28.10.2009

История с ESET NOD32 продолжается

В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных.

Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом". Страшилка, не более. Ведь любой умеющий читать, давно прочел в ФЗ-152, что уведомлять надо за рядом исключений. И таких исключений немало. При правильном подходе можно вообще не уведомлять РКН, что, кстати, соответствует и европейской практике защиты прав субъектов ПДн.

Но это не единственный случай. Вернусь опять к ESET. Многие его партнеры на днях получили письмо следующего содержания (выдержка): "Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных".

Ну это уже пошел откровенный обман и надувательство. Я понимаю, что вписать в ТУ требования к антивирусу для ИСПДн К1, а потом сертификационной лаборатории проверить их реализацию, - это глубоко интеллектуальная работа. Но зачем же врать и называть свой продукт единственным? То, что у него одного в сертификате есть приписка про ИСПДн К1, еще не делает его единственным подходящим продуктом. Зато клиенты и партнеры напуганы уголовной ответственностью... Наступает замечательное время для втюхивания любого merde (как говорят французы).

ЗЫ. А еще на сайте ispdn.ru слово "персанальные" почему-то пишут через "а", а не "о" ;-(

43 коммент.:

Alexey Babenko комментирует...

ЛК тоже поспешила отреагировать:
http://www.mskit.ru/news/n66168/

Евгений Родыгин комментирует...

2 Алексей
см. Почту...

p.s. Будь бдителен! (с) swan

Евгений Родыгин комментирует...

По поводу самохваленого продукта - пока не почитал документы трудно что то сказать но у меня их нет... ТУ, Формуляр, руководства...

Анонимный комментирует...

Алексей Викторович - вопрос по поводу встречи на 11 ноября в АРБ. Вы за свои деньги пошли или вам Cisco оплатило или для Вас бесплатно)))???

Алексей Лукацкий комментирует...

Анонимному: Я не совсем понял вопрос ;-(

Анонимный комментирует...

Вопрос о Конференции
«О реализации требований Федерального закона
от 27 июля 2006 г. № 152-ФЗ "О персональных данных"»
11 ноября 2009 года
Выставочный центр "ИнфоПространство"
(Москва, 1-ый Зачатьевский переулок, дом 4)

Михаил комментирует...

А кстати будите ли Вы вывешивать материалы после данного мероприятия?

Алексей Лукацкий комментирует...

Анонимному: Я понял о каком ммероприятии идет речь. Я о другом. Понятно, что я буду выступать на данной конференции. Но так ли важны условия моего участия для слушателей? Важен ведь контент и практическая польза от выступления.

Михаилу: Моя презентация точно будет ;-)

Игорь Ю. Шахалов комментирует...

Алексей Викторович, ну что ж Вы так ispdn.ru не любите? Вроде бы Вы сами на форуме там отмечались, не так ли? Что Вам там не понравилось?
Или Вам больше "Эшелон" не нравится? Кстати, какой из двух "Эшелонов" Вам насолил? ООО или ЗАО?

Позвольте несколько реплик по Вашему сообщению.

1. Кем сайт назван "первым"? Не нашел на сайте такого.
Откуда Вы взяли данные, что этот сайт "ни по популярности, ни по времени появления, даже в пятерку не входит"? По каким критериям?
Может ссылочку на рейтинги дадите?
Яндекс его вторым показывает (после "dom.bankir.ru"), а Google тот вообще на первое место ставит.

2. По поводу "Страшилки, не более" ©.
Уважаемый Алексей Викторович! Не надо успокаивать зря людей! Я себя лично отношу к умеющим читать и давно прочел ФЗ 152. И (не поверите!) п.2 ст.22 тоже своим вниманием не обошел, честное слово! И сдается мне, что если все начнут (по Вашему совету о «правильном подходе») находить лазейки о «не уведомлении» РКН, то СКОЛЬКО же у нас станет операторов связи, а так же религиозных и общественных организаций! Яблоку некуда упасть будет. А все ИСПДн сразу же получат статус федеральных АИС. Я правильно Вас понял?
Впрочем, мы с Вами уже спорили на ваших семинарах. Я тогда еще не был в «Эшелоне». Не убедили вы меня. Может быть потому что позицию регуляторов я знаю «изнутри».
Поверьте, Алексей Викторович, не надо расхолаживать людей. Не за всеми же такая мощная компания стоит, как за Вами. Медвежью услугу можете оказать тому, кто вам поверит.

3. А вот про «персАнальные» на сайте… Это там действительно в КАЖДОМ слове столь постыдная ошибка? Или кто-то описАлся (внимание на ударение, пожалуйста)?
М-да, Алексей Викторович, не ожидал…
Честное слово не ожидал.
После чтения Ваших материалов, глубоко аналитических и логичных, после личного общения с Вами на Ваших семинарах не ожидал от Вас столь МЕЛОЧНОГО укола.
Печально…

С уважением,
Шахалов И.Ю.
Зам. гендиректора по экспертизам
ЗАО «НПО «Эшелон»

Анонимный комментирует...

Игорю Ю. Шахалову: посмотрите "подвал" сайта:
"© 2009 ispdn. ru — первый сайт о защите персональных данных. "

:-)

Игорь Ю. Шахалов комментирует...

Точно, спасибо Анониму.

Каюсь, подвалы обычно не читаю, увы...
:-(

Ну, что ж, все мы немножко тщеславны...
Но Google все же ставит нас первыми, однако!
:-)

Подумаем.
Еще раз спасибо.

Анонимный комментирует...

Игорю Шахалову от Другого Анонима

"...Я себя лично отношу к умеющим читать и давно прочел ФЗ 152
...все начнут находить лазейки о «не уведомлении» РКН, то СКОЛЬКО же у нас станет операторов связи, а так же религиозных и общественных организаций.."

Значит плохо читали..
Достаточно странное сравнение ч.2 ст.22 и ч.2 ст.6.
Чтобы не рисовать тут таких глупостей, читать 152-ФЗ надо внимательнее, уважаемый.

Алексей Лукацкий комментирует...

Игорю Шахалову: Да упаси меня Бог не любить компании ;-) Они же не женщины, не дети и не Родина ;-) Я могу критически относиться к деятельности тех или иных компаний - это правда.

Я на форуме ispdn не отмечался ни разу - читал только. И к Эшелону у меня претензий нет - не сталкивала нас судьба. Претензии скорее к администрации сайта ;-) Я также критикую Leta IT, Информзащиту и многих других интеграторов от ИБ, которые запугивают своих клиентов или, в лучшем случае, однобоко смотрят на тему ПДн.

Я же стараюсь показывать и другую точку зрения и пусть уже потребитель сам решит - отдаваться с потрохами интегратору или пободаться, прибегая к усилиям юристов или борясь самостоятельно. Я даю выбор, а интеграторы нет ;-( Вот и вся разница.

Насчет чтения ФЗ-152... В том-то и дело, что вы читаете только ФЗ-152 и подзаконные постановления, а я еще и другие нормативные акты - ФЗ-184, ФЗ-294, ФЗ-125, ФЗ-128, ФЗ-218, ФЗ-395, ГК РФ и т.д. И в совокупности картина уже не такая радужная, как это видится регуляторам, у которых, к сожалению, желание не помогать операторам, а кошмарить их. Как говорится, при аудите можно искать соответствие тому, на что проверяем, а можно быть настроенным находить несоответствия. Вот в России идут по второму пути, а в Европе - по первому.

И я ни слова не говорю про лазейки - я говорю про грамотное чтение ФЗ. Когда регулятор начинает утверждать, что договор должен быть собственноручноподписанным, то мне становится грустно... Это демонстрирует уровень его юридической подготовки. Он видимо не смотрел ГК, где написано, что такое договор и в какой форме он может быть заключен. Хоть через нажатие кнопки "Согласен" (с соблюдением дополнительных условий). Или согласие. Я ни разу от регулятора не слышал термина "конклюдентные действия", а он является основополагающим в сфере ПДн. И этот список можно продолжать очень долго. И я на семинарах и курсах говорю именно про это...

Про описку... мелочь, не буду спорить. Но глаз зацепился ;-( Когда меня тыкают в ошибки у меня на блоге, я говорю спасибо и исправляю ;-) Хотя у меня-то вообще личный сайт ;-)

Анонимный комментирует...

Всем веселый привет!

Эх, мое мнение, что идет «конкурентная борьба» между уважаемыми поставщиками 2-х антивирусов.
Один из камней преткновения – новый сертификат на NOD32. Предполагается, что сотрудники органов аттестации (извините, «в тупую») смотрят сертификат, а там есть какая-то запись про ИСПДн, в других сертификатах такой, ну, записи нет.
При этом, ЧТО аргументировано говорят на этом блоге или форуме ispdn.ru, поверьте, органам аттестации до лампы, им нужен формальный документ в аттестационное дело. Это субъективный фактор. Хотят, воспримут сертификат, хотят - нет. Можете судиться, виновных когда-нибудь накажут, вам это надо?

Проблема-то в ФСТЭК, они зачем-то вписывают эту запись про ИСПДн в сертификат и реестр. Зачем, ведь испытания проводились на РД и ТУ, а не на методические документы?!!
Про эту запутаницу – надо тормошить «возмутителей спокойствия» из ФСТЭК.

========================

3 копейки про ispdn.ru, так как там функционирую в новостях:

- что твориться на форуме ispdn.ru – это к официальному и неофициальному мнению ЗАО НПО Эшелон отношения НИКАКОГО ОТНОШЕНИЯ НЕ имеет, форум жестко НЕ модерируется, это железно;

- «первый сайт» – главное, что не нулевой; просто, у нас есть второй; кстати, сколько сайтов по ПДн, а не блогов (Ваш блог не по ПДн, а по ИБ)? 3-5? - у нас первый с конца (кто-то назвал, все забыли уже);

- «перс-АНАЛьные» - ужос, ну, Алексей, эх-хе, не расстраивайте меня, где Ваш искрометный юмор? Извините, может задел чью-то нравственность.. жизнь должна быть веселая..

С веселым уважением, Ононим.

Евгений Родыгин комментирует...

Нужно запустить альтернативный сайт
www.antispdn.ru

Евгений Родыгин комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Онониму: У меня юмор в области персАНАЛьности как-то не выходит ;-(

Анонимный комментирует...

1. Алексею: не надо утрировать.

2. ЕвГению:
" Нужно запустить альтернативный сайт
www.ant ispdn.ru - грустный сайт"

Чем Вас не устраивает: http://pd.rsoc.ru
- все грамотно, толково и спокойно, и про enod32 - ни слова!

3. Давайте передеремся!

Ононим

Евгений Родыгин комментирует...

Из сайтов мне больше всех нравится wikisec.ru

Игорь Ю. Шахалов комментирует...

Алексею Лукацкому.
Ответом мне удовлетворен, понимаю (но не во всём принимаю) Вашу точку зрения.

На этом считаю дискуссию завершенной и откланиваюсь.
:-)

Анонимный комментирует...

Другой Аноним пишет:
"Игорю Шахалову от Другого Анонима
...
Значит плохо читали..
Достаточно странное сравнение ч.2 ст.22 и ч.2 ст.6.
Чтобы не рисовать тут таких глупостей, читать 152-ФЗ надо внимательнее, уважаемый."

Стоп, стоп, стоп, Другой Анонимный!
Ничего личного, взгляд со стороны.
От Третьего Анонимного.

Ваша реплика не проходит, Вам минус, уважаемый.
Скорее всего это Вы написали глупость, плохо прочитав исходное сообщение автора этого блога.

Цитата из Лукацкого:
"Ведь любой умеющий читать, давно прочел в ФЗ-152, что УВЕДОМЛЯТЬ надо за рядом исключений. И таких исключений немало. При правильном подходе можно вообще не УВЕДОМЛЯТЬ РКН..."

И где здесь место для ч.2 ст.6?
При чем здесь УВЕДОМЛЕНИЕ РКН и УСЛОВИЯ ОБРАБОТКИ ПДн?
Разницу улавливаете? На всякий случай объясню.
Обработкой ПДн должен заниматься ОПЕРАТОР ПДн, сл-но он УЖЕ уведомил РКН!

Алексей Лукацкий ниже Вашего поста объяснил свою позицию по-другому, но по-правильному.

Так что не всегда спешить полезно и лезть поперед батьки...
ИМХО.

Алексей Лукацкий комментирует...

А дело не в батьке ;-) Дело в том, что здравый смысл подсказывает, что исключения из ст.6 и ст.22 должны коррелировать друг с другом. А этого нет ;-(

Анонимный комментирует...

С какой это стати?
Повторяю.

ОБРАБОТКУ ПДн должен вести ОПЕРАТОР.
А оператор оператором становится ПОСЛЕ УВЕДОМЛЕНИЯ РКН.
А Вы о чем писали в своем сообщении?
Об ОБРАБОТКЕ или все же об УВЕДОМЛЕНИИ?

Есть правила и исключения по допуску к работе и есть правила и исключения по выполнению работы.
На каком основании Вы говорите о корреляции? Это разные процессы - допуск и обработка.
Что-то, возможно, должно совпадать, а что-то и нет. Обязаловки здесь БЫТЬ НЕ МОЖЕТ.
Могут быть ТОЛЬКО СОВПАДЕНИЯ.
ИМХО.

Алексей Лукацкий комментирует...

СТОП! На каком основании вы сделали вывод, что оператором юрлицо или ИП становится только после уведомления? Это заблуждение ;-( Оператором лицо является из самого факта обработки ПДн. Вопрос уведомления вообще десятый. Я имею полное права не уведомлять РКН, если попаду под исключения. А в Европе таких исключений вообще масса - там еще и саморегуляция в полный рост применяется.

А корреляция вполне логична. Цель данных статей - защитить права субъектов. И если мне не нужно получать согласие на обработку ПДн от их субъекта, то зачем об этом уведомлять РКН? Смысла в этой операции никакого.

Анонимный комментирует...

Согласен, поторопился.
Sorry...
Имелось ввиду, что "Оператор ДО НАЧАЛА ОБРАБОТКИ персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2..." статьи 22.
А вот потом уже можно организовывать исключения.
Исключительно ИМХО.

Допустим, Вы подписали договоры с рядом субъектов, а один из них (всего один!) отказался. А Вы еще не уведомили РКН.
Ваши действия? Срочно уведомить?
А ПДн Вы-то УЖЕ обрабатываете! Нарушение?

Алексей Лукацкий комментирует...

Если он отказался - я удалил его ПДн и все - уведомлять не обязан.

doom комментирует...

2 Анонимный:
>Проблема-то в ФСТЭК, они зачем-то вписывают эту запись про ИСПДн в сертификат и реестр. Зачем, ведь испытания проводились на РД и ТУ, а не на методические документы?!!

Попробую объяснить и зачем ФСТЭК пишет и орган по аттестации смотрит наличие такой записи...
Много ли вы знаете средств антивирусной защиты, которые реально удовлетворяют всем требованиям, предъявляемым Основными мероприятиями? Я, честно говоря, ни одного не знаю - потому что там местами такое понаписано, что в здравом уме никто реализовывать не станет.
В результате кто-то вынужден "брать грех на душу" и закрывать глаза не невыполнимые требования - пусть лучше это будет орган по сертификации, который напишет, что в К1 и т.п. можно использовать - это даст 100% гарантию и оператору, и органу по аттестации, что регулятор при проверке ничего не предъявит.
Ну а поводу сертификации на соответствие ТУ и РД - это явно продолжение практики с приписками "...может применяться для построения автоматизированных систем до 1Г включительно" - там тоже была проблема с невыполнимыми (в силу того, что они банально устарели) требованиями, которые при этом официально никто не отменял...

Анонимный комментирует...

Как всё просто, но на самом деле с удаление ПДн есть свои подводные камни. Нюанс м.б. в том, что субъект не отозвал согласие, а не написал согласие.
Удаление ПДн - это тоже обработка, п.3, п.7 ст. 3 152-ФЗ, а на обработку (в т.ч. блокирование) согласия субъекта нет. Блокировать можно по предписанию РКН, но для этого нужна проверка. Субъект может не написать заявление об удалении ПДн и затем потребовать доступ к своим ПДн (п.1 ст.14 152-ФЗ)
Согласие м.б. получить трудно (чел. напр. в декретном отпуске и уехал за рубеж, или ещё хуже, если количество субъектов очень большое)
И ещё для уничтожения ПДн нужно составлять акт об уничтожении, не нашел в соответствии с каким документом это требуется, но РКН ссылается на п.п. 3,4 ст.21 ФЗ - там же есть и об уведомлении субъекта и РКН.

Анонимный комментирует...

"Алексей Лукацкий пишет...
Если он отказался - я удалил его ПДн и все - уведомлять не обязан."

Нет, не убедили!
Не все так просто... (см пост выше)

А вообще ситуация напоминает взывания на автомобильных сайтах:
"...проехал на "кирпич", гайцы права отобрали - беспредел!!!! Помогите права вернуть!"
И вот находятся "добрые души" и советуют как бороться с гайцами (не с нарушениями!) и находить "дырочки" в нормативных актах.

Простите за офф...

Анонимный комментирует...

Третьему Анониму от Другого Анонима


Вам минус 2..
Далековато и Вам, уважаемый до батьки.
Совет тот же, читайте закон..

Алексей Лукацкий комментирует...

Если я грамотен, то я при подписании договора напишу, что согласие является существенным условием договора. Отозвал согласие - я договор прекращает свое действие, обработка прекращается и ПДн автоматически уничтожаются. При условии, что у меня согласие не учитывает возможность обрабатывать данные в целях исполнения федерального законодательства и в течение сроков исковой давности. В этом случае я на заявление субъекта плюю с высокой колокольни, т.к. у меня есть оправдание своих действий с опорой на ФЗ, а у субъекта всего лишь ничем не обоснованное желание. Не абсолютизируйте права субъекта ;-)

Анонимный комментирует...

А когда абитуриент, зачисленный на первый курс НЕ ПОДПИСЫВАЕТ разрешение на обработку ПДн?
Не зачислять?
А он на законных основаниях стал студентом, обязательно в суд подаст!
Как в этом случае быть?

Анонимный комментирует...

"Анонимный пишет...
Третьему Анониму от Другого Анонима
Вам минус 2..
Далековато и Вам, уважаемый до батьки.
Совет тот же, читайте закон.."

Вы, уважаемый, даже посты коротенькие невнимательно читаета, не то что законы, где букв много...
На роль батьки и не напрашивался...
Лукацкого имел ввиду, внимательный вы наш.

А насчет закона... Опять 25!
Да читаю. читаю! Может, что МЕЖДУ строк написано?..
Вопрос остается.
Что первично?
Уведомление или обработка?
ОДНИМ словом ответьте, пожалуйста.

Алексей Лукацкий комментирует...

Студент, подающий в суд на ВУЗ? Да он первую сессию не переживет ;-)

Анонимный комментирует...

Вы исходите из того, что обработка ПДн ведется после подписания договора, который разработан с учетом положений ФЗ-152, однако описываемая проблема актуальна для тех организаций, которые начали обрабатывать ПДн, когда ещё ФЗ-152 не было, о согласии субъекта тогда вопрос не поднимался, а сейчас...
Сейчас, даже доп. соглашение к договорам разработано, подписи собрать у всех субъектов до 1 января 2010 г. некоторые операторы могут просто не успеть.
Обсуждение перешло за рамки сабжа, сорри, что и я внес свою лепту...
Пусть регуляторы думают.
С уважением, Alex.

"Неповинной главе всех и дел-то, что ждать топора да зелёного лавра." И.Бродский "Конец прекрасной эпохи"

Алексей Лукацкий комментирует...

Вообще-то для этих случаев существует ст.4 ГК, которая гласит, что "закон обратной силы не имеет". Я не обязан ничего делать для договоров, заключенных до вступления ФЗ-152 в силу.

Анонимный комментирует...

А что "главнее" ГК или ФЗ? :)
см. п.п. 2, 3, 4 статьи 25 ФЗ-152
ФЗ - в сад? :)

doom комментирует...

Вообще-то все кодексы - это федеральные законы. Просто длинные шибко. Ну а раз ГК принят раньше, то он главнее.

Алексей Лукацкий комментирует...

Вообще-то пункты 2 и 3 касаются ИСПДн, а не получения согласия. Что касается 4-го пункта, то он также не касается согласия и договора, а только уведомления.

Анонимный комментирует...

п 2. ст. 25 "После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом."
Касается обработки ПДн, которая предусматривает и согласие и договора (регулирует отношения, связанные с обработкой), см. п.1 ст.1 ФЗ, про определение ИСПДн уже много везде говорили.

Алексей Лукацкий комментирует...

Стоп. Мы же рассматриваем ситуацию с наличием договора. А он самодостаточен и никакого отдельного согласия не надо.

Stas Lutatovsky комментирует...

Алексей Лукацкий пишет...
Студент, подающий в суд на ВУЗ? Да он первую сессию не переживет ;-)

Плохо Вы знаете современных студентов и их юридически продвинутых родителей - эти и ВУЗ засудят и до диплома всеми правдами и неправдами дойдут. Кроме того, есть социальные льготники (сироты, инвалиды детства). С данной категорией студентов и судиться невозможно - суд априори встает на их сторону.

Алексей Лукацкий комментирует...

Много реальных примеров есть, клшда студенты судятся?