27-го марта меня пригласили в Институт банковского дела при АРБ прочитать курс по персональным данным. Я решил тупо не комментировать ФЗ, постановления правительства и документы регуляторов, а посмотреть на них с точки зрения потребителя. Т.е. оценить, как можно обойти жесткие требования ФЗ, параноидальные требования четверокнижия и стоит ли его вообще исполнять, оценим миф про 1-е января 2010 года, ну и т.д.
В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений - и 687-е постановление, и документы РСКН, и новая пока невыпущенная вторая редакция четверокнижия. Так что курс должен быть интересным. К тому же организаторы, понимая, что не все могут приехать очно (особенно в регионах), будут использовать онлайн-технологии.
Вот именно как обойти! Ибо выполнить, сидя на К1, просто невозможно. LETA отказалась вести деалог в этом направлении: необходимость выполнения требований ФСТЭК не обсуждается, Постановление 687 игнорируется((
ОтветитьУдалитьВидимо так и получится.
ОтветитьУдалитьДругое дело, Операторов больше интересует вопрос не "как их защищать" а что сделать минимально для того чтоб на них не "наезжали". При этом недостаточно просто обходить или прикрываться юридически. А именно минимально но что то сделать, потому как они находятся в условиях когда им могут приказать, выдумать повод для наезда, а персональные данные это удобный повод для поднятия общественного резонанса !!! Понимаете ))) ПДн могут играть свою роль и в политической борьбе ...
Мне видится несколько путей решения проблемы в конкретно моем случае:
ОтветитьУдалить- прикрыться П687 и прикинуться ветошью,
- уйти с К1, заставив клиентов (у нас именно клиенты) раскрыть свои ПД, согласившись с определенными условиями договора (нужна проработка),
- длительно делать вид, что мы что-то делаем
- пытаться банально "договориться".
Среди возможных вариантов, как видно, вариант с исполнением требований даже не рассматривается, ибо аттестовать оперзал крупной страховой компании или банка просто нереально. А еще ПЭМИН, а еще специалисты в штате по обслуживанию криптосредств, лицензии ФСТЭК, сертификаты на компоненты систем и т.д. Это в самом деле паранойя. Как это они еще не додумались коммерческую тайну от ПЭМИН защищать? Столько сертифицированных средств можно продать!
QuietZone: А кто тебе сказал, что они не додумались КТ по ПЭМИН защищать? Додумались. документ даже есть. Утвержден в 2006-м году. Там даже есть требование сертифицированную стеганографию использовать ;-)
ОтветитьУдалитьQuietZone: Приходи на курс - узнаешь ;-) Кстати, один из варианто - разбить сетку на множество мелких ИСПДн, каждая из которых будет К3. И сделать это на уровне приказа по предприятию. Т.к. это ваше право, то запретить вам это никто не может.
swan'у: Согласен. Мне вот кажется, что на УРСА-банк наехали именно конкуренты, а не просто нашелся законолюбивый "физик".
О разбиении думал, только на практике осуществить нереально. Не, приказ-то настрочить без проблем, но фактически развести ИС не получится. Кстати, если не ошибаюсь, даже виланами этого не сделаешь, только МСЭ, ессно сертифицированный, так?
ОтветитьУдалитьАлексей Лукацкий:Сертифицированная стенография это очень уж :):):) А что за документ такой?
ОтветитьУдалитьSwan: Такое положение дел, не только с операторами с большинством компаний, а те которые попадают под исключения в большинстве случаев используют метод личных договоренностей!
Maria: Методические рекомендации по технической защите информации, составляющей коммерческую тайну. Утверждены 25 декабря 2006 года.
ОтветитьУдалитьРассматривает ли кто-нибудь такой вариант, как регулярно платить штраф по ст.13.11 КоАП?
ОтветитьУдалитьКонечно рассматриваем, но скорее как крайнюю меру. Дело не в деньгах, конечно - 10, даже 100 тыщ не деньги для крупной организации. Беспокойство вызывает скорее сам факт признания нарушения. Совершенно неизвестно, какие это может навлечь беды в дальнейшем (например лишение лицензии). Мне недавно рассказывали, как человек, укравший вещь (CCTV пофиксила вынос), возвращает потерпевшему стоимость. Вроде честный поступок, а между тем как раз этого и ждут опера, т.к. это единственное свидетельство совершения преступления (совершенно реальный случай). В общем признавать вину уплатой штрафа не очень хочется.
ОтветитьУдалитьПрикрывайтесь аттестатом какого либо центра и все... дешевле будет...;)
ОтветитьУдалитьinfowatch'у: Дело в том, что отделаться только 13.11 может и не получиться, если начнут копать. У меня "миф" описан (правда, его почему-то не публикуют пока), по которому статей около 20 и максимальный ущерб - 500 тысяч рублей и приостановление деятельности.
ОтветитьУдалитьВот написал бы уведомление, хоть формально и не требуется, принял у себя проверочку - тогда и других учить можно с чистой совестью ;))
ОтветитьУдалитьНу ты же знаешь пословицу: Кто умеет - делает. Кто не умеет - учит. Кто не умеет ни того, ни другого - руководит. Так что я остановился на второй стадии ;-)
ОтветитьУдалитьНу а что касается уведомления, то наши юристы сейчас "много думают" об этом. Ведь бизнес встать не должен ;-) Это первично.
То что ни при каких обстоятельствах нельзя залезать в К1-2 это понятно.. Думаю во второй редакции документов ФСТЭК параноидальность требований хоть и будет нивелирована смягчением или полным отсутствием требований по ПЭМИНам и тп (по слухам), но тем не менее останется.. 687 постановление требует на мой взгляд такой же методнонормативной макулатуры как м 781е. Пока его нет, и будет ли?
ОтветитьУдалитьТак что на данный момент любой учебный курс по ПДн представляется в общем достаточно простым по содержанию - как привести в соответствие с К3. А для К3 больше организационных требований на мой взгляд и то большинство из них давно введено в том или ином виде на любом предприятии мало-мальски заботящемся о безопасности той же КТ и себя любимых (физзащита).. Т.е. учебная ценность состоит исключительно в приоритении учащимся методы выделения из всего оборота информации процессов с ПДн и её регламентация.
Отдельных курсов заслуживают работники департаментов защиты информации районных поликлиник и больниц ;), но там сложность только в том как оформить взаимодействие с архивной нормативкой (грубо: сами данные в архиве, оперируют только идентификаторами)... Вариантов масса...
Тем не менее не смотря на весь показушный пессимизм хотелось бы посетить этот курс. Стоимость озвучите, пожалуйста?
Стоимость к организаторам ;-)
ОтветитьУдалитьЧто касается замечаний по курсу, то я не согласен ;-) Рассказывать можно много о чем. Как обойти требование уведомления? Как не выполнять требования четырехкнижия? Как облегчить себе последствия от процедуры надзора и контроля? Как поставить на место органы надхора и контроля, которые не знают законов? И т.п.
"Стоимость к организаторам ;-)"
ОтветитьУдалитьВыяснил, попробуем поучаствовать...
"Что касается замечаний по курсу, то я не согласен ;-) "
А я специально писал о "любом курсе", а не о конкретном. Был на нескольких, впечатления такие. Надеюсь Вы отличаетесь в лучшую сторону.
Ну а сами по себе вопросы, которые Вы поставили, на самом деле многие пытаются раскрыть в своих учебных курсах, но людям, на мой взгляд, интереснее увидеть чёткую схему процесса "приведения в соответствие"(с чего начать, к кому подойти, какие документы разработать, какой антивирус поставить и тп).
Дело в том, что у многих задачи противоположные. Кому-то надо привести в соответствие и алгоритм тут один (идти к лицензиату). Кому-то надо вообще уйти от данных документов - алгоритм другой. А кому-то нужно понизить класс ИСПДн и тогда алгоритм будет третий. Я их буду рассматривать.
ОтветитьУдалитьбудет ли такой курс читаться повторно - в апреле-мае?
ОтветитьУдалитьTurkish
К организаторам ;-) Будут запросы - будут читать.
ОтветитьУдалить