Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико - всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона "О персональных данных".
1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.
2. Личными и семейными нуждами пользование телефона не ограничивается.
3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.
4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен:
- защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации
- средства защиты моего телефона должны иметь сертификат ФСТЭК
- ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей
- провести аттестацию своего телефона
- иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн)
- иметь на телефоне IDS, обнаруживающие аномалии
- иметь МСЭ 3-го класса
- реализовать замкнутую программную среду
- автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона
- реализовать ролевое управление системой защиты своего телефона
- контролировать информационные потоки к системе защиты своего телефона
- очищать оперативную память после завершения работы с ПДн
- маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет)
- автоматически контролировать корректность работы аппаратных частей телефона
- реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств
- установить на телефон Honeypot
- идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления
- регистрировать запуск/останов работы всех подсистем системы защиты
- регистрация каждой операции управления системой защиты
- установить на телефон поведенческую HIPS
- автоматически блокировать обнаруженные атаки
- контролировать целостность системы защиты, ее обновлений и компонентов
- обеспечить физическую охрану телефона
- регулярно сканировать телефон на предмет наличия в нем уязвимостей
- иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности
- и еще по мелочи...
5. Что у меня все-таки реализовано:
- блокирование терминала после заданного интервала неактивности
- антивирусный контроль
- идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.
И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?
15 коммент.:
Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? ;-)
Алексей, я сейчас очень зажат по времени, но на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются - Ф.И.О., места работы и номера телефона недостаточно, чтобы однозначно указать на человека, нужна еще какая-нибудь система с помощью которой это можно будет сделать - например, база опсоса или, скажем, база налоговой (чтобы выявить, что такое сочетания Ф.И.О. уникально). Вот она-то и есть ИСПДН, а твоя Нокия просто Нокия.
ФИО/фирма/должность/контакты напечатаны на всех визитках мира, однако визиткодатели не передают вместе с визиткой письменное согласие на обработку, а визиткополучатели не бегут ставиться на учет в качестве операторов. А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.
Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? ;-)
А он еще и антиспам заодно реализует ;-)
Что, были случаи, когда он успешно блокировал спам по SMS/MMS? ;-)
однако визиткодатели не передают вместе с визиткой письменное согласие на обработку
А у тебя не автоматизированная обработка в данном случае.
А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.
Конвенция одна, подзаконные акты разные.
на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются
Согласно определению "персональные данные" - это любая информация об определенном или поддающемся определению физическом лице. Это определение находится ВЫШЕ чем определение 152 ФЗ.
Что, были случаи, когда он успешно блокировал спам по SMS/MMS?
Регулярно ;-) Когда едешь заграницу и тебе какой-то оператор присылает напоминалки про то, что он самый лучший в этом регионе ;-)
> это любая информация об
> определенном или поддающемся
> определению физическом лице
От замены "бумажной" на "автоматизированную", "идентифицируемого" на "определяемого" и "относящейся" на "об" суть дела не меняется - укажи-ка на конкретное физическое лицо сначала.
У тебя в контактах есть имярек (Василий, условно говоря, Пупкин), а также место работы и телефон.
Я тебе предложу его опознать в группе лиц или распечатаю все адреса, по которым проживают Василии Пупкины - ну-ка покажи пальцем, опираясь только на свою книжку-то.
А ты считаешь, что "опознать" можно только физически? Путем предъявления трудовой книжки?
Алексей, идентификация физического лица - это однозначный линк на конкретный организм. Если Вы не можете сказать, к какому именно Пупкину относятся Ваши знания, что он CSO Рогов&Копыт с телефоном 31415926, то это ни разу не персональные данные.
Офтопик по итогам прослушивания презентации:
а) можно точную формулировку про межрегиональных/мономуниципальных субъектов?
б) примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе.
по поводу телефона... и так.. масла подлить ...
вот основной перечень документов по ПДн
1.1. Указ Президента Российской Федерации № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111).
1.2. Федеральный Закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации».
1.3. Федеральный Закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».
1.4. Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5. Приказы от 13 февраля 2008 года - ФСТЭК России № 55, ФСБ России № 86, Министерства Информационных Технологий и Связи России № 20, «Об утверждении порядка проведения классификации информационных систем персональных данных».
1.6. Приказ № 154 от 28 марта 2008 г. Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия «об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных».
1.7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14.02.2008.*
1.8. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.10. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
итак...
в соответствии с 1.1. ПДН => конфиденциальная информация...
непосредственно у Вас лично есть лицензия по конфиденциалке ? ))
так вот ФЗ говорит о чем...
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
тоесть можете телефоном пользоваться спокойно... или почти спокойно...
хотелось бы перевести тему в другую плоскость...
так как ПДн = конфиденциалка... то как дружат между собой требования по защите ПДн и требования по защите конфиденциалки...
да.. еще интересный вопрос... про связь с конфиденциалкой...
а если я не использую инф систему а просто на бумажке пишу в ежедневник... я его как вести должен в соответствии с чем ?!
Алексей, идентификация физического лица - это однозначный линк на конкретный организм.
Это из закона? Или личная точка зрения?
можно точную формулировку про межрегиональных/мономуниципальных субъектов?
в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом
И т.д.
примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе
Только она у тебя лежит на компе, к которому доступ с разными правами. Значит защищаешь как с разными правами.
непосредственно у Вас лично есть лицензия по конфиденциалке ? ))
А мне зачем? Я не юрлицо и не частный предприниматель.
тоесть можете телефоном пользоваться спокойно...
Я же четко написал, что я пользуюсь телефоном не в личных целях. А остальные подпункты к телефону не относятся.
как дружат между собой требования по защите ПДн и требования по защите конфиденциалки...
А они у нас есть? Или имеется ввиду СТР-К? Так они рекомендация, а ПДн - обязаловка.
если я не использую инф систему а просто на бумажке пишу в ежедневник... я его как вести должен в соответствии с чем ?!
Если есть признаки, схожие с автоматизированной обработкой, то требования по ПДн к вам тоже применяются.
СТР-К называется как...
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ и ....
это извините, обязаловка...
и лицензируемый вид деятельности...
по сути Вы правы...
если...
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
под этот пункт Вы не попадаете...
то будьте добры все указанное выполнять... !!!
СТР-К. Пункт 2.3 "При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер."
вот всегда так...
все время какие то недоговоренности...
по идее я должен бы уточнить ту сферу про которую всетаки требования обязательны и посмотреть что ПДн тоже обязаловка... но не буду и так понятно всем...
вот вопрос и возникает как должны дружить между собой две обязаловки...
ответа пока нет... в первую очередь у самих решателей...
Отправить комментарий