+7 (495) 229-0436   shopadmin@itshop.ru 119334, г. Москва, ул. Бардина, д. 4, корп. 3
 
 
Вход
 
 
Каталог
 
 
Подписка на новости
Новости ITShop
Windows 7 и Office: Новости и советы
Обучение и сертификация Microsoft
Вопросы и ответы по MSSQLServer
Delphi - проблемы и решения
Adobe Photoshop: алхимия дизайна
 
Ваш отзыв
Оцените качество магазина ITShop.ru на Яндекс.Маркете. Если вам нравится наш магазин - скажите об этом Google!
 
 
Способы оплаты
Яндекс.Деньги VISA, EUROCARD/MASTER CARD, DCL, JCB WebMoney RBK Money Деньги@mail.ru Сбербанк РФ ASSIST QIWI кошелек
 
Курс расчета
 
 1 у.е. = 63.48 руб.
 
 Цены показывать:
 
 
 
 
  
Новости, статьи, акции
 

Пять сравнительно легальных способов сопротивления ФЗ-152

22.12.2009 13:43

Закон "О персональных данных" (ФЗ-152) сейчас является горячей темой, поскольку он нов, жесток и недостаточно проработан. Некоторые неоднозначности закона могут трактоваться по-разному, поэтому компании, которые занимаются информационной безопасностью, часто призывают перестраховаться. Их желание получить больше денег понятно, однако неопределенности закона операторы персональных данных могут трактовать и в свою пользу.

Мы рассмотрим в этой статье некоторые несоответствия и наметим пути их использования для оптимизации затрат на защиту персональных данных.

Способ первый - у семи нянек...

За соблюдением закона ФЗ-152 по закону должны следить несколько ведомств, из которых наиболее активными являются три: Роскомнадзор, ФСТЭК и ФСБ. Роскомнадзор отвечает за проведение проверок, ФСТЭК - за сертификацию средств защиты, не содержащих шифрование (читай для нераспределенных систем), а ФСБ - сертифицирует средства криптографической защиты. Однако известно, что у семи нянек дитя без глазу. Чтобы воспользоваться этой особенностью закона стоит попробовать поссорить проверяющих из разных ведомств.

В частности, с первичной проверкой защиты могут прийти только проверяющие из Роскомнадзора - это ведомство отвечает за контроль операторов персональных данных. При этом само ведомство имеет права проводить лишь проверку документов, описывающих обработку персданных, и их реальное выполнение. Причем первичная проверка может выполняться вообще дистанционно - без выезда и только с пакетом документов. При этом если в документах не будет найдено нарушений, то и выездной проверки может и не быть. А поскольку в 2010 году будет проводиться массовая проверка операторов, то, скорее всего, именно на уровне документальной проверки все и должно остановиться. Поэтому стоит подготовить безупречный набор документов - этого может оказаться достаточно.

Собственно, полномочия проверяющих и процедура проверки должна быть сформулирована в приказе о проведении проверки, который должно прислать проверяющее ведомство. Не стоит выдавать проверяющим документов больше, чем они потребуют, да и те, которые требуют не стоит отдавать безоговорочно. Дело в том, что сам Роскомнадзор может стать причиной утечки персональных данных - кто же его проверит на соответствие требованиям закона? Поэтому передавать проверяющим сами персональные данные нельзя ни при каких условиях. Проверяться должны только документы, описывающие защиту. Если Роскомнадзор будет требовать персональные данные, то это может означать только одно - чиновники хотят стать дилерами по продаже этих данных.

Собственно, у любого оператора должно быть положение об обработке персональных данных с приказами о назначении ответственных и ведомостью об ознакомлению с положением всех сотрудников. Здесь ситуация, скорее всего, будет такая же как в противопожарной безопасности. Разница в том, что в положении должны быть перечислены информационные системы, обрабатывающие персданные, а также зафиксирована их классификация. Дальнейшие проверки уже зависят от этой классификации.

Способ второй - сам себе режиссер

Дело в том, что классификацию персональных данных и информационных систем (ИСПДн) должны проводить сами операторы. Всего классов четыре, причем самый слабый из них - четвертый, который определяет обезличенные или публичные персональные данные. Защита этих данных находится полностью на совести владельца информационной системы - не требуется даже сертификация средств защиты. Под этот тип персональных данных можно подвести практически все справочники и другую контактную информацию, которую можно объявить общедоступной в пределах компании.

Способ третий - разделяй и властвуй

Однако не все данные можно сделать общедоступными, но практически все можно обезличить. Обезличенными данными являются те, по которым невозможно идентифицировать конкретного человека. Некоторые представители Роскомнадзора считают, что фамилия, имя и отчество не являются персональными данными, поскольку им могут соответствовать сразу несколько человек. Персональными данными могут быть только совокупность данных, про которую известно, что она принадлежит одному человеку.

Это свойство персданных и можно использовать для обезличивания - достаточно набор данных расчленить так, чтобы каждая отдельная часть не позволяла идентифицировать человека. Все же данные вместе позволяет собрать только уникальный идентификатор, к которому и привязываются каждые отдельные части. Можно каждую отдельную часть хранить в собственной системе класса четыре, для защиты которой не требуется даже сертифицированных средств защиты. В качестве же обезличенного идентификатора можно использовать номер контракта, лицевой счет, ИНН или любой другой случайный, но уникальный идентификационный номер.

Способ четвертый - не типичный случай

Данные можно расчленить, но уже работающую систему - нельзя. В то же время все российские CRM, ERP, бухгалтерии и кадровые системы проектировались без учета требований закона ФЗ-152 и обезличивания данных. Я бы не рекомендовал переход на иностранные системы, которые в большинстве своем предусматривают обезличивание - у них конвенция о защите персданных существует с 1981 года и ее требования принимались в расчет при проектировании программного обеспечения. Однако переход на эти системы требует времени и определенных вложений. Я же предлагаю использовать другой метод - назвать такие системы специальными.

Дело в том, что классификация систем по уровню необходимой защиты и соответственно необходимый набор средств защиты определена только для так называемых типовых систем, которых по некоторым оценкам всего около 3%. Основная масса систем являются специальными, в том числе и перечисленные выше типы приложений. Выбор средств защиты для ни определяется с помощью так называемой модели угроз, формирование которой также находится на совести оператора. Вполне возможно, что для вашей специальной системы достаточно будет сертифицированного антивируса. Правда для использования этого метода придется написать достаточно много документов, которые должны потребовать проверяющие. Тем не менее это может оказаться дешевле, чем внедрение всех требуемых для типовой системы средств защиты.

Способ пятый - моя хата с краю

В некоторых случаях приложение, которое обрабатывает персональные данные, вообще навязано компании из-вне. Например, налоговая инспекция может потребовать использовать для связи с ней и заполнения налоговой декларации специального приложения. Или в некоторых школах министерство образования требует использования для подготовки отчетов специального программного обеспечения. К таким программам также относятся системы клиент-банк (например, для связи со "Сбербанком") или системы СОРМ у операторов связи.

Здесь следует помнить, что ИСПДн - это все-таки система, то есть по определениям ГОСТов комплекс из аппаратного обеспечения, программы и окружающей среды. Если вы не можете контролировать, например, программное обеспечение, то и вся система является не вашей, а той компании или ведомства, которое эту программу разработало. В то же время именно оператор, то есть владелец системы, должен заботиться о защите обрабатываемых в ИСПДн данных, а не те компании, на компьютерах которых она установлена.

Предупреждение:

Автор не несет ответственности за то, что проверяющие Роскомнадзора и других ведомств не прочитали данной статьи, не согласны с ее положениями или имеют собственное мнение по описанным выше темам. Поэтому рекомендуется обратиться к профессиональным консультантам, которые более корректно проработают основные положения данной статьи. К тому же если в компанию обратиться с жалобой конкретный человек и потребует уничтожения своих персональных данных, то любая компания должна уничтожить данные в трехдневный срок, независимо от требований СОРМ - ФЗ-152 имеет приоритет над любыми требованиями подзаконных актов.

Также отмечу, что в статье описаны лишь общие принципы оптимизации расходов на удовлетворение требований законодательства, однако они не решают основной проблемы - собственно защиты от утечек. Если в компании произойдет утечка, то предложенные средства, скорее всего, не сработают. Поэтому компании лучше позаботиться о внедрении средств защиты от утечек.

Ссылки по теме

  
Помощь
Задать вопрос
 программы
 обучение
 экзамены
 компьютеры
Бесплатный звонок
ICQ-консультанты
Skype-консультанты

Общая справка
Как оформить заказ
Тарифы доставки
Способы оплаты
Прайс-лист
Карта сайта
 
Популярные статьи
CASE Разработка ПО Информационная безопасность Microsoft IBM Rational Офисное ПО САПР Управление проектами Управление качеством Управление разработкой ПО Разработка веб-приложений Интеграция приложений и данных Разработка отчетных форм Антивирусное ПО и защита от спама Управление ИТ-инфраструктурой Оптимизация бизнес-процессов ИТ-Обучение AutoDesk IBM Embarcadero ИТ-Сертификация Eset Software Лаборатория Касперского IBM Lotus Clouds Мобильные приложения IBM Big Data IBM Tivoli Software Blockchain ISpring
 
Бестселлеры
Курсы обучения "Atlassian JIRA - система управления проектами и задачами на предприятии"
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год. Электронный ключ
Microsoft Windows 10 Профессиональная 32-bit/64-bit. Все языки. Электронный ключ
Microsoft Office для Дома и Учебы 2016. Все языки. Электронный ключ
Курс "Oracle. Программирование на SQL и PL/SQL"
Курс "Основы TOGAF® 9"
Microsoft Windows Professional 10 Sngl OLP 1 License No Level Legalization GetGenuine wCOA (FQC-09481)
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год. Электронный ключ
Windows Server 2016 Standard
Курс "Нотация BPMN 2.0. Ее использование для моделирования бизнес-процессов и их регламентации"
Антивирус ESET NOD32 Antivirus Business Edition
Corel CorelDRAW Home & Student Suite X8
 

О нас
Интернет-магазин ITShop.ru предлагает широкий спектр услуг информационных технологий и ПО.

На протяжении многих лет интернет-магазин предлагает товары и услуги, ориентированные на бизнес-пользователей и специалистов по информационным технологиям.

Хорошие отзывы постоянных клиентов и высокий уровень специалистов позволяет получить наивысший результат при совместной работе.

В нашем магазине вы можете приобрести лицензионное ПО выбрав необходимое из широкого спектра и ассортимента по самым доступным ценам. Наши менеджеры любезно помогут определиться с выбором ПО, которое необходимо именно вам. Также мы проводим учебные курсы. Мы приглашаем к сотрудничеству учебные центры, организаторов семинаров и бизнес-тренингов, преподавателей. Сфера сотрудничества - продвижение бизнес-тренингов и курсов обучения по информационным технологиям.



 

О нас

 
Главная
Каталог
Новинки
Акции
Вакансии
 

Помощь

 
Общая справка
Как оформить заказ
Тарифы доставки
Способы оплаты
Прайс-лист
Карта сайта
 

Способы оплаты

 

Проекты Interface Ltd.

 
Interface.ru   ITShop.ru   ERPforum.ru    Interface.ru/training   Olap.ru   Job.com.ru   ITnews.ru  
 

119334, г. Москва, ул. Бардина, д. 4, корп. 3
+7 (495) 229-0436   shopadmin@itshop.ru
Проверить аттестат
© ООО "Interface Ltd."
Продаем программное обеспечение с 1990 года