дробинка.

Идем дальше.

Роскомнадзор выявил более 80 интернет-магазинов, допустивших незаконное распространение персональных данных покупателей (взято с официального сайта РКН).

Что же планируется сделать ?

"После установления владельцев сайтов материалы по фактам нарушений требований конфиденциальности персональных данных будут направлены в органы прокуратуры для принятия мер прокурорского реагирования."

Очень будет интересно посмотреть что это будут за меры и за что буду карать владельцев этих магазинов ? За то, что у них не было сертифицированных средств НСД на их сайтах ? Но тут еще другой ньюанс, ведь владелец держал сайт на хостинг-площадке и хостер оказывал услуги и в т.ч. должен был обеспечить безопасность ресурса (в некоторых договорах хостеры это обещают :) ). Т.е начнут еще хостеров трясти, что у них нет лицензии на ТЗКИ, что они сертифицированные средства защиты не применяют ?

Очень интересно, обязательно стоит последить за развитием этой темы, коллеги. Только думается мне, что это будет такой же "пшик" как и с Мегафоном.

вторник, 26 июля 2011 г.

Поправки в 152-ФЗ подписаны Президентом !

Все, коллеги, амба. Президент подписал поправки в 152-ФЗ (смотреть тут). Дабы подвести итог всему этому длинному пережевыванию тематики персональных данных в последний месяц скажу следующее:

Я думаю что все что произошло с принятием законопроекта в Госдуме, с открытым письмом пяти и многих других ассоциаций и финальным утверждением законопроекта стало отличной "проверкой на вшивость" для многих, начиная от Гаранта и заканчивая отдельными "экспертами" в области информационной безопасности союзами, ассоциациями и проч. Честно скажу очень было интересно смотреть и за реакцией тех кто был "за" и за реакцией тех, кто был "против". Лично для себя я выводы сделал (а где-то просто получил лишние подтверждения).

Откопал тут один из своих старых постов. А ведь я предрекал глубокое разочарование впереди, я правда думал, что оно наступит осенью, хотя видимо так и произойдет, когда народ поймет что за монстра родили наши законодатели.

Я не поклонник теорий конспирологии, я не согласен с Алексеем Лукацким, что все те громкие утечки, которые сейчас произошли, были подстроены, чтобы надавить на Президента (хотя может быть я чего-то не знаю). Но они очень красочно сейчас покажут всем чего стоит 152-ФЗ, работает он или нет.

Что будет впереди ? Да то же самое, что было ровно 3 года назад. Будем долго и уныло ждать подзаконников, получим плоды мозговых усилий и применения клавиш ctrl+c и ctrl+v от которых долго еще будем приходить в себя, а потом... а потом все просто забьют на неисполнимый закон и приготовят небольшой фонд для взяток проверяющим. И вот почему я так думаю:

1) до недавнего времени штрафы, выписываемые РКН были не больше 10 тыс. рублей. ни у кого еще не отобрали лицензию, не приостановили деятельность. ответственность за утечку не предусмотрена и это доказали текущие инциденты с Мегафон и интернет-сайтами. максимум субъекты коллективно в суд обратятся за возмещением ущерба. Все знают какие суммы у нас суды за моральный ущерб считают ? смешные... Сколько стоит выполнить требования закона ? Сотни тысяч - миллионы рублей !

2) текущий законопроект предполагает, что ФСТЭК и ФСБ будет контролировать только операторов государственных ИСПДн. Контролировать других они смогут только по отдельному указанию правительства и если правительство сейчас не напишет в постановлении, что ФСТЭК и ФСБ могут контролировать всех (что конечно будет очень смешно), то тогда получится замечательная ситуация: ответственности никакой, контроля со стороны ФСТЭК и ФСБ нет... красота... зачем соблюдать закон ?

P.S. Интересно, а долго еще у нас сайты nalog.ru и gosuslugi.ru на западной крипте работать будут ? или типо у них индульгенция ?

воскресенье, 24 июля 2011 г.

Осенние конференции по информационной безопасности

Как известно общественная жизнь в отрасли информационной безопасности активно возобновляется именно с приходом осени.

Итак, что же нас ожидает:

Сентябрь

6 - 10 сентября. Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты" (Сочи). Подробности.

15 сентября. ИТ и ИБ в финансовом секторе: практический подход. Подробности.

28 - 30 сентября. Infosecurity Russia 2011. Подробности.

Октябрь

4 - 6 октября. Инфобезопасность 2011. Подробности.

26 октября. Форум "ИБ в финансовом секторе и телекоме". Подробности.

26 - 28 октября. VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России» (Санкт-Петербург). Подробности.

28 октября. DLP-Russia 2011. Подробности.

Ноябрь

15-18 ноября. 2-я Международная специализированная выставка «ИНФОРМАЦИЯ: ТЕХНИКА И ТЕХНОЛОГИИ ЗАЩИТЫ» (Санкт-Петербург). Подробности.

30 ноября. Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. Подробности.

Коллеги, если у кого-то есть еще какие-то мероприятия на примете, пишите в комментах.

пятница, 22 июля 2011 г.

Пятничный offtopic

Уважаемые читатели, прощу прощения, что не особо пишу в блог в последнее время. На следующей неделе постараюсь исправится. А пока небольшой оффтопик.

В 2005 г. вышел в свет фильм "Ночной продавец", очень интересное кино, рекомендую посмотреть. В этом фильме в роли детектива снимался замечательный актер Андрей Краско. В этом фильме есть его короткий монолог про ментальность, заставляет задуматься...



Ну и забавный рассказ про свинью, связанный с той самой ментальностью (из того же фильма)



понедельник, 18 июля 2011 г.

Книжная полка - IT Auditing: Using Controls to Protect Information Assets

IT Auditing: Using Controls to Protect Information Assets - книга, посвященная вопросам организации и проведения ИТ-аудита.

Книжка совсем свежая, вышла в январе этого года и доступна для покупки на Amazon.

Первая часть книжки посвящена вопросам организации функции аудита в компании (создание команды, формализация процесса, подготовка и проведение аудита, обработка результатов и проч.)

Вторая часть полностью посвящена вопросам проведения аудитов конкретных технологий (сетевое оборудование, беспроводные сети, веб-приложения, базы данных и проч.). В этой части масса примеров, чек-листов и описаний параметров, влияющих на безопасность ИТ-систем.

Третья часть посвящена вопросам рассмотрения различных стандартов и законодательных норм в области ИТ и ИБ. Здесь в основном представлены североамериканские нормы, поэтому для российской специфики полезного немного.

В общем книга мне очень понравилась наличием массы примеров, простым и доступным описанием технологии проведения аудита. Крайне рекомендую к прочтению.

По моему рейтингу этой книжке достается 5 звезд !

четверг, 14 июля 2011 г.

Нелепые законы

Нелепые законы существуют во многих странах:

- Австралийский Закон о Связи гласит, что модемы не могут в случае входящего звонка автоматически снимать трубку сразу после первого гудка. Продающиеся в местных компьютерных магазинах модемы даже специально модифицированы таким образом, что бы пользователь не мог бы случайно нарушить этот запрет.

- В Великобритании Граждане, желающие купить в магазине телевизор, сначала должны приобрести лицензию на него.

- Израиль. Для управления велосипедом требуется получать водительские права.

- Канада. Старый закон гласит, что гражданину, вышедшему из тюрьмы на свободу, полагается выдать пистолет с патронами и лошадь для того, чтобы он мог убраться из города.

- В Дании старый закон дозволяет управлять автомобилем только в том случае, если перед автомобилем бежит человек с красным флагом, предупреждающий погонщиков лошадей и водителей кобыл о приближающемся автомобиле.

Рекордсменом конечно же являются США, вот лишь некоторые:

- Штат Вашингтон. В отчаянной попытке побороть уличную преступность местные власти издали закон, обязывающий всех въезжающих в город преступников останавливаться на границе города, звонить по телефону в полицию и заблаговременно сообщать о своем появлении и о цели визита.

- Штат Колорадо. В Денвере по воскресеньям запрещено ездить в автомобилях черного цвета.

- Штат Нью-Йорк. Запрещается носить домашние шлепанцы после 10:00 утра.

После предстоящего росчерка пера Президента у нас в России тоже еще одним нелепым законом станет больше.

И еще кое-что. Несколько лет назад по телевизору показывали рекламный ролик одного коммерческого банка, в котором звучал такой текст:

1863 г. - в Лондоне запущена первая ветка метрополитена, а в России только отменено крепостное право.

Так вот переводя эту аналогию на рынок информационной безопасности, в Англии, США и Европе уже ракеты в космос запускают, а у нас крепостное право только введено !

среда, 13 июля 2011 г.

Поле битвы - Совет Федерации

Ну что, коллеги, сегодня поправки в 152-ФЗ проходят Совет Федерации. Повестка дня здесь. Это кстати 300 заседание СФ, юбилейное.... Посмотрим чем дело закончится.


P.S. К огромному сожалению все наши баталии проходят на фоне страшной трагедии с теплоходом "Булгария", в которой погибло большое количество людей, включая маленьких детей. Всем родным погибших выражаю свои соболезнования...

Обновление от 14:34. Итак, Совет Федерации принял законопроект. После всего что было сказано на заседании о том, что все хорошо проработано, что закон защищает граждан и более либеральный..... думаю, что наивно полагать, что Президент не подпишет его. Мы проиграли коллеги. Не смотря на это мне все же отрадно осознавать то, какую серьезную поддержку получило наше начинание с открытым письмом. Это действительно очень серьезное общественное достижение. Еще раз всем СПАСИБО ! А власть еще раз показала нам для кого она существует.

вторник, 12 июля 2011 г.

Вторая встреча группы Defcon-Russia

Группа Defcon-Russia (группа DC7812) – это независимое и открытое сообщество, объединяемое интересами в области ИТ и ИБ. Основная цель – создание комьюнити среди студентов, программистов, хакеров, системных администраторов и прочих гиков. Так что выползаем с форумов и переходим к живому общению :). Группа дискуссионная, так что приветствуются все те, кто хочет высказаться, предложить свои идеи и показать свои работы, а главное - найти единомышленников.

Согласно решению, принятому на прошлой встрече, мы будем стараться менять места их проведения, будем переезжать по разным ВУЗ'ам. В этот раз нас приютит "Бизнес Инкубатор" QD на базе ИТМО. Кстати, даже само место будет многим интересно для посещения: "Межвузовский бизнес-инкубатор QD помогает студентам создавать и развивать технологические бизнес-проекты. Инкубатор поддерживает инновационные стартапы в любых отраслях. Каждая команда является важной частью сообщества бизнес-инкубатора и может получить доступ к его ресурсам и помощь менторов". Так что если у тебя есть свой стартап или ты хочешь поучаствовать в каком-то – присмотрись к этому месту.

Встреча состоится 15-го июля в 19 часов.

Адрес: г. Санкт-Петербург, Биржевая линия В.О., д. 14

А теперь самое главное – темы докладов. Будут представлены на обсуждение два интереснейших доклада, а так же весёлый интерактив в третьей части программы:

Темы:

1) Никита Абдулин - "Аппаратная виртуализация и вредоносное ПО"

"В докладе освещаются технологии аппаратной виртуализации (HVM) в контексте их применения атакующей и защищающейся сторонами информационного конфликта. Будет дан обзор технологий HVM с точки зрения реализации и возможностей для практического использования, рассмотрено понятие гипервизора и потенциал воздействия на вышестоящие системы, как в роли вредоносного гипервизора, так и легитимного. На основе исследованных методов обнаружения гипервизоров и методов противодействия обнаружению оцениваются перспективы применения HVM для вредоносного ПО и защиты от него".

2) Никита Тараканов - "MacOS X - защита ядра и атаки на него"

Популярность операционной системы MacOS X за последнее время выросла. В связи с этим и выросла степень заинтересованности в эксплуатации различных уязвимостей, а также внедрение различных защитных механизмов для противодействия атак. В докладе будут рассмотрены две ветки MacOS X : Snow Leopard (10.6.8) и свежий Lion (10.7.X). Будут рассмотрены нововведения, которые появились в Lion, и как они усложнили процесс эксплуатации различных уязвимостей. Будут продемонстрированы техники эксплуатации как пользовательских приложений (Safari) так и ядра MacOS X (XNU). Более подробно будет рассмотрено ядро XNU: реализация защитных механизмов, механизмы взаимодействия с пользовательскими приложениями, различные особенности в архитектуре.

3) Александр Поляков - "Lockpicking for newbies"

Будет рассказано о таком новом развлечении как lockpicking, о его идеях и целях. Далее - общая теория и, конечно же, практика. Так что приносите с собой отмычки и замки :).

4) Павел Ершов - "Децентрализованная криптовалюта Bitcoin"

Во время данного доклада слушатели познакомятся с криптовалютой Bitcoin: архитектура, принцип работы. Также будут освещены проблемы безопасности данной технологии и возможные пути их решения.

Вход свободный. Для прохода на проходной желательно иметь паспорт или иной документ удостоверяющий личность.

В программе возможны изменения - все зависит от вашей активности :). Желающие выступить с докладом пишите на defconrussia@gmail.com.

Подробности на сайте группы - http://www.defcon-russia.ru/
Twitter - https://twitter.com/defconrussia

Источник - www.xakep.ru


четверг, 7 июля 2011 г.

Реакция на открытое письмо

Реакция на наше открытое письмо действительно получилась серьезная. Спасибо всем, коллеги. Подробнее обо всем написал Алексей Волков в своем посте тут.

Но надо честно признать, что не все согласны с нашими доводами. Вот пример другого мнения: прошу любить и жаловать - Вихорев С.В., Заместитель Генерального директора по развитию, ОАО «ЭЛВИС-ПЛЮС», опубликовал свое письмо на наше письмо.

Не стану опускаться до уровня г-на Вихорева и переходить на личности, оценивать мотивацию (желание и нежелание работать и проч.). Давайте смотреть по фактам:

1) Да со статьей Конвенции вышла промашка, дело в том, что поспешность действий Госдумы вынудила и нас писать письмо в довольно оперативном порядке, что привело к указанной ошибке, но суть от этого не меняется ибо указанные нормы в Европейском подходе присутствуют.

2) Давайте еще разок вдумчиво посмотрим на то, дана ли свобода операторам. Итак поехали:

Статья 181 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.


Заметьте речь идет о том, что оператор самостоятельно выбирает состав мер по соблюдению обязанностей, налагаемых данным ФЗ (безопасность только одна из) + замечательная фраза "если иное не предусмотрено настоящим ФЗ".

К числу таких мер могут, в частности, относиться:
....
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

Т.е. применение мер безопасности это только одна из мер для выполнения обязанностей закона. Тут не рассматривается применение или неприменение антивируса, МСЭ и проч. Идем дальше:

Статья 19 п.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Вот тут уже оператор обязан (!). И дальше идет перечисление перечня действий которые позволяют обеспечить безопасность. Хорошо, допустим он необязательный (идем от противного). Тогда читаем следующий пункт:

Ст. 19 п.3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;


Т.е правительство все же нам установит уровни и требования. А дальше:

Ст.19 п.4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

ФСТЭК и ФСБ расскажут как выполнить эти требования. Где здесь свобода выбора ?

А дальше в п.5, п.6, п.7 идет речь вообще об установлении списка угроз. Как скажите мне этот список угроз вяжется с требованиями, которые надо выполнить? Т.е. заметьте устанавливаются не требования, а список актуальных угроз. Кроме того, эти документы должны быть согласованы со ФСТЭК и ФСБ, а это значит, что если им что-то не понравится, то документы надо будет поправить, ведь так ?

И в завершение хочу сказать коллеги, в некоторых комментариях поднимается риторика, что те дескать г-н Вихорев по другую сторону барикад, ему "кушать" надо. Я, представитель компании-консультанта, хотя еще раз подчеркну, что данное письмо - моя личная инициатива и никак не связана с позицией моего работодателя, НО я убежден, что поправки нужны, в т.ч. для того чтобы все мы честно работали и получали свой хлеб за честную и нужную работу. На западе у консультантов есть хлеб и они приносят пользу бизнесу, никто (ну или мало кто) не называет их прихлебателями и вытягивателями денег. Мы - эксперты, которые помогают решать проблемы нашим Заказчикам. Мы знаем как хорошо сделать нашу работу и поверьте я не дурак и не пилю сук, на котором сижу. Я убежден, что принятие поправок, за которые мы агитируем, оздоровит рынок и даст работу всем, кто хочет и может честно и хорошо работать.




среда, 6 июля 2011 г.

Открытое письмо Д.А.Медведеву

Открытое письмо Президенту Российской Федерации Д.А. Медведеву


Уважаемый Дмитрий Анатольевич!


Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru http://kremlin.ru/assignments/11427 , а именно:


5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.

Срок – 1 августа 2011 г.


Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.


Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.


Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.


Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.


Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.


Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.


Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.




06.07.2011 Письмо подписали:

Бондаренко Александр

Волков Алексей

Лукацкий Алексей

Токаренко Александр

Царев Евгений

вторник, 5 июля 2011 г.

Госдума приняла поправки в 152-ФЗ !

Все, господа !

Госдума приняла поправки в 152-ФЗ. Смотреть тут.

Текст нового закона (с учетом правок) можно посмотреть здесь. От себя добавлю еще разок, что в целом по многим статьям действительно есть положительный сдвиг. Подкачала только (причем прям сильно подпортив впечатление от законопроекта) 19-я статья, и ее прям ну вот чуть-чуть подправить и будет всем счастье, но ведь на носу выборы ! не будет никто этим уже заниматься. Помните как в фильме "Гараж" - "если мы вас сейчас отсюда выпустим, то второй раз собрание по этому поводу вы уже не соберете".

Дополнение. После еще одного взгляда на новый ФЗ, пришли в голову еще некоторые крамольные мыли. А изменилось ли вообще что-то ? Давайте посмотрим:

Ст. 19 п. 3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Не кажется ли вам, коллеги, что это очень похоже на уже существующие постановления правительства ? Нужно только классификацию заменить на "определение уровня защищенности".

Ст.19. п.4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

А это очень похоже на методические документы ФСТЭК и ФСБ. Итог - практически ничего не изменилось, кроме того, что меня по прежнему смущает противоречие, заключающееся в том, что где-то говорится что требования для государственных и муниципальных учреждений, а где-то нет, как будто просто дописать забыли :)

суббота, 2 июля 2011 г.

152-ФЗ: второе чтение или нашла коса на камень ?

В пятницу 01.07.2011 состоялось второе чтение законопроекта по внесению изменений в 152-ФЗ. О сути неожиданных изменений уже довольно эмоционально высказались мои коллеги (Евгений Царев, Алексей Волков, Алексей Лукацкий).

Я обновил текст закона с учетом предполагаемых (теперь) правок. Текст выложен здесь. Желтым цветом отмечено то, что предлагалось в первой редакции, которая была вложена на сайте Госдумы, а бирюзовым то, что "подрехтовали" наши законодатели для обсуждения во втором чтении.

Вот некоторые комментарии по новому тексту с моей стороны:

1) Да, действительно видно, что из закона убрали почти все упоминания про отраслевые стандарты. Я не готов сказать, что это очень плохо. С правовой точки зрения любой стандарт может только дополнять, но никак не переопределять законы и постановления правительства и выпущенные в их поддержку методические документы. Я уже высказывался, что загонять всех под отраслевые стандарты - это тоже довольно жесткая крайность. И идея про то, что будут установлены базовые требования, а далее дополняйте исходя из модели угроз тоже не такая плохая на мой взгляд, другое дело, что как это у нас бывает, хорошая идея может быть плохо реализована и в "базу" запихают столько, что мама не горюй !

2) Не знаю бросилось ли другим в глаза, но меня лично очень смутило следующее противоречие:

Статья 18 п.3 Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами операторами, являющимися государственными и муниципальными органами.

Т.е вроде как документы Правительства должны распространяться только (!) на госов и муниципалов. Идем дальше:

Статья 19 п.3 Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

Вот тут просто не понятно. Устанавливает для кого ? Госов и муниципалов ? Идем дальше:

Статья 19 п.8 Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Т.е ФСТЭК и ФСБ опять же контролируют только госов и муниципалов. А другие организации могут проверять только по распоряжению Правительства (это говорится в следующем, 9-ом пункте)

Какие выводы из этого напрашиваются? Плохо что наши законы допускают двойное толкование, но теоретически можно предположить, что статья 19 практически полностью относится только (!) к государственным и муниципальным ИСПДн. Но вот так ли это ?

3) Уведомление в РКН нужно подать до 1 января 2013 г., т.е. есть еще 1,5 года на приведение в соответствие (неформально конечно, т.к. формально закон вступает в силу после его опубликования). Кроме того, отсутствие тех самых уровней защиты и требований со стороны Правительства опять создает элемент ожидания и неопределенности.

Но все не было бы так грустно, если бы не следующее:

Для кого пишутся законы ? Ну вроде как должны писаться для людей. Т.е. в первую очередь закон должен защищать граждан (как физических лиц, вручающих свои ПДн так и предпринимателей, их обрабатывающих). А что мы имеем ? В текущей редакции компании по прежнему больше будут боятся проверяющих, чем реальных инцидентов ИБ. Ведь в случае инцидента человек должен будет обращаться в суд, взыскивать моральный ущерб.... думаю все понимаю что это нереально. А вот если оператор не выполнил требования - получи административную, уголовную и иную ответственность. Субъект - хрен с ним, возьмите с него согласие на то, что вы можете делать с его данными что угодно и сколько угодно (поверьте многие дадут такое согласие, в т.ч. из-за безвыходности или по незнанию). И закон будет на стороне оператора. Что это значит ? Закон написан ДЛЯ ПРОВЕРЯЮЩИХ ! А значит это КОРРУПЦИОННЫЙ ЗАКОН ! Он никак не решит вопрос бесконтрольного распространения личной информации о гражданах на территории РФ.

Я не питаю иллюзий, закон уже видимо не изменят и это то, с чем скорее всего придется жить (хорошо, если только какое-то время). Все это рождает довольно неприятные эмоции.....но где наша не пропадала, будем работать с тем, что есть !