tag:blogger.com,1999:blog-4065770693499115314.post570965994655307109..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Об обезличивании персданныхАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger67125tag:blogger.com,1999:blog-4065770693499115314.post-46419302879407651482009-12-26T17:22:32.912+03:002009-12-26T17:22:32.912+03:00Уважаемая Людмила.
Прочитав Вашу просьбу, должен о...Уважаемая Людмила.<br />Прочитав Вашу просьбу, должен отметить, что каждый Ваш вопрос требует множества уточнений... В противном случае посоветовать что то конкретное затруднительно...<br /><br />Если не ошибаюсь, у Вас грядет "переделка" системы... Единственное, что я могу посоветовать в блоге Алексея не отбирая его хлеб ;-) - пригласите специалиста по ИБ при проектировании/переделке системы.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82324244496382843012009-12-26T17:00:46.538+03:002009-12-26T17:00:46.538+03:00Обезличивание нужно не для того, чтобы ВСЕ данные ...Обезличивание нужно не для того, чтобы ВСЕ данные вывести из разряда ПДн, а для того, что уменьшить число узлов, на которых данные в виде ПДн. На ПК, где осуществляется сверка/сличение данные будут персональными - их надо защищать. А в остальных местах (в БД, в канале связи) их можно будет защищать не так, как требуют документы ФСТЭК.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-4389904859606036272009-12-20T10:26:40.211+03:002009-12-20T10:26:40.211+03:00Добрый день. Помогите, извините, девушке. Можно н...Добрый день. Помогите, извините, девушке. Можно на простых конкретных примерах... Что делать, если в БД должны попасть несколько десятков тысяч физических лиц. И при работе (ежедневной) сотрудник (да и не один) организации должен видеть и понимать, что перед ним именно стоит и улыбается именно то лицо, данные о котором находятся в БД. Кстати, поиск - это тоже обработка? Если я ищу Иванова - то должна найти именно конкретного Иванова, если ищу по номеру удостоверения, то я точно увижу экранную форму с персональными данными его любимого + фото. Да, в БД все хранится с применением некоего шифрования, но... даже мне понятно, как всё это можно собрать в полные данные. Какое тут может быть обезличивание, если задачей службы контроля является сличение? Со общей статистикой все понятно - там и так обработка обезличенная, а вот статистика по конкретному лицу. Сколько раз приходил за месяц на работу, во сколько туда и во сколько обратно и сколько раз бегал за проходную. Можно, конечно, в выходных формах выводить ID, но начальник либо листочек заведет (с соотношением), либо скажет "Вы, что, издеваетесь?". В любом случае соответствие будет установлено. <br />В общем стандартный женский вопрос - что делать то?<br /><br /> + вопрос законности функционирования таких баз в 100% ГОСУДАРСТВЕННОМ учреждении федерального уровня. Сейчас там простая БД на SQL Server. Раньше не заморачивались, а сейчас грядет переделка... Должна ли быть эта новая БД зарегистирована, сертифицирована и т.д. (не коммерческая разработка, действовать будет исключительно в стенах данного учреждения) и чьи это обязанности - разработчика или владельца?<br /><br />+ опа! Данные из старой базы должны будут попасть в новую... А это передача?<br /><br />Спасибо.Unknownhttps://www.blogger.com/profile/14225872900247327505noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54245213199847842482009-11-11T14:38:27.333+03:002009-11-11T14:38:27.333+03:00А как вам такие мысли:
Регуляторы прописали очень ...А как вам такие мысли:<br />Регуляторы прописали очень жесткие меры по <b>технической</b> защите информации, грозящие огромными затратами для операторов, прописали всякие ПЭМИНы и другую параноидальную чушь, но вот никак не учли, что наш преступный элемент помимо всего еще и неплохой собственник, и вряд ли будет кидать на ветер деньги для приобретения спецоборудования (замечу очень даже не дешевого) для снятия персональных данных. Со стороны регуляторов думать так - это показать свою полную профессиональную <b>непригодность</b>, так как наши преступные элементы далеко не дураки. Они знаю, что проще, дешевле и надежнее всего лишь навсего припугнуть кадровика (или бухгалтера или медика...) или дать ему от щедрот на лапу (при наших Российских зарплатах соблазн довольно велик) и получить любую информацию. Какие там ПЭМИНы, зачем ему (преступнику) вообще знать какие там стоят CPB& Но наши регуляторы от чего-то этого не понимают и пишут свою белиберду в нарушение всех установленных стандартов (ГОСТ Р ИСО/МЭК 17799 - меры по защите информации должны быть адекватными возможному ущербу, то есть ниже возможного ущерба, и, кроме того, не должны нарушать удобство в работе - написал общий смысл). Во всем мире подход к защите информации именно такой (я, конечно, не имею ввиду защиту госсекретов, там для защиты некоторой информации никакие меры не будут лишними), но наши регуляторы совсем не думают об этой стороне вопроса, витают где-то в облаках, наверное.<br />Надо учитывать человеческий фактрр, а он-то и есть самая огромная дырка в защите информации. Вот если бы регуляторы прописали бы обязанность оператору выплачивать такие же оклады как и у высшего руководства тому лицу, которому оператор поручил осуществлять обработку ПД, тогда можно было бы говорить и о ПЭМИНах и т.д., потому что подкупить или припугнуть совсем неголодного работника кадров (бухгалтерии и т.д.) стало бы значительно тяжелее. Но опять таки, это по внешним нарушителям, а если такой работник пожелает такую базу для себя (может быть заботясь о своем будущем в надежде, что если уволят, то он сможет заработать на продаже такой базы), и как тут защищаться будем? Мы хоть какие технические меры будем применять, но они будут абсолютно не действенными, чрезмерно затратными и вносить кучу неудобств, а то и проблем похлеще. Так что я целиком и полностью за то, чтобы обезличивать ПД, причем так, чтобы и сами работники, которые занимаются их обработкой тоже получали только обезличенные, а к необезличенным данным могли получать доступ два - от силы три человека (если организация большая) или вообще один. Вот тогда мы сможем обеспечить необходимый уровень защиты ПД и при этом особых затрат не понесем.<br />А как быть с тем, что наличие определенного пакета документов тоже нигде (разве что в СТР-К) не прописано? А ведь СТР-К это обязателен для выполнения только государственными учреждениями при защите конфиденциальной информации, буде она у них там обрабатывается, а для негосударственных и коммерческих организаций этот документ лишь рекомендательный по характеру. То есть получается, что бизнесмен не обязан на своем объекте иметь такие документы.Анатолийnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77540632440683108452009-10-12T21:37:31.132+04:002009-10-12T21:37:31.132+04:00ВеселоВеселоАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10067327213207290612009-10-12T21:16:39.808+04:002009-10-12T21:16:39.808+04:00Пример обезличивания:ссылко. Не злого умысла для,а...Пример обезличивания:<a href="http://1.bp.blogspot.com/_zAJClMFUNC4/SnibZlz4UTI/AAAAAAAAAZQ/AtHwsKO_1Wo/s1600/prava.jpg" rel="nofollow">ссылко</a>. Не злого умысла для,а токмо шутки ради ;))Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89404873865845598082009-04-25T03:16:00.000+04:002009-04-25T03:16:00.000+04:00Алексей, где вы там увидели конкретные требования,...Алексей, где вы там увидели конкретные требования, имеющие однозначное толкование в вопросах ЗИ? :) Все достаточно размыто и не определено для того, что бы грамотно отстаивать свою точку зрения на СЗПДн. Даже конкретную статью в действующем РД, определяющем порядок защиты гос. тайны два разных эксперта могут трактовать по разному, если в ней явно не прописано, что конкретно нужно взять и как конкретно сделать. Оба кстати, рассуждая как эксперты, в итоге будут правы. Можно сделать двумя или более разными способами и все они будут формально отвечать требованиям.<br />Повторюсь, обязанность доказывать, что что-то в ИСПДн не соответствует документам - относится к проверяющему. Проверяемый, в случае, если его не убедили доводы поверяющего может оспорить их в суде подав иск на конкретного человека, а не на ведомство его направившее. Хотя тут тоже могут быть варианты.Олег Кузьминhttps://www.blogger.com/profile/02587762720876513367noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73299646905860428102009-04-25T02:02:00.000+04:002009-04-25T02:02:00.000+04:00Олегу: Т.е. вам документы ФСТЭК с конкретными треб...<B>Олегу:</B> Т.е. вам документы ФСТЭК с конкретными требованиями не указ?.. ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-4070666594235454052009-04-25T01:37:00.000+04:002009-04-25T01:37:00.000+04:00Не надо ничего обезличивать, на то что вы будете с...Не надо ничего обезличивать, на то что вы будете считать обезличенным у подготовленного проверяющего будет другая точка зрения.<br />Не надо искать спасения в юридических аспектах, инициируя судебные разбирательства. Да, это возможно потребуется, но должно быть заключительным аккордом отношений оператора ПД с контрольным органом(ами), но никак не основным. Что делать тогда?<br />Поскольку в существующих документах в явном виде не прописано, что конкретно требуется сделать в плане технической защиты ПД (а также, как и с применением чего конкретно). Можно пойти другим путем. Внимательно читаем все документы и делаем системы защиты в своих ИСПДн так, как их можно понимать, но с точки зрения разумной достаточности, а не избыточности. Сделали, пришел поверяющий, посмотрел. И далее, самое интересное, пусть он САМ доказывает, что СЗПД в вашей ИСПДн не соответствует чему либо. А "чего либо", как раз и не определено, а следовательно и не доказуемо. Предупредите его о возможном дальнейшем разбирательстве в суде. Он напишет акт, подавайте в суд на конкретного инспектора Иванова (Петрова или Сидорова) который пришел к вам. Это быстро отучит людей писать непродуманные вещи в актах. Понятно, что даже в вашем понимании СЗПД в минимальном наполнении, потребуется невероятно большое количестов средств для выполнения требований ФЗ в банках или страховых компаниях. Но поскольку почти все они будут специальные. Для этого надо предварительно грамотно сделать классификацию ИСПДН, сделать все возможное для снижения с К1 на К2, а с К2 на К3. И, кстати, есть интеграторы (их правда сейчас очень мало), которые действительно думают о своих клиентах, их затратах и пр.важных для оператора вещах. Но самое главное, они думают и о том, что после 1 января 10 года им придется отстаивать построенные СЗПД вместе со своими заказчиками. А это обстоятельство уже важно само по себе.Олег Кузьминhttps://www.blogger.com/profile/02587762720876513367noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47946121798261467522009-04-22T13:26:00.000+04:002009-04-22T13:26:00.000+04:00А как же в таком случае быть с санкциями за невыпо...А как же в таком случае быть с санкциями за невыполнение ФЗ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-58212149547544942372009-04-17T19:55:00.000+04:002009-04-17T19:55:00.000+04:00VSB: А место жительства, участки, квартиры - это т...<B>VSB:</B> А место жительства, участки, квартиры - это тоже ПДн ;-)<br /><br /><B>Анонимному:</B> Задача любой коммерческой организации - увеличение прибыли и снижение издержек. Что же тут удивительного, что я предлагаю варианты этого снижения. Если бы доблестные интеграторы, которые предлагают свои услуги, попробовали бы все, что они предлагают примерить на себя, то они бы заговорили по другому.<br /><br />Ну а что касается юридического пути решения проблемы, то именно за это я и ратую. Сегодня провел семинар в ИБД АРБ и основной мой тезис - привлекайте юристов для оптимизации затрат. А если готовы дойти до суда, то идите и выиграете при текущем положении дел.<br /><br />А Информзащита (присутствовавшая в качестве слушателя) в лице М.Ю.Емельянникова на этом семинаре вообще заявила, что можно в договоре с субъектом вообще прописать, что вы, как оператор, ничего делать не будете и принимаете на себя все риски и готовы возмещать понесенный субъектом ущерб по решению суда. Вот вам и весь подход.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81320853477768009702009-04-17T11:33:00.000+04:002009-04-17T11:33:00.000+04:00Может все-таки куда-нибудь перенесем ветку - вон у...Может все-таки куда-нибудь перенесем ветку - вон уже 55 комментариев нафлудили. Чего на том же Банкире тему Алексею не организовать? ;-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87564183871555230522009-04-17T11:12:00.000+04:002009-04-17T11:12:00.000+04:00Да тут шум, смотрю, только о регуляторах, и какие ...Да тут шум, смотрю, только о регуляторах, и какие они плохие. Ну вам еще не надоело ныть? Вы же все научились обходиться с их требованиями при защите конфиденциалки.<br /><br />Хотя, что-то мне подсказывает, что в сием топике мне не рады. Кажется я понял вашу цель: снижение издержек операторов любой ценой. Тогда, Алексей, есть идея: на РусКрипто Сухинин из Эшелона раскладывал на косточки нормативные акты по ПДн (да и Вы это все умеете) и пришел к юридическому пути решения проблемы. Я к тому, что проще привлечь юристов и оспаривать все в судах. Регуляторы подставились по-полной, что смущаться-то.<br /><br />Жаль только, что ПДн наши все так же будут оставаться "голенькими". Но это уже тема для другого разговора.<br /><br />Что-то топик раздулся, пора сворачиваться.<br /><br />"Покедова, маманька"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40494806526161002002009-04-17T11:07:00.000+04:002009-04-17T11:07:00.000+04:00Так я ведь о том же, о методах. И пока не осознано...Так я ведь о том же, о методах. И пока не осознано, что такое практически обезличивание (смотрите, даже регуляторы взяли паузу по этой теме), что вы будете предлагать операторам?<br /><br />Про 30% идентификацию просьба не упоминать. Если противник МОЖЕТ доперебрать, то это уже опасно. Другой вопрос, что значит МОЖЕТ?<br /><br />Давайте воспользуемся предложением "Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица". И что? Как будем определять, какое "замусоливание" лишает "иное лицо" возможности идентификации? Боюсь опять попадем в "модель противника". А она "регуляторами" не пахнет? Если это не смущает, то можно выстроить свою модель, попробовать вычислительно оценивать возможность идентификации, например, теоретико-сложностной подход, с учетом вероятности успеха...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91037537437432723892009-04-17T10:24:00.000+04:002009-04-17T10:24:00.000+04:002 VSB
... Именно так !!!2 VSB <br />... Именно так !!!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47774666598150492812009-04-17T10:20:00.000+04:002009-04-17T10:20:00.000+04:00Ещё в голову мысль пришла про обезличенность.
Вот...Ещё в голову мысль пришла про обезличенность.<br /><br />Вот допустим есть субъект № 57. В БД записано где он живёт, какая машина, какие земельные участки, сколько квартир, счетов в банках. Далее преступному элементу неинтересно ФИО, при достаточной на его взгляд благосостоятельности субъекта - преступник идёт в гости просто по месту регистрации.VSBhttps://www.blogger.com/profile/10321338496550691033noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27998660532243128992009-04-16T23:21:00.000+04:002009-04-16T23:21:00.000+04:00> Ребята, вы о чем? Я опять
> предлагаю при...> Ребята, вы о чем? Я опять <br />> предлагаю примерить все на себе <br />> может быть тогда вы будете <br />> придумывать методы обезличивания <br />> которые начнут устраивать еще и <br />> владельцев ПДн, а не только <br />> операторов. О владельцах-то ПДн<br />> почему постоянно забываете?<br /><br />Попробуйте ветку почитать: от имени "владельцев" выступает РКН, этот защитник прав субъектов здесь раз пять фигурирует именно в роли оценщика обезличенности.Ригельnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73360448276943457582009-04-16T21:17:00.000+04:002009-04-16T21:17:00.000+04:00Анонимному: (еще одному?) Вероятность идентификаци...<B>Анонимному:</B> (еще одному?) Вероятность идентификации в 30% - это для ФЗ ноль. Потому что если следовать вообще букве закона и мнению комментаторов, то речь идеть об однозначной идентификации. А какая же при 30% однозначность?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84578903284707814472009-04-16T21:12:00.000+04:002009-04-16T21:12:00.000+04:00Анонимному: Ну отмазку нас заставляют придумывать ...<B>Анонимному:</B> Ну отмазку нас заставляют придумывать регуляторы со своими требованиями. Вот что им мешало просто написать, для защиты ПДн на Endpoint используйте СЗИ от НСД или HIPS вкупе с антивирусами; для защиты во время передачи - VPN. Ну и т.д. И все встало бы на свои места. Мы это и так всегда использовали. И для защиты банковской тайны, и коммерческой, и для выполнения требований PCI DSS и СТО БР ИББС и т.д. Т.е. регуляторы были бы мудры и учли, что в одной и тоже ИС обрабатываются РАЗНЫЕ виды тайн, а не только ПДн.<br /><br />Так нет же. Они меня заставляют выполнять просто тупые требования типа сохранения неудачных паролей. Они меня заставляют использовать сертифицированные ловушки (honeypot), которых в России не существует. Они меня заставляют в поликлинике использовать средства защиты от ПЭМИН, не зная как это скажется на работе рентгена или приборов холитеровского мониторирования. Они меня заставляют использовать только сертифицированные средства защиты Sybase, которых в природе не существует. Они меня заставляют аттестовать ИСПДн, не взирая на то, что после установки патча аттестат теряет свою "силу". Они меня заставляют получать лицензию на ТЗКИ, забывая, что лицензия - это специальное разрешение на вид деятельности, который мне уже вменен в обязанность федеральным законом. Ну и как я должен реагировать на эти требования нашего главного регулятора?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34412602353817937022009-04-16T19:04:00.000+04:002009-04-16T19:04:00.000+04:00Алексею и Анониму...
"А теперь и за оператора, и ...Алексею и Анониму...<br /><br />"А теперь и за оператора, и за субъекта все решили, не спросив ни того, ни другого. А против привилегированного пользователя все эти предложенные методы все равно бессмысленны - он и так унесет то, что надо, требования этому не помешают."<br />+100<br /><br />"ЗЫ. И публичное обсуждение в среде специалистов - это гораздо профессиональнее, чем "впаривать" клиентам всякую тиражируемую чушь под видом индивидуального подхода. И уж гораздо профессиональнее поведения некоторых игроков рынка, которые на тех, кто мешает им "впаривать", писать подметные письма."<br />+1000<br /><br />По сути у нас классический треугольник интересов<br />Регуляторы, Операторы, Субъекты...<br />у каждого свои интересы...<br />Каковы они?<br />У Субъекта - чтоб без его ведома не использовались ПДн.<br />У Оператора - обрабатывать ПДн, чтоб его не трогали, чтоб не тратить ресурсов.<br />У Регулятора - какой интерес???<br /><br />Разрулить этот самый треугольник ??? По сути Регулятором выступает Государство в лице...регуляторов поменьше... Подняли престиж ратифицировав европейскую конвенцию? <br /><br />На сей час ситуация простая и Анониму нужно понимать, что Регуляторы не способны выполнять свои функции по различным ОБЪЕКТИВНЫМ причинам. И МЫ тут не просто болталогией занимаемся... мы готовимся участовать в реальных проектах и сглаживать недостатки ситемы как бы громко это не звучало...<br /><br />Прошу так же учесть некоторую ПРОВОКАЦИОННОСТЬ мнений которая как правило высказывается авторами СПЕЦИАЛЬНО как метод...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51249998462427917212009-04-16T18:56:00.000+04:002009-04-16T18:56:00.000+04:00Критерий Алексей процитировал вначале
из европейск...Критерий Алексей процитировал вначале<br />из европейских документов - "Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица". Поэтому я по жизни меняю в столбце записи таблицы БД "Иванов Иван Иваночи" на "Клиент N370" или его реальный адрес на "Адрес клиента N370".<br />в этом случае по информации из БД в общем случае не восстановишь.<br /><br />С другой стороны где-то читал, что в штатах провели исследование и обнаружили, что по дате рождения и городу рождения можно с 30% точностью установить личность человека. Так что по жизни могут существовать обходные способы ;-(Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64991336203456824292009-04-16T18:26:00.000+04:002009-04-16T18:26:00.000+04:00Как я Вас раззадорил. Только следует заметить, что...Как я Вас раззадорил. Только следует заметить, что я на личности не переходил, а потому использовал "вы", а не "Вы", как если бы обращался к конкретному собеседнику. Потому не берите на свой счет.<br /><br />А ЗЫ я не беру на свой счет, потому что на этом рынке ни тем, ни другим не занимаюсь.<br /><br />Так я опять все о том же. Если вернуться, например, к Вашему корневому предложению о триггере в БД? Может есть смысл, исходя из интересов всех сторон, построить схему обезличивания? Я уже упоминал, что тогда нам придется сформулировать критерии выбора нужных преобразований, допустимые обеими сторонами. Т.е. давайте оставим регуляторов в стороне, и будем честными перед операторами и субъектами. И тогда нам придется доказывать безопасность, действенность обезличивания перед самими нами, а не искать отмазку. (Ну не хочу я этими отмазками заниматься!)<br /><br />И вот тут: триггер должен исполняться на платформе БД? Значит уже по сети пошли ПДн? Значит сеть следует защищать и сервер БД тоже? Данные-то в базе (допустим) обезличены, но ПДн присутствуют на сервере.<br /><br />Если же "триггер" исполняется на платформе, где происходит только обработка ПДн, то эту-то платформу нам придется таки защищать. Или при обработке тоже ПДн МОГУТ быть обезличенными? Но тогда это уже не ПДн. И не о чем разговаривать: не берите больше чем надо.<br /><br />В любом случае защищать оконечную платформу проще, чем всю сеть. (Хотя, Вы правы, у нас не проще!)<br /><br />Вопрос остается: критерии допустимости преобразований обезличивания, исходя из интересов обеих сторон? А обсуждение, по-моему, примерно с этого и началось. Ну не банальное же кодирование, действительно. Тогда что конкретно? И чем это отличается от кодирования? Критерии! Критерии!<br /><br />А Вы говорите, не надо никому доказывать. Мы-то с Вами перед собой как специалисты должны доказывать, что это на самом деле работает.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57430669602478728722009-04-16T17:59:00.000+04:002009-04-16T17:59:00.000+04:00Анонимному: Вот как-то всю жизнь обеспечивали безо...<B>Анонимному:</B> Вот как-то всю жизнь обеспечивали безопасность ПДн и без требований регуляторов и нормально все это делали. В рамках своей стратегии управления рисками и доступных ресурсов. А теперь и за оператора, и за субъекта все решили, не спросив ни того, ни другого. А против привилегированного пользователя все эти предложенные методы все равно бессмысленны - он и так унесет то, что надо, требования этому не помешают.<br /><br />И мы никого тут не консультируем, в отличие от некоторых компаний, которые за свои "консультации" берут миллионы рублей, а выливается все не в то, что надо субъекту или оператору, а в то, что надо регулятору. Мы в дискуссии ищем решение.<br /><br />А логика простая. Регулируйте то, в чем понимаете. А в остальное лезть не надо. Если лезете, то сначала проекты документов на обсуждение общественности выложите, как это делают, например, в США или Великобритании. Не сделали по уму, получайте отмазки со стороны тех, кого пытаются нагнуть.<br /><br />Что касается репутации, то видимо это камень в мой огород. Ну так вот я делаю то, что считаю нужным и полезным. Лезть в разработку документов, зная, что это бесперспективно, я не буду. Разработка документов нашим доблестным регулятором - вполне конкретная процедура, к которой привлекаются вполне конкретные организации, и за которую платятся вполне конкретные деньги. Так уж случилось, что я знаком с этой процедурой и поэтому могу судить о том, насколько реально влезть туда со своим самоваром.<br /><br />ЗЫ. И публичное обсуждение в среде специалистов - это гораздо профессиональнее, чем "впаривать" клиентам всякую тиражируемую чушь под видом индивидуального подхода. И уж гораздо профессиональнее поведения некоторых игроков рынка, которые на тех, кто мешает им "впаривать", писать подметные письма.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28893029359854398912009-04-16T16:58:00.000+04:002009-04-16T16:58:00.000+04:00Ребята, вы о чем? Стеганография, кодирование,... М...Ребята, вы о чем? Стеганография, кодирование,... Может вернемся в начало дискуссии? В первую очередь следует определиться с критериями. Я опять предлагаю примерить все на себе (условно хотя бы).<br /><br />Вы хотите, чтобы консультируемый вами оператор обезличив некоторым преобразованием ваши данные (имя), выложил рядом с ним вашу конфиденциальную информацию в интернет? Если да, то можете предлагать ему такое обезличивание. Поставьте себе такой вопрос, и может быть тогда вы будете придумывать методы обезличивания, которые начнут устраивать еще и владельцев ПДн, а не только операторов.<br /><br />А иначе, вы занимаетесь отмазкой, а не безопасностью. Ну, непрофессионально поступили г-да регуляторы (впервой?), но нам-то думать надо про реальное использование ИСПДн. А этот процесс предполагает участие и безопасность по крайней мере двух сторон. О владельцах-то ПДн почему постоянно забываете? Только потому, что о них забывали много лет до того, нужно, обидевшись на регуляторов, всеми возможными способами продолжить это? Ну не могу я понять вашей логики.<br /><br />В конце концов, предложите и продвигайте свою редакцию нормативных документов. Черт знает, авось услышат. Но не так же: как обиженный ребенок сидеть шкодить и при этом выдавать за панацею, пользуясь своей репутацией!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-69395236647582387152009-04-16T16:52:00.000+04:002009-04-16T16:52:00.000+04:00Вот именноВот именноАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.com