Интересная коллизия. Был я 26-го числа на заседании Координационно-методического совета лицензиатов ФСТЭК и ФСБ Уральского федерально округа. Представитель ФСБ рассказывал про защиту ПДн в части требования ФСБ и в какой-то момент заявил, что для защиты ПДн с помощью СКЗИ нужна лицензия ФСБ на техобслуживание.
Я задаю встречный вопрос, мол, А.П. Баранов (первый зам. начальника 8 Центра ФСБ) на конференции АРБ, а также другой представитель ФСБ на Парламентских слушаниях заявил, что лицензия ФСБ на защиту ПДн для собственных нужд не требуется. Представитель свердловской ФСБ говорит, что раз нет официальных документов на эту тему, то частное мнение другого сотрудника ФСБ (даже одного из руководителей восьмерки) - это частное мнение. Мол в ПП-957 написано, что нужна лицензия ФСБ, значит надо получать.
Вот так вот ;-(
ЗЫ. Уже не первый раз сталкиваюсь с тем, что мнение региональных представителей регуляторов часто отличается от того, что говорят в центре.
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
27.11.09
Новый семинар RISSPA
1 декабря RISSPA проводит семинар "Актуальное состояние и новые тенденции отрасли ИБ", который будет проходить как физически (в офисе Ernst & Young), так и виртуально (с помощью технологий Cisco WebEx). Среди докладов:
- "Результаты 12-го ежегодного исследования Ernst&Young в области информационной безопасности", Максим Малежин, Ernst & Young
- "Основные векторы развития систем защиты от вредоносного ПО: облачные вычисления и их современные реализации", Кирилл Керценбаум, Symantec
- "Эволюция угроз Интернет-банкинга и онлайн-порталов. Новые способы защиты пользователей", Денис Безкоровайный, RSA
- "Что станет приоритетом на повестке дня CISO в 2010-м году", Алексей Лукацкий, Cisco
- "SIEM: Нужная Штука или Дорогая Игрушка?", Антон Чувакин, независимый эксперт
Онлайн-конференция на bankir.ru
25-го числа я поучаствовал в онлайн-конференции на портале bankir.ru "Где же все-таки у него кнопка?", посвященная различным вопросам использования Интернет-банкинга, в т.ч. и безопасности.
26.11.09
ФСТЭК выложила оставшиеся документы по ПДн
ФСТЭК на своем сайте выложила оставшиеся два документа
По методике - документ полный. По базовой модели - выписка (без ПЭМИН).
- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Документ MS Word)
- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка)
По методике - документ полный. По базовой модели - выписка (без ПЭМИН).
25.11.09
Всегда быть в курсе ситуации с ИБ (для пользователей iPhone)
Несколько лет назад, когда я был счастливым обладателем смартфона на базе Windows Mobile, я установил на него чей-то информер, который регулярно оповещал меня о новых Интернет-угрозах и т.п. информации. И вот на днях мы (т.е. Cisco) выпустили аналогичный и бесплатный инструментарий Cisco SIO to Go iPhone для того, всегда быть в курсе новых угроз, патчей, обновлений безопасности, сигнатур атак, бюллетеней безопасности, репутационного рейтинга сайтов и отправителей электронной почты. Также с помощью этого приложения можно взаимодействовать с коллегами по безопасности. Качается оно с iTunes (ссылка для iTunes).
24.11.09
Насколько реальна экспертная оценка в ИБ
Экспертная оценка в наших нормативных документах по ИБ заявлена как основной (а зачастую и единственный) метод определения угроз информационным системам. Да и в других процессах ИБ он играет непоследнюю роль. Но у данного метода помимо единственного преимущества (простота реализации) есть и множество существенных недостатков:
Как повысить эффективность экспертной оценки? Как придать значимость ее результатам? Ответ на эти вопрос дан давно - метод Дельфи. Суть его проста: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%. Ключевых моментов в этом методе два:
Существует и модификация метода, часто используемая тогда, когда эксперты не могут подкрепить свое мнение и оценки серьезными аргументами. В этой модификации берется средняя оценка после отбрасывания крайних, граничных значений.
В качестве примера возьмем вопрос о вероятности возникновения угрозы DDoS-атак на некий Интернет-сервис. В качестве экспертов пригласим сотрудников ИТ-подразделения, службы ИБ, подразделения управления рисками и парочку представителей бизнес-подразделений. Результаты работы метода Дельфи занесены в таблицу (после слэша показана оценка для модифицированного метода Дельфи с отбрасыванием крайних значений):
Из данного примера мы сразу видим все преимущества метода Дельфи. Он действительно нивелирует волюнтаризм экспертов и показывает более менее реальную оценку ситуации. Если бы мы опирались только на мнение одного эксперта, мы могли либо занизить, либо завысить реальную оценку. В данном же методе мы приходим к реальной цифре.
Однако на практике данный метод используется не так уж и часто. Все-таки он требует определенной дисциплины и умения работать в команде, что не так уж и часто встречается. Гораздо проще опираться на мнение одного единственного человека (как правило себя), полностью игнорируя мнения окружающих экспертов. Отсюда и многие пробелы/проблемы, регулярно выявляемые в области ИБ.
- возможность влияния на экспертное мнение заинтересованными лицами
- при оценке случайных событий принцип "здравого смысла" неприменим
- отсутствие достаточного количества экспертов
- высокая зависимость от квалификации эксперта
- психология восприятия риска
- и т.п.
Как повысить эффективность экспертной оценки? Как придать значимость ее результатам? Ответ на эти вопрос дан давно - метод Дельфи. Суть его проста: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%. Ключевых моментов в этом методе два:
- мы не должны ограничиваться одним-двумя экспертами - их должно быть не менее трех, а еще лучше 5-7. Только в этом случае можно говорить об эффективности метода. Один человек может ошибаться; вероятность ее для группы из пяти человек гораздо ниже.
- мы должны привлекать в группу людей, действительно обладающих компетенцией в анализируемом вопросе. Никаких свадебных генералов, включаемых в группу за их заслуги - только реально квалифицированные эксперты.
Существует и модификация метода, часто используемая тогда, когда эксперты не могут подкрепить свое мнение и оценки серьезными аргументами. В этой модификации берется средняя оценка после отбрасывания крайних, граничных значений.
В качестве примера возьмем вопрос о вероятности возникновения угрозы DDoS-атак на некий Интернет-сервис. В качестве экспертов пригласим сотрудников ИТ-подразделения, службы ИБ, подразделения управления рисками и парочку представителей бизнес-подразделений. Результаты работы метода Дельфи занесены в таблицу (после слэша показана оценка для модифицированного метода Дельфи с отбрасыванием крайних значений):
Из данного примера мы сразу видим все преимущества метода Дельфи. Он действительно нивелирует волюнтаризм экспертов и показывает более менее реальную оценку ситуации. Если бы мы опирались только на мнение одного эксперта, мы могли либо занизить, либо завысить реальную оценку. В данном же методе мы приходим к реальной цифре.
Однако на практике данный метод используется не так уж и часто. Все-таки он требует определенной дисциплины и умения работать в команде, что не так уж и часто встречается. Гораздо проще опираться на мнение одного единственного человека (как правило себя), полностью игнорируя мнения окружающих экспертов. Отсюда и многие пробелы/проблемы, регулярно выявляемые в области ИБ.
23.11.09
Сдвиг сроков принят в первом чтении
20-го ноября Госдума приняла в первом чтении (313 депутатов за) один из двух законопроектов Резника. Законопроект посвящен исключению требования об обязательном использовании криптографических средств для защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных" (на один год).
20.11.09
Новая версия BSIMM v1.5
BSIMM (The Building Security In Maturity Model) - это документ, помогающий понять и спланировать инициативы по безопасности разрабатываемого ПО. На прошлой неделе была анонсирована новая редакция модели зрелости BSIMM v1.5, которую можно свободно скачать с сайта авторов.
19.11.09
Документы ФСТЭК по ПДн - новый статус
Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:
18.11.09
Новая инициатива депутатов по изменению ФЗ-152
Позавчера я писал, что депутат Резник отрицательно отозвался о законопроекте депатута Морозова, но при этом внес свой вариант. Он своеобразен, надо признать. Например, там есть такое определение "трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации". А если посмотреть на ФЗ-4730-1 "О государственной границе", то понятие "государственная граница" определено как "линия и проходящая по этой линии вертикальная поверхность, определяющие пределы государственной территории (суши, вод, недр и воздушного пространства) Российской Федерации, то есть пространственный предел действия государственного суверенитета Российской Федерации". Как под это определение подвести Интернет, я не представляю...
В общем законопроект получился достаточно интересный и длинный - весь я его не осилил ;-) Но рекомендацию переноса сроков я заметил ;-) Достаточно забавная ситуация. Предложение депутата Морозова о переносе сроков Резник отверг и сам же внес свое предложение о переносе сроков. И где логика? Или к действиям депутатов понятие логики не применимо?..
В общем законопроект получился достаточно интересный и длинный - весь я его не осилил ;-) Но рекомендацию переноса сроков я заметил ;-) Достаточно забавная ситуация. Предложение депутата Морозова о переносе сроков Резник отверг и сам же внес свое предложение о переносе сроков. И где логика? Или к действиям депутатов понятие логики не применимо?..
17.11.09
Заседание в Правительстве по поводу персданных
В прошлую пятницу состоялось совещание в Аппарате Правительства по поводу 152-ФЗ, где было принято решение о переносе срока по ст.25 на 1 год, исключении требований по криптографии из ст.19 и о подготовке развернутых поправок под эгидой Минкомсвязи до 1 февраля 2010.
Законопроект Морозова о переносе сроков ФЗ-152 отвергнут
Многие наверное слышали, что депутат Госдумы А.А.Морозов внес законопроект №262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных". Суть его проста - перенести срок реализации ст.25.3 на 2 года. И вот на днях руководитель комитета по финансовым рынка г-н Резник вынес заключение по данному законопроекту. Суть его может быть описана одним словом: "Отказать".
Если же развить тему, то в заключении дословно написано следующее: "Комитет отмечает, что Федеральный закон не устанавливает требований к информационным системам персональных данных, а определяет порядок обработки персональных данных, в том числе с использованием различных информационных систем.
Вместе с тем, часть 1 статьи 1 Федерального закона устанавливает, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Таким образом, требования к информационным системам персональных данных должны содержаться в иных федеральных законах, определяющих случаи и особенности обработки персональных данных.
С учетом вышеизложенного, Комитет рекомендует отклонить в первом чтении законопроект № 262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных" (в части продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных")".
Параллельно с этим г-н Резник сам направил в Госдуму свой вариант законопроекта по персданным. Но об этом завтра...
ЗЫ. А комитет Госдумы по безопасности положительно отозвался о данном законопроекте.
Если же развить тему, то в заключении дословно написано следующее: "Комитет отмечает, что Федеральный закон не устанавливает требований к информационным системам персональных данных, а определяет порядок обработки персональных данных, в том числе с использованием различных информационных систем.
Вместе с тем, часть 1 статьи 1 Федерального закона устанавливает, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Таким образом, требования к информационным системам персональных данных должны содержаться в иных федеральных законах, определяющих случаи и особенности обработки персональных данных.
С учетом вышеизложенного, Комитет рекомендует отклонить в первом чтении законопроект № 262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных" (в части продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных")".
Параллельно с этим г-н Резник сам направил в Госдуму свой вариант законопроекта по персданным. Но об этом завтра...
ЗЫ. А комитет Госдумы по безопасности положительно отозвался о данном законопроекте.
16.11.09
О проверках в 2010 году
Спор о проверках так ни к чему и не привел. Подолью я еще масла в огонь. На сайте Генпрокураторы вывешен приказ 02.10.2009 №319 "О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей".
Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Из интересного в нем:
Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Из интересного в нем:
- Прописаны основания для плановых проверок. Они повторяют то, что есть в 294-ФЗ. Расширенные основания из проекта регламента РКН отдыхают.
- При отсутствии административного регламента проверок они не будут приниматься к рассмотрению (таких утвержденных регламентов нет ни у кого из трех регуляторов).
- Генпрокуратура лишний раз напоминает, что проверять можно только обязательные требования.
- Если несколько регуляторов хотят проверять одного оператора в течение года, то они должны осуществлять совместную проверку (а для этого нужен отдельный регламент).
- Если у юрлица есть филиалы, то проверки применяются к каждому филиалу отдельно.
- План проверок должен быть опубликован на сайте Генпрокураторы до 31-го декабря.
13.11.09
Семинар Cisco по информационной безопасности банков
Вчера мы (т.е. Cisco) провели онлайн-семинар для банков по информационной безопасности. Выступал я ;-) С тремя презентациями:
Семинар записывался с помощью встроенных в WebEx технологий. Запись выложена тут. Ее длительность 3 часа 5 минут.
- Архитектура информационной безопасности банка
- Стратегия информационной безопасности Cisco и пути ее раззвития
- Защита персональных данных в кредитном учреждении.
Семинар записывался с помощью встроенных в WebEx технологий. Запись выложена тут. Ее длительность 3 часа 5 минут.
12.11.09
О банковском эгоизме
Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:
Конференция была разделена на три части:
В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.
Конференция была разделена на три части:
- общее введение в проблему
- рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
- презентация рекомендаций для банков.
В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
- ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
- лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.
ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
- четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
- ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.
Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
- практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
- организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.
ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.
11.11.09
Что должна включать в себя модель угроз?
Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще - у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов:
Согласно ГОСТ Р 52448-2005 модель угроз должна включать:
Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:
Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:
ЗЫ. Это все из курса по моделированию угроз ;-)
- общие положения
- перечень угроз, представляющих потенциальную опасность для ПДн, обрабатываемых в ИСПДн
- определение актуальных угроз.
Согласно ГОСТ Р 52448-2005 модель угроз должна включать:
- Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
- Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
- Стадии жизненного цикла сети электросвязи
- Описание процесса возникновения угроз и путей их практической реализации
- Полный перечень угроз
- Базу данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением.
Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:
- Характеристика оборудования (техусловия, область применения, использование по назначению)
- Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
- Идентифицированные опасности
- Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
- Сомнения, связанные с использованными данными и источниками
- Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
- Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
- Остаточные риски.
Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:
- Краткое изложение анализа
- Выводы
- Цели и область применения анализа
- Ограничения, допущения и обоснование предположений
- Описание соответствующих частей системы
- Методология анализа
- Результаты идентификации опасностей
- Используемые модели, в т.ч. допущения и их обоснования
- Используемые данные и их источники
- Результаты оценки величины риска
- Анализ чувствительности и неопределенности
- Рассмотрение и обсуждение результатов
- Рассмотрение и обсуждение трудностей моделирования
- Ссылки и рекомендации.
ЗЫ. Это все из курса по моделированию угроз ;-)
10.11.09
Перенос сроков ФЗ-152?!
Вопросов вчерашняя статья в "Газете" о переносе сроков выполнения ст.25.3 ФЗ-152 на 2 года вызвала немало вопросов. При этом мало кто подумал о том, что журналисты не до конца разобравшись с тем, что же говорилось на заседании, выдали "сенсацию". На самом деле все немного не так - Минкомсвязь не имеет права переносить сроки или осовобождать кого-то от обязанности выполнения закона - не в их это компетенции. Минкомсвязь просто озвучил то, о чем ему давно говорили участники рынка - выполнить требования ст.25.3 за оставшееся время невозможно. Поэтому министерство направило в ГосДуму ходатайство о сдвиге сроков. Но в ГД такое предложение было уже давно. От Минкомсвязи в ГД ушло и несколько иных предложений, но назвать их революционными язык не поворачивается - все уже звучало на парламентских слушаний.
ЗЫ. На сайте Минкомсвязи открылся раздел по ИБ и ПДн.
ЗЫ. На сайте Минкомсвязи открылся раздел по ИБ и ПДн.
9.11.09
Архитектура ИБ - статья в ДИС
Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад ;-) Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности - теме нечастно возникающей в прессе и на конференциях.
О сроках обработки ПДн
Одна из проблем, которая часто возникает при реализации проектов по ПДн - правильное определение сроков хранения (обработки ПДн). Зададим малый срок и придется их удалять, несмотря на наличие потребности в их обработке. Зададим большой срок и будем тратить денег больше, чем надо. Как же учесть всевозможные сценарии и цели обработки ПДн и не придумывать срок хранения для каждой пары "ПДн и целт их обработки".
Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства". На мой взгляд такая формулировка покрывает практически 100% ситуация с обработкой ПДн.
Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства". На мой взгляд такая формулировка покрывает практически 100% ситуация с обработкой ПДн.
6.11.09
ФСБ опубликовала регламент проведения проверок по ПДн
ФСБ на своем сайте опубликовала типовой регламент проведения проверок по персональным данным.
Может ли ФСТЭК проверять вас в 2010-м году?
Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем году?
4.11.09
Как АТЭС рекомендует защищать персданные?
Есть такая международная организация - АТЭС (Азиатско-Тихоокеанское Экономическое Сотрудничество), объединяющая страны и территории, на которые приходится 57% ВВП и 48% объема всей мировой торговли. В это сообщество входит 23 страны, а также Тайвань и Гонконг. Основная цель АТЭС (она же APEC) - обеспечение режима свободной открытой торговли, что невозможно обеспечить без адекватного отношения к защите персональных данных.
Именно поэтому данная организация разработала и опубликовала в 2005 году "Структуру обеспечения приватности" (APEC Privacy Framework), оригинальный текст которой может быть найден тут, а ее русский перевод ниже. По крупному данный текст очень напоминает Евроконвенцию, но в нем важны комментарии, раскрывающие смысл того или иного пассажа (чего так не хватает нашему 152-ФЗ).
Рекомендации APEC по защите персональных данных
ЗЫ. Напомню, что Россия входит в АТЭС и решения этой организации принимаются и российской стороной.
Именно поэтому данная организация разработала и опубликовала в 2005 году "Структуру обеспечения приватности" (APEC Privacy Framework), оригинальный текст которой может быть найден тут, а ее русский перевод ниже. По крупному данный текст очень напоминает Евроконвенцию, но в нем важны комментарии, раскрывающие смысл того или иного пассажа (чего так не хватает нашему 152-ФЗ).
Рекомендации APEC по защите персональных данных
ЗЫ. Напомню, что Россия входит в АТЭС и решения этой организации принимаются и российской стороной.
3.11.09
Нужно ли согласие субъекта ПДн, если у вас есть с ним договор
Вчера мы рассмотрели конклюдентность действий при обработке персданных. Сегодня хочу рассмотреть еще один связанный с этим вопрос, который я также рассматриваю в курсе по персональным данным. Вопрос простой - нужно ли получать согласие субъекта ПДн при наличии договора с ним?
Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных". Ни слова о дополнительном условии в виде явно данного согласия. И это логично. Заключая договор, мы понимаем, что должны указать свои персональные данные. Они являются существенным условием договора. И обработка этих персональных данных нужна именно для целей исполнения договора. Иными словами, предоставляя свои ПДн, мы совершаем конклюдентные действия. Т.е. никакого дополнительного согласия на обработку ПДн, указанных при заключении договора, не требуется.
ЗЫ. Но только для целей исполнения договора. Если оператор передает ПДн третьим лицам, а из договора это не следует, то потребуется явное согласие.
ЗЗЫ. Привлекайте юристов к проектам по персданным ;-)
Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных". Ни слова о дополнительном условии в виде явно данного согласия. И это логично. Заключая договор, мы понимаем, что должны указать свои персональные данные. Они являются существенным условием договора. И обработка этих персональных данных нужна именно для целей исполнения договора. Иными словами, предоставляя свои ПДн, мы совершаем конклюдентные действия. Т.е. никакого дополнительного согласия на обработку ПДн, указанных при заключении договора, не требуется.
ЗЫ. Но только для целей исполнения договора. Если оператор передает ПДн третьим лицам, а из договора это не следует, то потребуется явное согласие.
ЗЗЫ. Привлекайте юристов к проектам по персданным ;-)
2.11.09
Семинар RISSPA на базе Cisco
О конклюдентности и персональных данных
Я на своих курсах по персданным всегда начинаю с общей рекомендации привлекать к проектам по персданным юристов, т.к. любая тема, связанная с законодательством, не может обойтись без их помощи. ФЗ-152 не является исключением. Возьмем к примеру вопрос с получением согласия субъекта ПДн. Обычно считается, что согласие может быть либо в письменной, либо в устной форме. Так нам подсказывает здравый смысл. А вот любой юрист подскажет, что есть и третья форма согласия - конклюдентные действия.
Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158).
Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно.
Другой пример конклюдентных действий:
Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн.
Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.
Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158).
Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно.
Другой пример конклюдентных действий:
- оплата платежек
- регистрация на форумах и Интернет-сервисах
- оплата товаров в Интернет
- приобретение билетов на транспорт
- предоставление удостоверения личности для прохода на территорию.
Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн.
Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.